RODO nie wskazuje konkretnej metody szacowania ryzyka. Administrator danych powinien sam wybrać metodę oceny ryzyka i na tej podstawie je ocenić.
Ogólne rozporządzenie o ochronie danych (RODO) nie podaje konkretnej skali czy metody szacowania i zarządzania ryzykiem naruszenia praw lub wolności osób fizycznych. Zgodnie z motywem 77 RODO wskazówki co do tego, jak identyfikować ryzyko dotyczące przetwarzania danych osobowych mogą być przekazane w formie zatwierdzonych kodeksów postępowania czy dobrych praktyk, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych.
Ryzyko należy oszacować na podstawie obiektywnej oceny. Dlatego jednym z ważniejszych działań dostosowujących organizację do stosowania ogólnego rozporządzenia o ochronie danych (RODO) jest opracowanie i przyjęcie metodyki oceny ryzyka naruszenia praw i wolności osoby, której dane dotyczą. Pomocne mogą tu być normy ISO, jak np. Zarządzanie Ryzykiem w Systemach Bezpieczeństwa Informacji zgodnie z ISO/IEC 27005:2011 lub ISO 31000 Zarządzanie Ryzykiem. Niezależnie od istotności, ryzyko powinno zostać zidentyfikowane. Co dalej zrobi z nim administrator danych, powinno zależeć od tego, jakie zostaną przyjęte kryteria jego oceny i sposobów reakcji w wewnętrznej procedurze zarządzania ryzykiem.
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
