Jak wyodrębnić ryzyka w ochronie danych osobowych

Maciej Lipka

Autor: Maciej Lipka

Dodano: 23 lipca 2019
406130bb883642215ebaf24f3db84eacd123db1a-large

RODO nie narzuca określonej metodyki identyfikacji i oceny ryzyka. Wybór odpowiedniego rozwiązania, tak jak w przypadku środków bezpieczeństwa, należy więc do administratora. Jakie rozwiązanie będzie najlepsze?

Należy stosować ujednoliconą terminologię

Administrator danych osobowych powinien wyodrębniać ryzyka w oparciu o istniejące normy (np. PN-ISO/IEC 27005), uwzględniając swoją specyfikę. Istotne wskazówki dotyczące analizy ryzyka wskazane są w opracowaniach sporządzonych przez Urząd Ochrony Danych Osobowych.

Uwaga

Jak wskazuje UODO, każda organizacja, w zależności od obszaru swojej działalności, wielkości oraz kultury bezpieczeństwa, musi opracować własną metodę, zwykle stanowiącą kombinację kilku istniejących w praktyce rozwiązań.

UODO podkreśla również, że wybrana metoda powinna pozwolić na rzetelną i obiektywną ocenę ryzyka. Administrator danych osobowych, niezależnie od wybranej metody (jednej spośród gotowych lub stworzonej samodzielnie na podstawie kilku dostępnych), powinien jednolicie w całej organizacji stosować zbiór pojęć.

Warto ująć ryzyka w tabeli

Jeżeli chodzi o samą formę wyodrębniania ryzyk, nie ma przeszkód, aby zostały one przedstawione w formie tabeli przez pracowników. W takim przypadku można rozesłać wśród nich jeden wzór tabeli, aby każda komórka organizacyjna wskazała na istniejące w jej opinii ryzyka oraz aby oceniła źródło, prawdopodobieństwo, poziom ryzyka, a także przedstawiła inne informacje związane z tym ryzykiem, które administrator uzna za konieczne. Warto też zapewnić w tabeli miejsce na ewentualne uwagi i komentarze.

Uwaga

Po zebraniu wszystkich informacji z komórek organizacyjnych, ważne jest aby opracować zbiorczą tabelę, w której administrator ujednolici wszystkie pojęcia, ponieważ mogą być one różnie rozumiane przez każdą komórkę organizacyjną. Taką zbiorczą tabelę warto ponownie rozesłać do komórek organizacyjnych w celu zebrania ewentualnych pytań lub uwag.

Tabela jest o tyle dobrym rozwiązaniem, że pozwala na sprawne przyporządkowywanie uwag do danego pojęcia. Jeżeli w toku analizy ryzyka okaże się, że skuteczniejsze byłoby sporządzenie informacji w formie innej niż tabela, nie ma wówczas przeszkód, aby taką metodę przyjąć. Ważna jest bowiem rzetelność, ujednolicenie pojęć oraz dostosowanie analizy ryzyka do specyfiki konkretnego administratora. Należy również pamiętać, że analiza ryzyka powinna być dokonywana cyklicznie oraz poprawiana w przypadku, gdy administrator dojdzie do wniosku, że dotychczasowa metodyka takiej poprawy wymaga.

Maciej Lipka

Autor: Maciej Lipka

Jest ekspertem ds. ochrony danych osobowych. Specjalizuje się w problemach związanych z wdrażaniem obowiązujących przepisów w organizacji, wskazując zarówno na wymogi formalne, jak i na praktyczne rozwiązania ułatwiające przestrzeganie prawa.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel