Szacowanie ryzyka w zakresie naruszenia prawa do ochrony danych osobowych
Obowiązki przedsiębiorców z dniem wejścia RODO czyli unijnym Ogólnym Rozporządzeniu o Ochronie Danych zdecydowanie się rozszerzyły. Każda organizacja i przedsiębiorstwo musiały opracować i wdrożyć procedury zapewniające ochronę danych osobowych swoich pracowników, kontrahentów i klientów.
Kilka słów o RODO
Pierwsze wzmianki o RODO słyszane były już w 2012 roku. Dopiero 4 lata później RODO zostało przyjęte w ostatecznej formie, ale przewidziano długi okres vacatio legis, by przedsiębiorcy mogli należycie przygotować się do zmian. Od 25 maja 2018 roku każda firma w Unii Europejskiej musiała wprowadzić w życie nowe zasady dotyczące ochrony danych osobowych, co na początku spowodowało niemałe zamieszanie.
RODO tak naprawdę dla osób prywatnych przynosi same korzyści. Przedsiębiorstwa muszą zadbać o bezpieczeństwo naszych danych i zapobiec ich rozprzestrzenianiu oraz wyciekom pod rygorem ogromnych kar pieniężnych.
Co to są dane osobowe
Wiele osób od czasu wejścia RODO w życie zastanawia się, co właściwie oznaczają dane osobowe i jakie informacje się do nich zaliczają.
Do podstawowych danych osobowych należą:
- imię i nazwisko,
- adres,
- numer PESEL,
- numer NIP.
Co ciekawe, według RODO do danych osobowych należy zaliczyć wszystkie informacje, które pozwalają na identyfikację konkretnej osoby. Możemy więc mówić tu na przykład o adresie e-mail lub odciskach palców.
Oprócz danych, o których mowa powyżej, można jeszcze wyróżnić tzw. dane wrażliwe np. informacje o stanie zdrowia. Ich przetwarzanie podlega nieco większym rygorom niż wykorzystywanie powszechnie występujących danych np. takich jakie wprowadza się do umowy z operatorem telekomunikacyjnym.
RODO – szacowanie ryzyka
Szacowanie ryzyka w zakresie wpływu na przetwarzania danych i ich wpływu na prawa i wolności osób, których te dane dotyczą, pomoże sprawdzić, czy dane ryzyko jest akceptowalne czy niedopuszczalne. Każda ocena ryzyka powinna być wcześniej poprzedzona analizą.
Jak wykonać szacowanie ryzyka?
- Etap I – definicja ryzyka, źródło, przyczyny oraz zakładane szkody, jakie może wywołać.
- Etap II – ustalenie możliwości wystąpienia ryzyka oraz określenie jaki to może mieć wpływ na prawa i wolności osoby, której dane dotyczą.
- Etap III – zapobieganie wystąpienia ryzyka (postępowanie z ryzykiem).
Według motywu 75 preambuły RODO: Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych.
Dotyczy to w szczególności:
- danych dotyczących dzieci i małoletnich;
- danych, które mogą doprowadzić do dyskryminacji, kradzieży tożsamości, straty finansowej lub innej szkody społecznej lub gospodarczej;
- danych ujawniających dane wrażliwe;
- dużej ilości danych, które mogą wpłynąć na inne osoby, których dane dotyczą.
Szacowanie ryzyka najczęściej odbywa się za pomocą wzoru R = P * W, gdzie R oznacza Ryzyko, P – prawdopodobieństwo wystąpienia negatywnych konsekwencji dla osoby, której dane dotyczą, a W – negatywny wpływ na te prawa i wolności.
4 sposoby reagowania na wystąpienie ryzyka
Norma PN-EN ISO/IEC 27001 opisuje 4 definicje reagowania na wystąpienie ryzyka. Należą do nich:
- obniżenie ryzyka – administrator danych musi podjąć działania, które obniżają poziom ryzyka do poziomu akceptowalnego; w tym celu możemy wykorzystać różne narzędzia, w zależności, jakich danych osobowych dotyczy ryzyko;
- akceptacja ryzyka – podjęcie decyzji o akceptacji istniejącego poziomu ryzyka;
- unikanie ryzyka – zaprzestanie działań powodujących dane ryzyko;
- przeniesienie/podział ryzyka – wykorzystanie możliwości ograniczenia ryzyka, na przykład poprzez wykupienie ubezpieczenia.
Naruszenie zasad związanych z przetwarzaniem danych osobowych umyślnie lub nieumyślnie wiązać się może z dużymi karami pieniężnymi. W zależności od przewinienia przedsiębiorstwo może zapłacić karę 10 milionów lub 20 milionów euro lub adekwatnie 2% lub 4% rocznych obrotów.