MiastoStoleczne.pl

Szacowanie ryzyka w zakresie naruszenia prawa do ochrony danych osobowych

0

Obowiązki przedsiębiorców z dniem wejścia RODO czyli unijnym Ogólnym Rozporządzeniu o Ochronie Danych zdecydowanie się rozszerzyły. Każda organizacja i przedsiębiorstwo musiały opracować i wdrożyć procedury zapewniające ochronę danych osobowych swoich pracowników, kontrahentów i klientów.

Kilka słów o RODO

Pierwsze wzmianki o RODO słyszane były już w 2012 roku. Dopiero 4 lata później RODO zostało przyjęte w ostatecznej formie, ale przewidziano długi okres vacatio legis, by przedsiębiorcy mogli należycie przygotować się do zmian. Od 25 maja 2018 roku każda firma w Unii Europejskiej musiała wprowadzić w życie nowe zasady dotyczące ochrony danych osobowych, co na początku spowodowało niemałe zamieszanie.

RODO tak naprawdę dla osób prywatnych przynosi same korzyści. Przedsiębiorstwa muszą zadbać o bezpieczeństwo naszych danych i zapobiec ich rozprzestrzenianiu oraz wyciekom pod rygorem ogromnych kar pieniężnych.

Co to są dane osobowe

Wiele osób od czasu wejścia RODO w życie zastanawia się, co właściwie oznaczają dane osobowe i jakie informacje się do nich zaliczają.

Do podstawowych danych osobowych należą:

  • imię i nazwisko,
  • adres,
  • numer PESEL,
  • numer NIP.

Co ciekawe, według RODO do danych osobowych należy zaliczyć wszystkie informacje, które pozwalają na identyfikację konkretnej osoby. Możemy więc mówić tu na przykład o adresie e-mail lub odciskach palców.

Oprócz danych, o których mowa powyżej, można jeszcze wyróżnić tzw. dane wrażliwe np. informacje o stanie zdrowia. Ich przetwarzanie podlega nieco większym rygorom niż wykorzystywanie powszechnie występujących danych np. takich jakie wprowadza się do umowy z operatorem telekomunikacyjnym. 

RODO – szacowanie ryzyka

Szacowanie ryzyka w zakresie wpływu na przetwarzania danych i ich wpływu na prawa i wolności osób, których te dane dotyczą, pomoże sprawdzić, czy dane ryzyko jest akceptowalne czy niedopuszczalne. Każda ocena ryzyka powinna być wcześniej poprzedzona analizą.

Jak wykonać szacowanie ryzyka?

  • Etap I – definicja ryzyka, źródło, przyczyny oraz zakładane szkody, jakie może wywołać.
  • Etap II – ustalenie możliwości wystąpienia ryzyka oraz określenie jaki to może mieć wpływ na prawa i wolności osoby, której dane dotyczą.
  • Etap III – zapobieganie wystąpienia ryzyka (postępowanie z ryzykiem).

Według motywu 75 preambuły RODO: Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych.

Dotyczy to w szczególności:

  • danych dotyczących dzieci i małoletnich;
  • danych, które mogą doprowadzić do dyskryminacji, kradzieży tożsamości, straty finansowej lub innej szkody społecznej lub gospodarczej;
  • danych ujawniających dane wrażliwe;
  • dużej ilości danych, które mogą wpłynąć na inne osoby, których dane dotyczą.

Szacowanie ryzyka najczęściej odbywa się za pomocą wzoru R = P * W, gdzie R oznacza Ryzyko, P – prawdopodobieństwo wystąpienia negatywnych konsekwencji dla osoby, której dane dotyczą, a W – negatywny wpływ na te prawa i wolności.

4 sposoby reagowania na wystąpienie ryzyka

Norma PN-EN ISO/IEC 27001 opisuje 4 definicje reagowania na wystąpienie ryzyka. Należą do nich:

  1. obniżenie ryzyka – administrator danych musi podjąć działania, które obniżają poziom ryzyka do poziomu akceptowalnego; w tym celu możemy wykorzystać różne narzędzia, w zależności, jakich danych osobowych dotyczy ryzyko;
  2. akceptacja ryzyka – podjęcie decyzji o akceptacji istniejącego poziomu ryzyka;
  3. unikanie ryzyka – zaprzestanie działań powodujących dane ryzyko;
  4. przeniesienie/podział ryzyka – wykorzystanie możliwości ograniczenia ryzyka, na przykład poprzez wykupienie ubezpieczenia.

Naruszenie zasad związanych z przetwarzaniem danych osobowych umyślnie lub nieumyślnie wiązać się może z dużymi karami pieniężnymi. W zależności od przewinienia przedsiębiorstwo może zapłacić karę 10 milionów lub 20 milionów euro lub adekwatnie 2% lub 4% rocznych obrotów.

 

Źródło: ISecure – eksperci w ochronie danych osobowych

You might also like