Analiza ryzyka RODO nazywana czasami ogólną oceną ryzyka obowiązkowy dla każdego administratora danych osobowych ocena tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka naruszenia praw i wolności osób, których dane dotyczą, a jeśli tak, to jakie. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to musi on dokonywać okresowej analizy ryzyka zagrażającego temu przetwarzaniu.
Zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów, dlatego warto ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować. Nie wystarczy więc jednorazowa analiza.
Czym innym jest natomiast ocena skutków dla ochrony danych osobowych (DPIA), którą przeprowadza się jedynie, gdy dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Analiza ryzyka RODO powinna być przeprowadzona także w przypadku potencjalnego zagrożenia dla praw i wolności podmiotów danych, jakie mogła generować czasowa utrata dostępu do danych osobowych. W toku tej analizy należy zastanowić się nad tym, czy i jakie prawa i wolności były zagrożone naruszeniem i czy doszło do naruszenia. Poza tym w odpowiedzi należy wskazać, czy administrator był w stanie - w okresie pozbawienia Was dostępu do laptopa wykonywać prawa podmiotów danych.
Prawo dostępu do danych nie zostało naruszone, jeżeli w organizacji wykonywane są na bieżąco kopie baz danych osobowych. W takim przypadku nie dochodzi do utraty dostępu do danych osobowych.
Administrator powinien dokonać ogólnej analizy ryzyka, sprawdzając w szczególności czy i jakie prawa wolności były zagrożone w wyniku zdarzenia.
Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli.
Jedną z powszechnie stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.
Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka w RODO:
Przeczytaj także: Analiza ryzyka w Twojej organizacji – krok po kroku
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
