Przygotuj się na stosowanie RODO- ocena ryzyka przetwarzania danych

W ramach cyklu artykułów dotyczących RODO temat oceny ryzyka został już poruszony. Uzupełnimy go jednak o informacje zawarte w poradniku wydanym niedawno przez GIODO. Konkretnie skupimy się na dokonywaniu oceny ryzyka naruszenia ochrony danych osobowych. W procesie szacowania naruszenia szacowania tego ryzyka trzeba mieć na uwadze wiele czynników. W treści poradnika wskazuje się na takie elementy jak waga zagrożeń, wynikająca z rodzaju skutku urzeczywistnienia się zagrożeń. Podczas oceny ryzyka uwzględnić należy czy operacja przetwarzania jest niezbędna, czy ingerencja w prywatność związana z przetwarzaniem tych danych jest proporcjonalna do celów przetwarzania. Dokonując oceny trzeba uwzględnić czy prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Tym samym określić należy to uwzględniając charakter, zakres, kontekst i cele przetwarzania danych.
Jak wskazuje się w treści poradnika proces zarządzania ryzykiem powinien być wpisany w proces zarządzania organizacją dana firmą. W zależności od jej wielkości wprowadzić należy również rozwiązania. W dużych organizacjach konieczne może okazać się powołanie specjalnego zespołu do zarządzania ryzykiem. Bardzo istotnym elementem na który wskazuje poradnik jest włączenie w cały proces pracowników firmy. Zaznaczyć trzeba, że stanowią oni bardzo dobre źródło informacji . Pracownicy musza mieć wiedze jakie procesy zachodzą w firmie jak mogą zgłaszać incydenty, zaobserwowane sytuacje. Tutaj ważne jest także szkolenie ich w tym zakresie.
W poradniku zaproponowano sposób przykładowego szacowania takiego ryzyka
Rp = P x (Sd + Si + Sp)
gdzie:
Rp – poziom wyliczanego ryzyka,
P – wartość przypisana prawdopodobieństwu materializacji zagrożenia z zakresu {0, 1, 2, 3, 4}, gdzie:
0 – zdarzenie nieprawdopodobne, 1 – zdarzenie prawie nieprawdopodobne, 2 – zdarzenie mało prawdopodobne, 3 – zdarzenie wysoce prawdopodobne, 4 – zdarzenie niemal pewne.
Sd, Si, Sp – skutki zdarzenia odpowiednio w zakresie dostępności informacji, integralności oraz poufności z zakresu {0, 1, 2, 3, 4}, gdzie:
0 – zdarzenie nie powoduje skutku (nie występuje), 1 – zdarzenie wywołuje niewielki skutek, 2 – zdarzenie wywołuje znaczący skutek, 3 – zdarzenie wywołuje bardzo znaczący skutek, 4 – zdarzenie wywołuje skutek katastrofalny

Sposób ten ma charakter przykładowy każdy administrator może samodzielnie wybrać sposób szacowania ryzyka.
Wskazano także przykłady środków, które mogą minimalizować ryzyko, bowiem RODO w tym zakresie zapewnia swobodę działania administratorów. Jako przykład wskazuje się między innymi: pseudonimizację i szyfrowanie danych osobowych, zarządzanie systemem w sposób zapewniający ciągłość poufności, integralności i dostępności przetwarzanych informacji, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Styczeń 9th, 2018 by