Skąd wiemy, czy podejmowane czynności, przetwarzanie danych może powodować ryzyko dla bezpieczeństwa tych danych?

Z analizy tego ryzyka. Z jego przewidywania i szacowania, a to nie jest wróżenie z fusów.

Zarządzanie ryzykiem to proces identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, dostarczający racjonalnego zapewnienia, że cele organizacji zostaną zrealizowane.

Ryzyko prywatności obejmuje dwie kategorie:

  • ryzyko wiążące się z przetwarzaniem danych osobowych,
  • ryzyko naruszenia praw i wolności (kradzież tożsamości, dyskryminacja)

Po co dokonywać oceny?

 

Umożliwia ona administratorowi przestrzeganie RODO, gdyż w czasie analizy widzi, że pewne mechanizmy nie działają, że pewne zapisy mogą być nieczytelne dla klientów lub trudne do znalezienia na stronie internetowej.

Pamiętaj! Analiza ryzyka nie jest obowiązkowa w przypadku każdej operacji przetwarzania.

 

Przeprowadzenia oceny skutków dla ochrony danych wymaga się wyłącznie w przypadku, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1).

Co grozi za brak dokonania oceny skutków

 

Nieprzeprowadzenie oceny skutków dla ochrony danych, gdy przetwarzanie podlega takiej ocenie (art. 35 ust. 1 i 3-4), jak i nieprawidłowe przeprowadzenie oceny skutków dla ochrony danych (art. 35 ust. 2 i 7-9) lub brak konsultacji z właściwym organem nadzorczym, gdy jest to wymagane (art. 36 ust. 3 lit. e) może skutkować:

  • nałożeniem administracyjnej kary pieniężnej w wysokości do 10 mln EUR lub,
  • w przypadku przedsiębiorstwa, do 2% całkowitego rocznego obrotu w skali światowej w poprzednim roku budżetowym, w zależności od tego, która kwota jest wyższa.

Wątpię, że takie kary zostaną nałożone na niszowego blogera, czy małą firmę, ale po co narażać się na dodatkowy stres.

Zresztą każda organizacja, czy firma, niezależnie od wielkości narażona jest na wpływ czynników wewnętrznych oraz zewnętrznych, które mogą spowodować naruszenie bezpieczeństwa. I nietrudno wówczas wyobrazić sobie przypadkowe zniszczenie danych lub niezgodne z prawem ich zmodyfikowanie.

 

O czym muszę pomyśleć, aby dokonać analizy

 

Potocznie mówi się, że nie popełnia błędu tylko ten kto nie pracuje. Dlatego warto zawczasu zastanowić się nad możliwymi problemami i jak im zapobiec oraz w przypadku wystąpienia – reagować.

Dokonując analizy ryzyka rozważ następujące obszary:

  1. Jaki jest cel i zakres zbieranych przez ciebie danych osobowych
  2. Określ źródło danych osobowych – od kogo zbierasz dane
  3. Czy informujesz swoich odbiorców o zbieraniu danych osobowych. A jeśli tak to jak brzmi taki komunikat, czy jest zrozumiały, czytelny, jasny w odbiorze
  4. W jaki sposób zbierasz dane osobowe?
  5. Gdzie przechowujesz dane? Na serwerze innego podmiotu (np. firmy hostingowej). Czy dane są tam bezpieczne?
  6. Czy twój klient ma możliwość sprostowania danych
  7. Jak długo przechowujesz dane (ocena pod katem celu, dla którego są zbierane)
  8. Czy wykorzystujesz dane zgodnie z celem i adekwatnie do tego celu
  9. Czy dopuszczasz możliwość przekazywania danych innych firmom

 

Nie jest to katalog zamknięty. Są to przykładowe obszary. Mając już odpowiedzi na powyższe pytania (oraz inne, które ci się nasuną w trakcie analizy), dobrze je spisać.

 

Jak często dokonywać analizy?

Zgodnie z wytycznymi Grupy Roboczej art. 29 cały proces należy powtarzać przynajmniej raz na 3 lata lub częściej, jeśli wymaga tego natura przetwarzania (np. szczególnie wysokie ryzyko) lub dynamicznie zmieniające się okoliczności.

 

Poniżej zamieszczam jeszcze przykładowe ryzyka, z którymi możesz się spotkać:

  • Zbieranie i przetwarzania danych bez podstawy prawnej
  • Błędne określenie celu i zakresu przetwarzanych danych
  • Utrata lub uszkodzenie lub nieuzasadniona zmiana danych osobowych
  • Dostęp do zbioru danych osobowych przez osoby nieupoważniony

 

Masz pomysł jeszcze na jakieś inne ryzyka przy przetwarzaniu danych? Koniecznie mi o nich napisz