Administrator powinien dokonać ogólnej analizy ryzyka, sprawdzając w szczególności czy i jakie prawa wolności były zagrożone w wyniku zdarzenia.
Czym jest analiza ryzyka
Ogólna ocena ryzyka ryzyka to obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to musi on dokonywać okresowej ogólnej oceny ryzyk zagrażających temu przetwarzania.
Zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO ADO musi być w stanie wykazać przestrzeganie przepisów, dlatego warto ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.
Istotny wybór metodologii
Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli.
Jedną z powszechnie stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.
4 etapy analizy ryzyka
Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka:
- kontekst dla oceny ryzyka,
- opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
- szacowanie i ocena ryzyka,
- postępowanie z ryzkiem.
Analizujemy zagrożenia dla praw i wolności
Realizując żądanie UODO, należy zastanowić się nad tym, czy i jakie prawa i wolności były zagrożone naruszeniem i czy doszło do naruszenia. Poza tym w odpowiedzi należy wskazać, czy administrator był w stanie - w okresie pozbawienia Was dostępu do laptopa wykonywać prawa podmiotów danych.
Prawo dostępu do danych nie zostało naruszone, jeżeli w organizacji wykonywane są na bieżąco kopie baz danych osboowych.
Zobacz także: Analiza ryzyka w Twojej organizacji – krok po kroku
