Zgubienie sprzętu z danymi osobowymi – analiza ryzyka czy DPIA
Pytanie: Pracownik wykonywał pracę zdalną. Niestety zgubił smartfon, na którym był dostęp m.in. do służbowej poczty elektronicznej. Sprzęt został po pewnym czasie odzyskany. Czy w związku z tym konieczne jest dokonanie analizy ryzyka lub oceny skutków przetwarzania dla ochrony danych?
Zarządzanie ryzykiem z pomocą arkusza
Administrator musi wypracować odpowiednie dla siebie podejście do zarządzania ryzykiem w związku z przetwarzaniem danych osobowych. Podejście to musi uwzględniać środowisko, w którym działa administrator, specyfikę prowadzonej działalności oraz posiadane doświadczenie, a w szczególności charakter, zakres oraz cele i sposób przetwarzania danych osobowych. Nie obowiązuje żaden wzór arkusza zarządzania ryzykiem, co nie oznacza, że nie można skorzystać z przykładowego.
Risk-based approach – czym jest i na czym polega
Podejście oparte na ryzyku jest kluczowe dla każdego administratora. Tylko w ten sposób można zapewnić odpowiedni poziom bezpieczeństwa przetwarzania danych.
Przejście na system pracy zdalnej – czy konieczna analiza ryzyka i DPIA
Pytanie: Organizacja zamierza wprowadzić na stałe pracę zdalną na niektórych stanowiskach pracy. Czy w związku z taką zmianą w organizacji należy zaktualizować ogólną analizę ryzyka bądź DPIA?
Prezes UODO o analizie ryzyka
Nieprzeprowadzenie analizy ryzyka może zostać uznane za naruszenie ochrony danych. Dotychczas w dwóch przypadkach takie uchybienia (choć nie tylko) doprowadziły do nałożenia na administratorów danych kar finansowych przez Prezesa UODO. Przypominamy, jakie stanowisko w kontekście analizy ryzyka przyjmował Prezes UODO w wydanych decyzjach.
Ogólna analiza ryzyka w 3 krokach
Po wykonaniu czynności przygotowawczych do analizy ryzyka czas na jej przeprowadzenie.
Należy określić uwarunkowania działania organizacji
Tuż przed rozpoczęciem analizy ryzyka należy zwrócić uwagę na kontekst działania organizacji.
Jak udokumentować analizę ryzyka i DPIA
Nie wystarczy samo przeprowadzenie analizy ryzyka i DPIA – należy je także odpowiednio udokumentować.