Szacowanie ryzyka jest podstawą budowy systemu danych osobowych. Należy więc odpowiedzieć na pytanie czym owa analiza ryzyka jest i co ma na celu, a także określić etapy oceny. Przeprowadzona oraz aktualizowana na bieżąco analiza, pozwoli na zminimalizowanie ryzyka związanego z przetwarzaniem danych osobowych oraz lepsze dostosowanie zabezpieczeń do pojawiających się nowych zagrożeń.
Szacowanie ryzyka pozwala na ustalenie potencjalnych zagrożeń związanych z przetwarzaniem danych osobowych przez Administratora Danych Osobowych lub podmiot przetwarzający na zlecenie Administratora. Umożliwi to określenie odpowiednich do stopnia zagrożenia zabezpieczeń.
Etapy analizy ryzyka zgodnie z RODO:
- Określenie istotnych dla organizacji elementów, biorących udział w przetwarzaniu danych osobowych, takich jak np. pracownicy, sprzęt, procesy biznesowe, klienci itp.
- Stworzenie listy potencjalnych zagrożeń, które wiążą się z wcześniej wskazanymi elementami.
- Określenie prawdopodobieństwa wystąpienia poszczególnych ryzyk oraz konsekwencji ewentualnego naruszenia ochrony danych osobowych, przy uwzględnieniu charakteru przetwarzania danych osobowych (przy przetwarzaniu danych wrażliwych, ryzyko związane z wyciekiem jest większe), zakresu oraz celu przetwarzania.
- Zidentyfikowanie newralgicznych procesów związanych z przetwarzaniem danych.
- Ustalenie środków minimalizujących wystąpienie ryzyka i zwiększenie zabezpieczeń.
Sprawdź Audyt i wdrożenie RODO Grant Thornton
Podział ryzyk zgodnie z RODO:
- Wewnętrzne (np. pracownik, który nie dochował należytej staranności przy zabezpieczeniu danych) i zewnętrzne (np. włamywacz).
- Techniczne (związane z wykorzystywanym do przetwarzania danych sprzętem) i organizacyjne (związane z działaniami ludzi).
- Zdarzenia, które nie są bezpośrednio związane z działaniami ludzi, mają charakter losowy (np. pożar, awaria sprzętu).
Analiza ryzyka jest podstawą do wdrożenia zabezpieczeń. Metody zabezpieczeń powinny być aktualizowane i zgodne z aktualną wiedzą o zagrożeniach i postępem technicznym.
Szczegółowy opis wymienionych obszarów znajduje się w artykule napisanym przez ekspertów LexDigital, którzy wraz z Grant Thornton prowadzą audyty i wdrożenia RODO w firmach Klientów. Czytaj dalej w artykule „Analiza Ryzyka zgodnie z RODO”
AUTOR: Marzena Wypych, Audyt i wdrożenie RODO