Jedną ze zmian jakie wprowadza RODO to analiza ryzyka. Do jej przeprowadzenia zobligowany jest każdy podmiot zajmujący się przetwarzaniem danych osobowych. Przetwarzając dane osobowe jesteśmy narażeni na zewnętrze i wewnętrzne czynniki, które mogą spowodować, że powierzone nam dane zostaną zniszczone, utracone, skradzione ujawnione itd.
Przygotowując analizę ryzyka musisz wybiec w przyszłość i przyjąć najczarniejsze scenariusz, jakie mogą Cię dotknąć, po to aby w ogóle określi takie niebezpieczne obszary jak i sposób przeciwdziałania takim sytuacjom. Samo ryzyko dzielimy na dwa obszary:
#biznesowe
Wiąże się z niewłaściwymi decyzjami, w wyniku których ponosisz straty związane z produktem lub usługą, którą oferujesz albo zobowiązań wobec partnerów biznesowych itd.
#operacyjne
Związane jest z niewłaściwym działaniem procesów, systemów lub zewnętrznych zagrożeń.
Czym jest samo zarządzanie ryzykiem? Jest to proces identyfikacji, oceny, postępowania oraz kontroli wszelkich potencjalnych zdarzeń i sytuacji, które dostarczą racjonalne zapewnienie, że cele przedsiębiorstwa zostaną zrealizowane. Skupmy się zatem na obszarach najbardziej związanych z przetwarzaniem danych:
- pseudonimizacją i szyfrowaniem danych osobowych,
- zdolności do ciągłego zapewnienia poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania,
- zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularnemu testowaniu, mierzeniu i ocenianiu skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Wróćmy zatem do identyfikacji samego ryzyka. Kiedy wiemy, że może wystąpić sytuacja prowadząca do nadużyć w ochronie danych osobowych:
- jeżeli przetwarzanie danych może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną,
- jeżeli osoby, których dane przetwarzamy, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi,
- jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa,
- jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych,
- lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci,
- jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
Czytając ten wykaz możesz pomyśleć, że jako bloger nie masz do czynienia z takimi sytuacjami, jednak może mieć tu zastosowanie ostatni z powyższych podpunktów. Jak sobie poradzić z tym fantem opowiem w następnym odcinku cyklu.
Tymczasem pozdrawiam,
Analiza ryzyka to bardzo złożony temat. Ważne jest by okreslic czego utrata moze byc najbardziej kosztowna dla nas, a pózniej odpowiednio to zabezpieczyc.
Dokładnie. Czasami jednak poza oczywistymi aspektami ciężko sobie wyobrazić niektóre elementy, które mogą mieć wpływ pośredni lub bezpośredni na zarządzane dane. Chwilami mam wrażenie, że zakrawa to o wróżenie z fusów i szukanie najczarniejszych sceniariuszy 😉
Ale takie podejście pozwala uniknąć późniejszych wtop -jak na crash testach, którym poddawane są nowe modele samochodów.
Bardzo ciekawy i pomocny artykuł!
Dziękuję bardzo 🙂