Według unijnej Regulacji o Ochronie Danych Osobowych, która zacznie obwiązywać 25 maja 2018 roku odniesieniem do ochrony danych w przedsiębiorstwie, będzie wynik przeprowadzonej analizy ryzyka. Ma to określić jakie zabezpieczenia będą odpowiednie do istniejących oraz przyszłych zagrożeń.
Procesem, który może być obarczony ryzykiem to przetwarzanie danych osobowych (np. poprzez wysyłanie maili z ofertą handlową). Niebezpieczeństwem w tej sytuacji okazać się może działanie Administratora danych, które w trakcie upływu czasu może prowadzić do niezgodności, aby zminimalizować ryzyko wymagana jest szczególna czujność oraz umiejętność prognozowania przyszłych wydarzeń.
Szacowanie ryzyka można podzielić na cztery etapy:
- Identyfikacja kategorii danych i ich wartości (dane zwykłe lub wrażliwe).
- Identyfikacja zagrożeń dla poszczególnych kategorii danych.
- Określenie następstw wystąpienia zagrożenia.
- Identyfikacja adekwatnych zabezpieczeń do zagrożeń.
W miejscu, gdzie należy określić następstwa występowania zagrożeń, pomocne może kazać się dokonanie klasyfikacji zidentyfikowanych ryzyk. Oznacza to określenie wysokości ryzyka w stosunku do poszczególnych działań.
Ostatecznie najważniejszym celem procesu jest zidentyfikowanie działań wobec zagrożeń, które powinny zostać podjęte w związku z właściwym zabezpieczeniem danych. Działania, które mogą okazać się pomocne w odniesieniu do ryzyka to:
- unikanie ryzyka, poprzez niepodejmowanie działań, które to inicjują,
- obniżenie ryzyka za pomocą wdrożenia dodatkowych zabezpieczeń,
- przeniesienie ryzyka na inny podmiot, który będzie odpowiedzialny za zarządzanie ryzykiem.
Ocena ryzyka to proces złożony i wymagający odpowiednich działań i zaangażowania ze strony Administratora Danych Osobowych w celu prawidłowego zabezpieczenia informacji. Aby móc ułatwić te działania należy zastanowić się nad założeniami, jakie zostaną przyjęte, ponieważ to one w dużej mierze określają stopień ryzyka oraz działania, które należy wprowadzić, aby je zniwelować.
„Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.”
Art. 35 ust 1 Rozporządzenia Parlamentu Europejskiego i Rady UE dotyczącej oceny skutków ryzyka.
- Czy informacja o wynagrodzeniu pracownika jest poufna? - 18 maja 2018
- Geolokalizacja, a ochrona danych osobowych - 16 maja 2018
- RODO w praktyce: Zasada rozliczalności - 9 maja 2018