Szacowanie ryzyka zgodnie z RODO

Dowiedz się, jak zarządzać ryzykiem i chronić dane osobowe w organizacji

Czym jest ryzyko?

Rozporządzenie o ochronie danych (RODO) z dnia 27 kwietnia 2016 wprowadziło wiele zmian dotyczących przetwarzania danych osobowych. Jedną z nich był zapis wymagający stosowania procesu szacowania ryzyka w organizacji w kontekście przetwarzania danych osobowych. Co ciekawe rozporządzenie RODO nie definiuje wprost, czym jest ryzyko. Wymienia jedynie konkretne jego przykłady, takie jak: dyskryminacja, kradzież czy naruszenia dobrego mienia. Jeżeli te zdarzenia wystąpią, oznacza to, że zaistniało ryzyko, które zgodnie z RODO należy dokładnie oszacować. Warto pamiętać także o tym, że powinno się je rozpatrywać z uwzględnieniem czynników zewnętrznych i wewnętrznych.

Analiza i szacowanie ryzyka

Przepisy RODO nie wskazują bezpośrednio metody ani sposobu, w jaki organizacje powinny przeprowadzać szacowanie ryzyka. Oznacza to, że przedsiębiorstwa posiadają dużą dowolność w tym zakresie. Istotne jest to, aby proces był zgodny z metodologią zarządzania ryzykiem, która zawiera dobre praktyki. Zalicza się do nich np. COSO Enterprise Risk Management (Committee of Sponsoring Organizaions of Treadway Commission ) lub ISO31000:2018 Risk Management. Jak wskazuje artykuł 73 RODO szacowanie ryzyka powinno być przede wszystkim określone w odniesieniu do charakteru, zakresu, celów i kontekstu przetwarzania danych. Warto mieć także na uwadze, że specyfika zarządzania ryzykiem będzie odmienna w zależności od sektora oraz specyfiki danej organizacji. Należy zatem odpowiednio dopasować sposób szacowania ryzyka do charakteru organizacji. Jednak ostateczna decyzja dotycząca przeprowadzania tego procesu należy do administratora danych lub innej osoby odpowiedzialnej za realizację tego procesu.

Inspektor Ochrony Danych

Szacowanie i ocena ryzyka w systemie RODOprotektor w zakresie ochrony danych osobowych

Wykorzystanie systemu informatycznego do oceny ryzyka jest bardzo dużym ułatwieniem dla administratorów danych oraz inspektorów ochrony danych w wielu organizacjach. Ma na celu automatyzację i uproszczenie procesu analizy ryzyka zgodnie z wytycznymi UE oraz RODO według metody rozszerzonej PN-ISO/IEC-27005. Jest ona rekomendowana przez Komitet Rady Ministrów ds. Cyfryzacji oraz zgodna z obowiązującymi standardami w zakresie przetwarzania danych. Znacząco zmniejsza prawdopodobieństwo wystąpienia naruszenia praw. Dostosowuje się do specyfiki każdej organizacji bez względu na wielkość czy złożoność podmiotów. Jak więc przebiega analiza ryzyka w systemie RODOprotektor w oparciu o tę metodę?

Proces rozpoczyna się od zidentyfikowania potencjalnych zasobów czy wydarzeń posiadających wysokie ryzyko naruszenia praw. Na tym etapie wystarczy, że administrator wskaże proces z rejestru czynności lub kategorii przetwarzania. Kolejnym krokiem jest przypisanie określonego atrybutu do procesu przetwarzania. Dużym ułatwienie jest fakt, że atrybuty te zostały już zdefiniowane, więc nie ma konieczności ich ręcznego wpisywania. Administrator do wyboru ma następujące atrybuty: dostępność, integralność oraz poufność. Następnie powinien przypisać do nich odpowiednie zagrożenie. Wystarczy, że wybierze je z wbudowanego w systemie katalogu zagrożeń, który można dowolnie edytować i rozszerzać. Mogą to być takie zagrożenia jak wyciek bazy danych, zbieranie i przetwarzanie danych bez podstawy prawnej czy przechowywanie informacji w niedozwolonym miejscu. Należy także wskazać opis podatności oraz wykaz zastosowanych zabezpieczeń w odniesieniu do wcześniej zdefiniowanych atrybutów i zagrożeń. W tym przypadku administrator także może zaoszczędzić czas, gdyż system posiada katalogi z gotowymi podpowiedziami do wyboru. Następnie prawdopodobieństwo oraz skutek wskazywane są indywidualnie do procesu w odwołaniu do atrybutu, zagrożenia, podatności oraz zastosowanych zabezpieczeń. Dzięki temu administrator danych posiada kompleksowy wgląd do informacji o danym ryzyku wraz ze wskazaniem jego stopnia oddziaływania na organizację. Na tej podstawie system informuje czy przeprowadzenie oceny skutków jest zalecane, wymagane, obligatoryjne, czy nie ma w ogóle potrzeby podejmowania jakichkolwiek działań naprawczych. Podsumowując proces szacowania ryzyka w systemie RODOprotektor pozwala kompleksowo przeciwdziałać naruszeniom.

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość