Czym jest analiza ryzyka w RODO?

KROK 2 – ANALIZA ryzyka naruszenia ochrony danych osobowych.

Tworząc serię zależało mi, żebyś wyszedł z niej przynajmniej z wykonanym audytem, dlatego jeśli tego nie zrobiłeś, zachęcam Cię do tego (wróć do poprzednich lekcji i WYKONAJ AUDYT SWOJEGO BIZNESU

Tak jak obiecałam, poza szczegółowym przeprowadzeniem Cię przez proces audytu, będę chciała też odpowiedzieć na pytania dot. tego co trzeba zrobić jeszcze w ramach wdrożenia RODO poza audytem.

Szczegółowo będę mówiła o tym wszystkim w kursie “Samodzielne wdrożenie RODO”, ale chciałabym, żebyś już teraz wiedział co w ramach przygotowania firmy do RODO trzeba zrobić. Podzielę się też wskazówkami co warto zrobić.

Czy przeprowadzenie analizy ryzyka jest potrzebne?

Przeprowadzenie ANALIZY RYZYKA NARUSZENIA DANYCH jest konieczne. Jest to nowy obowiązek wynikający z RODO, który na pewno będzie weryfikowany podczas kontroli.

Po co Ci analiza ryzyka?

Tylko dzięki niej, będziesz w stanie ocenić w jaki sposób powinieneś zabezpieczać dane, jakie zastosować środki, żeby nie doszło np. do wycieku danych, do ich utraty na skutek różnych zdarzeń, do ich nieuprawnionego udostępnienia osobom nieupoważnionym.

Jak przeprowadzić taką analizę?

Nie ma wyłącznie jednej metody, według której analizę taką powinieneś wykonać. Pomocą może być dla Ciebie poradnik umieszczony przez Urząd Ochrony Danych. DOSTĘP POD TYM LINKIEM: https://uodo.gov.pl/pl/123/208

Ponieważ nie chcę Cię zostawiać bez żadnych wskazówek, poniżej podam Ci kilka najważniejszych pytań, na które powinieneś sobie odpowiedzieć przeprowadzając analizę ryzyka.

Odpowiedz sobie na pytania:

1.jakie zdarzenia, zagrożenia, ryzyka względem posiadanych przez Ciebie danych mogą wystąpić   

Przykładowe zagrożenia: osoba nieupoważniona, tj. np. kurier/Klient może uzyskać dostęp do danych innego Klienta; utrata danych w formie elektronicznej na dysku; kradzież danych Klientów; utrata danych Klientów w wyniku pożaru (dot. dokumentacji), zgubienie dysku zewnętrznego/pendrive z danymi, pozostawienie konta bez wylogowania się w miejscu publicznym, zainfekowanie komputera i możliwość „wypływu” danych na zewnątrz organizacji, itp.  

WSKAZÓWKA: Wypisz wszystkie ryzyka, jakie mogą pojawić się względem poszczególnych grup danych, tzn. opisz jakie ryzyka występują względem danych Klienta, danych użytkowników strony, danych subskrybentów newslettera itp.

Następnie zastanów się:

2. Czy ryzyko naruszenia praw osób, których dane dotyczą jest niskie/średnie/wysokie i jak często występuje?

3. Oceń jakie mogą być skutki naruszenia danych osobowych? .

Przykładowo, na skutek kradzieży danych osobowych w formie akt osobowych dochodzi/może dojść do „kradzieży tożsamości”, do „zalewania osoby, której dane dotyczą spamem”, do zawarcia umów w imieniu tej osoby, do straty wizerunkowej Twojej firmy, do zapłaty kary z tytułu naruszenia na gruncie RODO, do obowiązku zapłaty kar/odszkodowań itp.

4. Następnie podejmij decyzję czy ryzyko takie akceptujesz?

5. Jeśli nie akceptujesz ryzyka, zastanów się jakie działania podejmiesz, żeby zmniejszyć ryzyko wystąpienia danego zdarzenia/zagrożenia lub całkowicie wyeliminować?

O co w tym wszystkim chodzi?

Przykładowo – jeśli mamy do czynienia z czynnością przetwarzania danych osobowych pracowników zatrudnionych w firmie jednym z ryzyk/zagrożeń może być np. zniszczenie w wyniku pożaru.

Dostrzegając to ryzyko należy następnie ocenić jak duże prawdopodobieństwo jest jego wystąpienia oraz ewentualna możliwa częstotliwość występowania.

Po określeniu tego, należałoby zastanowić się nad tym, jak takie ryzyko można byłoby zmniejszyć bądź całkowicie wyeliminować.

Przykład: W przypadku zagrożenia dot. zniszczenia akt w wyniku pożaru można zastanowić się nad zamontowaniem czujnika przeciwpożarowego lub odpowiednim zabezpieczeniem akt poprzez ich umieszczenie np. w szafie zamykanej metalowej lub innej odpowiednio zabezpieczającej przed ewentualnym pożarem, wprowadzić procedurę sprawdzania ważności gaśnic, zastanowić się nad tworzeniem kopii zapasowych akt, itp.

Wskazówka:

WYKONAJ ANALIZĘ w formie pisemnej/elektronicznej, żeby był  ślad po tym, że rzeczywiście ją zrobiłeś. RODO nakłada na Ciebie obowiązek rozliczalności, tzn. w przypadku kontroli będziesz musiał wykonać, że wykonałeś analizę ryzyka, a nie udowodnisz tego w inny sposób, jak tylko przez okazanie takie dokumentu.