Analiza ryzyka RODO w związku z czasową utratą dostępu do danych
Analiza ryzyka RODO nazywana czasami ogólną oceną ryzyka obowiązkowy dla każdego administratora danych osobowych ocena tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka naruszenia praw i wolności osób, których dane dotyczą, a jeśli tak, to jakie. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to musi on dokonywać okresowej analizy ryzyka zagrażającego temu przetwarzaniu.
Czym jest analiza ryzyka zgodnie z RODO
Zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów, dlatego warto ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować. Nie wystarczy więc jednorazowa analiza.
Ocena skutków dla ochrony danych (DPIA) a ocena ryzyka
Czym innym jest natomiast ocena skutków dla ochrony danych osobowych (DPIA), którą przeprowadza się jedynie, gdy dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Analizę ryzyka należy przeprowadzić w przypadku zagrożeń dla praw i wolności podmiotów danych
Analiza ryzyka RODO powinna być przeprowadzona także w przypadku potencjalnego zagrożenia dla praw i wolności podmiotów danych, jakie mogła generować czasowa utrata dostępu do danych osobowych. W toku tej analizy należy zastanowić się nad tym, czy i jakie prawa i wolności były zagrożone naruszeniem i czy doszło do naruszenia. Poza tym w odpowiedzi należy wskazać, czy administrator był w stanie - w okresie pozbawienia Was dostępu do laptopa wykonywać prawa podmiotów danych.
Prawo dostępu do danych nie zostało naruszone, jeżeli w organizacji wykonywane są na bieżąco kopie baz danych osobowych. W takim przypadku nie dochodzi do utraty dostępu do danych osobowych.
Administrator powinien dokonać ogólnej analizy ryzyka, sprawdzając w szczególności czy i jakie prawa wolności były zagrożone w wyniku zdarzenia.
Jak wykonać analizę ryzyka? Należy wybrać metodologię
Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli.
Jedną z powszechnie stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.
4 etapy analizy ryzyka
Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka w RODO:
- kontekst dla oceny ryzyka,
- opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
- szacowanie i ocena ryzyka,
- postępowanie z ryzkiem.
Przeczytaj także: Analiza ryzyka w Twojej organizacji – krok po kroku
- Czy IOD rozpoznaje skargi w związku z naruszeniem ochrony danych
- Udostępnienie dokumentacji medycznej – czy można żądać zmiany e-maila
- Czy podmiot przetwarzający może udostępnić powierzone dane osobowe
- Przekazywanie informacji o wydarzeniach w gminie – podstawa przetwarzania danych osobowych mieszkańców gminy
- Umowa najmu mieszkania komunalnego – okres przechowywania danych osobowych
- Ustawa Kamilka – weryfikacja niekaralności a obowiązek informacyjny RODO
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
