Analiza ryzyka RODO nazywana czasami ogólną oceną ryzyka obowiązkowy dla każdego administratora danych osobowych ocena tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka naruszenia praw i wolności osób, których dane dotyczą, a jeśli tak, to jakie. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to musi on dokonywać okresowej analizy ryzyka zagrażającego temu przetwarzaniu.
Czym jest analiza ryzyka zgodnie z RODO
Zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów, dlatego warto ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować. Nie wystarczy więc jednorazowa analiza.
Ocena skutków dla ochrony danych (DPIA) a ocena ryzyka
Czym innym jest natomiast ocena skutków dla ochrony danych osobowych (DPIA), którą przeprowadza się jedynie, gdy dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Analizę ryzyka należy przeprowadzić w przypadku zagrożeń dla praw i wolności podmiotów danych
Analiza ryzyka RODO powinna być przeprowadzona także w przypadku potencjalnego zagrożenia dla praw i wolności podmiotów danych, jakie mogła generować czasowa utrata dostępu do danych osobowych. W toku tej analizy należy zastanowić się nad tym, czy i jakie prawa i wolności były zagrożone naruszeniem i czy doszło do naruszenia. Poza tym w odpowiedzi należy wskazać, czy administrator był w stanie - w okresie pozbawienia Was dostępu do laptopa wykonywać prawa podmiotów danych.
Prawo dostępu do danych nie zostało naruszone, jeżeli w organizacji wykonywane są na bieżąco kopie baz danych osobowych. W takim przypadku nie dochodzi do utraty dostępu do danych osobowych.
Administrator powinien dokonać ogólnej analizy ryzyka, sprawdzając w szczególności czy i jakie prawa wolności były zagrożone w wyniku zdarzenia.
Jak wykonać analizę ryzyka? Należy wybrać metodologię
Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli.
Jedną z powszechnie stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.
4 etapy analizy ryzyka
Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka w RODO:
- kontekst dla oceny ryzyka,
- opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
- szacowanie i ocena ryzyka,
- postępowanie z ryzkiem.
Przeczytaj także: Analiza ryzyka w Twojej organizacji – krok po kroku
