W ubiegłym tygodniu obiecałam Ci powrót do tematu analizy ryzyka, bo jest ona na tyle znacząca i wymagająca, że opowieść o niej rozbiłam na dwa odcinki. W pierwszym opowiedziałam czym jest taka analiza, a dziś omówię, na które elementy powinnaś przede wszystkim zwrócić uwagę oraz, jak przeprowadzić u siebie taką analizę.

#1 przetwarzane dane

W podsumowaniu takim powinna znaleźć się informacja o nazwie zbioru lub zbiorów danych, które posiadasz, np.: newsletter, celu pozyskiwania tych danych, np.: komunikacja drogą mailową, rodzaj zbieranych danych, np.: adres email, grupa danych – bo każda z grup może mieć inne dane i inny cel przetwarzania, np.: subskrybent, oraz bardzo ważną informację, czy dane te są niezbędne do realizacji tego określonego celu.

#2 legalność pozyskanych danych

To rozbudowany punkt, w którym odpowiadasz na pytania związane z legalnością posiadanych i pozyskiwanych danych. Ma on na celu ustalenie czy wiesz, po co je masz, czyli:

  • czy potrafisz wskazać zgodny z prawem cel przetwarzania posiadanych danych, np.:  realizacja umowy;
  • czy jesteś w stanie osiągnąć ten sam cel z mniejszą liczbą danych;
  • czy poddajesz zbiory anonimizacji lub pseudonimizacji;
  • czy dane które gromadzisz są przechowywane przez określony czas;
  • czy zebrane dane są przetwarzane zgodnie z ich przeznaczeniem itd.

#3 cele przetwarzania danych i okres ich przechowywania

Przy każdej grupie pozyskanych danych powinnaś określić, w jakim celu je zbierasz i jak długo będziesz je przechowywała. Przykład: Jeśli pozyskujesz dane osób chętnych na Twój webinar, to po odbytym webinarze powinnaś te dane usunąć, chyba, że osoby zapisujące się na Twoją listę wyraziły zgodę na otrzymywanie newslettera – wówczas możesz wykorzystywać je dalej.

#4 sposób aktualizacji i usuwania posiadanych danych

Najprościej ująć tę informację w rejestrze, w którym określasz kiedy i w jaki sposób dokonujesz aktualizacji danych, np.: dodajesz lub usuwasz zgody na komunikację handlową oraz kiedy i w jaki sposób usuwasz posiadane leady, np.: co się dzieje z danymi osoby, która wypisała się z Twojego newslettera.

#5 powierzenie przetwarzania danych osobowych

Nie da się uniknąć tego punktu. Zapewne posiadasz wykupiony hosting u jakiegoś dostawcy, albo korzystasz ze wsparcia księgowej czy wreszcie, posiadasz jakiś zewnętrzny system do obsługi newslettera, np.: MailerLite. W każdym z takich przypadków musisz podpisać z takim podmiotem umowę o powierzeniu przetwarzania danych osobowych oraz prowadzenia ewidencji podpisanych umów.

#6 rejestr czynności

To kolejna ewidencja, w której określasz, jakim czynnościom poddawane są przetwarzane przez Ciebie dane. Powinny znaleźć się w niej informacje o celu przetwarzania danych, o kategorii tych danych i ich rodzaju. W rejestrze takim dodajesz informację czy są przetwarzane przez inne podmioty, czy przekazujesz je do krajów spoza Unii, np.: korzystając z MailChimpa tak się dzieje. Kolejną informacją, która w takim rejestrze powinna się znaleźć jest planowana data usunięcia danych oraz wprowadzone środki bezpieczeństwa dla tej konkretnej grupy danych.

#7 Zastosowane środki bezpieczeństwa

Wypisz wszystkie elementy, które sprawiają, że posiadane przez Ciebie dane są bezpieczne, np.: sposoby zmiany hasłą, programy antywirusowe, certyfikaty SSL itd. Wszystkie, które mają zastosowanie u Ciebie, a nie takie, które powinny zostać wdrożone.

#8 źródła zagrożeń

Czy jesteś w stanie określić potencjalne źródło zagrożeń i co za tym idzie określić ich wpływ na posiadane przez Ciebie dane oraz jakie środki zaradcze wdrożysz aby im zapobiec. Trochę przypomina to wróżenie z fusów, ale… gdy zaczniesz się zastanawiać i je określisz, na pewno wprowadzisz jakieś dodatkowe zabezpieczenia posiadanych danych co w efekcie przyniesie korzyść – większe bezpieczeństwo powierzonych Tobie danych 🙂

#9 rejestr naruszeń i incydentów

O tym, że RODO wprowadza obowiązek informowania i zgłaszania naruszeń i incydentów związanych z przetwarzaniem danych osobowych wspominałam w otwierającym ten cykl wpisie. Masz na to 72 godziny. W sam raz czasu aby wprowadzić stosowne informacje w kolejnym rejestrze 😉 Rejestrze naruszeń i incydentów, w którym określasz datę naruszenia, datę zawiadomienia stosownego urzędu nadzoru, datę zawiadomienia użytkownika, którego dane zostały naruszone oraz podjęte działania naprawcze.

To wszystko wygląda tylko tak strasznie. W rzeczywistości pomaga w uporządkowaniu wiedzy oraz samych procesów. Jeśli jednak czujesz, że przygotowanie takiej analizy przerasta Twoje możliwości, mam dla Ciebie dobrą wiadomość 🙂 Kończę przygotowywać kompendium z wzorami wszystkich tych elementów (i nie tylko), które dziś opisałam. Aby nie przegapić informacji o dostępności tego materiału zachęcam Cię do dołączenia do mojego newslettera. Oczywiście czekam na Twój komentarz z informacją, czy przybliżyłam, a co najważniejsze wyjaśniłam temat analizy ryzyka związanego z zarządzaniem bazą danych.

A tymczasem pozdrawiam,

Agnieszka

0 0 votes
Article Rating

2
0
Would love your thoughts, please comment.x
()
x

Pin It on Pinterest

Shares