Administrator powinien dokonać ogólnej analizy ryzyka, sprawdzając w szczególności czy i jakie prawa wolności były zagrożone w wyniku zdarzenia.
Ogólna ocena ryzyka ryzyka to obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to musi on dokonywać okresowej ogólnej oceny ryzyk zagrażających temu przetwarzania.
Zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO ADO musi być w stanie wykazać przestrzeganie przepisów, dlatego warto ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.
Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli.
Jedną z powszechnie stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.
Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka:
Realizując żądanie UODO, należy zastanowić się nad tym, czy i jakie prawa i wolności były zagrożone naruszeniem i czy doszło do naruszenia. Poza tym w odpowiedzi należy wskazać, czy administrator był w stanie - w okresie pozbawienia Was dostępu do laptopa wykonywać prawa podmiotów danych.
Prawo dostępu do danych nie zostało naruszone, jeżeli w organizacji wykonywane są na bieżąco kopie baz danych osboowych.
Zobacz także: Analiza ryzyka w Twojej organizacji – krok po kroku
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl