RODO nie narzuca określonej metodyki identyfikacji i oceny ryzyka. Wybór odpowiedniego rozwiązania, tak jak w przypadku środków bezpieczeństwa, należy więc do administratora. Jakie rozwiązanie będzie najlepsze?
Administrator danych osobowych powinien wyodrębniać ryzyka w oparciu o istniejące normy (np. PN-ISO/IEC 27005), uwzględniając swoją specyfikę. Istotne wskazówki dotyczące analizy ryzyka wskazane są w opracowaniach sporządzonych przez Urząd Ochrony Danych Osobowych.
Jak wskazuje UODO, każda organizacja, w zależności od obszaru swojej działalności, wielkości oraz kultury bezpieczeństwa, musi opracować własną metodę, zwykle stanowiącą kombinację kilku istniejących w praktyce rozwiązań.
UODO podkreśla również, że wybrana metoda powinna pozwolić na rzetelną i obiektywną ocenę ryzyka. Administrator danych osobowych, niezależnie od wybranej metody (jednej spośród gotowych lub stworzonej samodzielnie na podstawie kilku dostępnych), powinien jednolicie w całej organizacji stosować zbiór pojęć.
Jeżeli chodzi o samą formę wyodrębniania ryzyk, nie ma przeszkód, aby zostały one przedstawione w formie tabeli przez pracowników. W takim przypadku można rozesłać wśród nich jeden wzór tabeli, aby każda komórka organizacyjna wskazała na istniejące w jej opinii ryzyka oraz aby oceniła źródło, prawdopodobieństwo, poziom ryzyka, a także przedstawiła inne informacje związane z tym ryzykiem, które administrator uzna za konieczne. Warto też zapewnić w tabeli miejsce na ewentualne uwagi i komentarze.
Po zebraniu wszystkich informacji z komórek organizacyjnych, ważne jest aby opracować zbiorczą tabelę, w której administrator ujednolici wszystkie pojęcia, ponieważ mogą być one różnie rozumiane przez każdą komórkę organizacyjną. Taką zbiorczą tabelę warto ponownie rozesłać do komórek organizacyjnych w celu zebrania ewentualnych pytań lub uwag.
Tabela jest o tyle dobrym rozwiązaniem, że pozwala na sprawne przyporządkowywanie uwag do danego pojęcia. Jeżeli w toku analizy ryzyka okaże się, że skuteczniejsze byłoby sporządzenie informacji w formie innej niż tabela, nie ma wówczas przeszkód, aby taką metodę przyjąć. Ważna jest bowiem rzetelność, ujednolicenie pojęć oraz dostosowanie analizy ryzyka do specyfiki konkretnego administratora. Należy również pamiętać, że analiza ryzyka powinna być dokonywana cyklicznie oraz poprawiana w przypadku, gdy administrator dojdzie do wniosku, że dotychczasowa metodyka takiej poprawy wymaga.
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
