Jak wyodrębnić ryzyka w ochronie danych osobowych
RODO nie narzuca określonej metodyki identyfikacji i oceny ryzyka. Wybór odpowiedniego rozwiązania, tak jak w przypadku środków bezpieczeństwa, należy więc do administratora. Jakie rozwiązanie będzie najlepsze?
Należy stosować ujednoliconą terminologię
Administrator danych osobowych powinien wyodrębniać ryzyka w oparciu o istniejące normy (np. PN-ISO/IEC 27005), uwzględniając swoją specyfikę. Istotne wskazówki dotyczące analizy ryzyka wskazane są w opracowaniach sporządzonych przez Urząd Ochrony Danych Osobowych.
Jak wskazuje UODO, każda organizacja, w zależności od obszaru swojej działalności, wielkości oraz kultury bezpieczeństwa, musi opracować własną metodę, zwykle stanowiącą kombinację kilku istniejących w praktyce rozwiązań.
UODO podkreśla również, że wybrana metoda powinna pozwolić na rzetelną i obiektywną ocenę ryzyka. Administrator danych osobowych, niezależnie od wybranej metody (jednej spośród gotowych lub stworzonej samodzielnie na podstawie kilku dostępnych), powinien jednolicie w całej organizacji stosować zbiór pojęć.
Warto ująć ryzyka w tabeli
Jeżeli chodzi o samą formę wyodrębniania ryzyk, nie ma przeszkód, aby zostały one przedstawione w formie tabeli przez pracowników. W takim przypadku można rozesłać wśród nich jeden wzór tabeli, aby każda komórka organizacyjna wskazała na istniejące w jej opinii ryzyka oraz aby oceniła źródło, prawdopodobieństwo, poziom ryzyka, a także przedstawiła inne informacje związane z tym ryzykiem, które administrator uzna za konieczne. Warto też zapewnić w tabeli miejsce na ewentualne uwagi i komentarze.
Po zebraniu wszystkich informacji z komórek organizacyjnych, ważne jest aby opracować zbiorczą tabelę, w której administrator ujednolici wszystkie pojęcia, ponieważ mogą być one różnie rozumiane przez każdą komórkę organizacyjną. Taką zbiorczą tabelę warto ponownie rozesłać do komórek organizacyjnych w celu zebrania ewentualnych pytań lub uwag.
Tabela jest o tyle dobrym rozwiązaniem, że pozwala na sprawne przyporządkowywanie uwag do danego pojęcia. Jeżeli w toku analizy ryzyka okaże się, że skuteczniejsze byłoby sporządzenie informacji w formie innej niż tabela, nie ma wówczas przeszkód, aby taką metodę przyjąć. Ważna jest bowiem rzetelność, ujednolicenie pojęć oraz dostosowanie analizy ryzyka do specyfiki konkretnego administratora. Należy również pamiętać, że analiza ryzyka powinna być dokonywana cyklicznie oraz poprawiana w przypadku, gdy administrator dojdzie do wniosku, że dotychczasowa metodyka takiej poprawy wymaga.
- Czym zajmuje się kancelaria radcowska?
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
