Ryzyko przetwarzania danych i analiza tego ryzyka
Skąd wiemy, czy podejmowane czynności, przetwarzanie danych może powodować ryzyko dla bezpieczeństwa tych danych?
Z analizy tego ryzyka.
Z jego przewidywania i szacowania, a to nie jest wróżenie z fusów.
Zarządzanie ryzykiem to proces identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, dostarczający racjonalnego zapewnienia, że cele organizacji zostaną zrealizowane.
Ryzyko prywatności obejmuje dwie kategorie:
- ryzyko wiążące się z przetwarzaniem danych osobowych,
- ryzyko naruszenia praw i wolności (kradzież tożsamości, dyskryminacja)
Po co dokonywać oceny?
Umożliwia ona administratorowi przestrzeganie RODO, gdyż w czasie analizy widzi, że pewne mechanizmy nie działają, że pewne zapisy mogą być nieczytelne dla klientów lub trudne do znalezienia na stronie internetowej.
Pamiętaj! Analiza ryzyka nie jest obowiązkowa w przypadku każdej operacji przetwarzania.
Przeprowadzenia oceny skutków dla ochrony danych wymaga się wyłącznie w przypadku, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1).
Co grozi za brak dokonania oceny skutków
Nieprzeprowadzenie oceny skutków dla ochrony danych, gdy przetwarzanie podlega takiej ocenie (art. 35 ust. 1 i 3-4), jak i nieprawidłowe przeprowadzenie oceny skutków dla ochrony danych (art. 35 ust. 2 i 7-9) lub brak konsultacji z właściwym organem nadzorczym, gdy jest to wymagane (art. 36 ust. 3 lit. e) może skutkować:
- nałożeniem administracyjnej kary pieniężnej w wysokości do 10 mln EUR lub,
- w przypadku przedsiębiorstwa, do 2% całkowitego rocznego obrotu w skali światowej w poprzednim roku budżetowym, w zależności od tego, która kwota jest wyższa.
Wątpię, że takie kary zostaną nałożone na niszowego blogera, czy małą firmę, ale po co narażać się na dodatkowy stres.
Zresztą każda organizacja, czy firma, niezależnie od wielkości narażona jest na wpływ czynników wewnętrznych oraz zewnętrznych, które mogą spowodować naruszenie bezpieczeństwa.
I nietrudno wówczas wyobrazić sobie przypadkowe zniszczenie danych lub niezgodne z prawem ich zmodyfikowanie.
O czym muszę pomyśleć, aby dokonać analizy
Potocznie mówi się, że nie popełnia błędu tylko ten kto nie pracuje.
Dlatego warto zawczasu zastanowić się nad możliwymi problemami i jak im zapobiec oraz w przypadku wystąpienia – reagować.
Dokonując analizy ryzyka rozważ następujące obszary:
- Jaki jest cel i zakres zbieranych przez ciebie danych osobowych
- Określ źródło danych osobowych – od kogo zbierasz dane
- Czy informujesz swoich odbiorców o zbieraniu danych osobowych. A jeśli tak to jak brzmi taki komunikat, czy jest zrozumiały, czytelny, jasny w odbiorze
- W jaki sposób zbierasz dane osobowe?
- Gdzie przechowujesz dane? Na serwerze innego podmiotu (np. firmy hostingowej). Czy dane są tam bezpieczne?
- Czy twój klient ma możliwość sprostowania danych
- Jak długo przechowujesz dane (ocena pod katem celu, dla którego są zbierane)
- Czy wykorzystujesz dane zgodnie z celem i adekwatnie do tego celu
- Czy dopuszczasz możliwość przekazywania danych innych firmom
Nie jest to katalog zamknięty. Są to przykładowe obszary.
Mając już odpowiedzi na powyższe pytania (oraz inne, które ci się nasuną w trakcie analizy), dobrze je spisać.
Jak często dokonywać analizy?
Zgodnie z wytycznymi Grupy Roboczej art. 29 cały proces należy powtarzać przynajmniej raz na 3 lata lub częściej, jeśli wymaga tego natura przetwarzania (np. szczególnie wysokie ryzyko) lub dynamicznie zmieniające się okoliczności.
Poniżej zamieszczam jeszcze przykładowe ryzyka, z którymi możesz się spotkać:
- Zbieranie i przetwarzania danych bez podstawy prawnej
- Błędne określenie celu i zakresu przetwarzanych danych
- Utrata lub uszkodzenie lub nieuzasadniona zmiana danych osobowych
- Dostęp do zbioru danych osobowych przez osoby nieupoważniony
adw. Małgorzata Moczulska
Pomagam zrozumieć przepisy prawa i prowadzić legalnie biznes online. Moi Klienci to osoby mające odwagę spełniać marzenia o własnej firmie, w której realizują swoje pasje, ale także rozwijają dochodowe biznesy zgodnie z obowiązującymi przepisami.
Witam,
Wydaje mi się, że pierwszą rzeczą jest ustalenie kto jest administratorem danych. Jeśli Pani to Pani odpowiada za wybór adekwatnych środków bezpieczeństwa, w tym firmy która gwarantuje takie bezpieczeństwo i wdrożyła RODO. Jeżeli Pani powierza przetwarzanie danych, to znaczy, że dane Pani klientów są na serwerze firmy,z którą Pani podpisała umowę to tak, jak Pani napisała potrzebna jest umowa o powierzenie. Pani jest administratorem, a firma X – podmiotem przetwarzającym.
Jeśli chodzi drugą kwestię – czy to duże ryzyko wg RODO, to niestety RODO nie mówi jednoznacznie czy uznaje to za małe czy duże ryzyko. Na pewno przyda się przeprowadzenie analizy ryzyka i ceny skutków: przemyślenie, jakie ryzyko, naruszenie może wystąpić, jak w takiej sytuacji Pani by postąpiła (taki plan awaryjny) i oszacować, czy w ostatnim tygodniu/miesiącu/roku takie ryzyko się pojawiło/było możliwe/prawdopodobne i na tej podstawie przyjąć, czy to małe ryzyko, czy duże.
A co z ryzykiem jeśli np. robię kurs online/e-book i zamieszczam go na platformie kogoś innego (firma X) a ta osoba go promuje, utrzymuje na serwerach a ja tylko dostaję prowizję od sprzedaży. Czy w świetle rodo to ryzyko jest duże? Jaki dokument z punktu widzenia rodo mam podpisać z osobą z firmy X aby było dobrze? Czy tylko umowę o powierzanie przetwarzania danych osobowych, czy coś innego (co?)