Czasowa utrata dostępności danych – czy konieczna analiza ryzyka

Marcin Sarna

Autor: Marcin Sarna

Dodano: 6 maja 2020
4c2b286d2dfde72f4ec3c9c456fdc9b76c1bf619-large
Pytanie:  W firmie doszło o utraty komputera z danymi osobowymi. Komputer został odzyskany, a dane osobowe na nim nie uległy wyciekowi. Urząd Ochrony Danych Osobowych zażądał od administratora podania wyników oceny ryzyka dla praw i wolności podmiotów danych w sytuacji czasowej utraty dostępności danych. Jak powinien zareagować administrator?
Odpowiedź: 

Administrator powinien dokonać ogólnej analizy ryzyka, sprawdzając w szczególności czy i jakie prawa wolności były zagrożone w wyniku zdarzenia.

Czym jest analiza ryzyka

Ogólna ocena ryzyka ryzyka to obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to musi on dokonywać okresowej ogólnej oceny ryzyk zagrażających temu przetwarzania.

Uwaga

Zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO ADO musi być w stanie wykazać przestrzeganie przepisów, dlatego warto ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.

Istotny wybór metodologii

Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli.

Uwaga

Jedną z powszechnie stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.

4 etapy analizy ryzyka

Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka:

  • kontekst dla oceny ryzyka,
  • opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
  • szacowanie i ocena ryzyka,
  • postępowanie z ryzkiem.

Analizujemy zagrożenia dla praw i wolności

Realizując żądanie UODO, należy zastanowić się nad tym, czy i jakie prawa i wolności były zagrożone naruszeniem i czy doszło do naruszenia. Poza tym w odpowiedzi należy wskazać, czy administrator był w stanie - w okresie pozbawienia Was dostępu do laptopa wykonywać prawa podmiotów danych.

Przykład

Prawo dostępu do danych nie zostało naruszone, jeżeli w organizacji wykonywane są na bieżąco kopie baz danych osboowych.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x