Ryzyko warte oszacowania

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Identyfikacja ryzyka,  jakie niesie za sobą przetwarzanie danych osobowych przez firmę, nie jest prosta, składa się z kilku etapów. Przedsiębiorcy powinni jednak ją regularnie przeprowadzać, by móc wdrażać odpowiednie narzędzia zabezpieczajace. Gdy zacznie obowiązywać europejskie rozporządzenie o ochronie danych osobowych (RODO) wyniki przeprowadzonych analiz ryzyka staną się podstawą do określania, jakie zabezpieczenia będą adekwatne do istniejących zagrożeń i pozwolą uniknać niezgodności z prawem prowadzonych przez firmę procesów.

Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych ODO 24
Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych ODO 24

Ryzykiem określane jest takie działanie przedsiębiorcy (administratora danych), które wraz z upływem czasu może doprowadzić do jego niezgodności z przepisami prawa. Potencjalnym ryzykiem może być obarczony proces, który sam w sobie jeszcze nie stanowi naruszenia przepisów prawa ochrony danych osobowych, jednak w wyniku braku postępowania z tym ryzykiem może on być przyczyną powstania niezgodności. Przykładowo pozyskiwanie danych osobowych potencjalnych klientów bez wymaganej zgody na prowadzenie marketingu bezpośredniego drogą elektroniczną (np. mailing) samo w sobie nie jest jeszcze niezgodnością. Należy jednak zauważyć, że kolejnym krokiem w tym procesie będzie wysyłka niezamówionych informacji handlowych drogą elektroniczną, co już stanowi dużą niezgodnością – wyjaśnia Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych osobowych, ODO 24.

Identyfikacja potencjalnych ryzyk wymaga czujności i umiejętności przewidywania kolejnych zdarzeń przez ABI (Administratora Bezpieczeństwa Informacji), a po wejściu w życie RODO – IOD (Inspektora Ochrony Danych), który odpowiada za ochronę danych osobowych w danym podmiocie. Wielu początkujących ABI nie sięga do takich narzędzi pracy jak klasyfikacja ryzyka ze względu na to, że postrzega je jako skomplikowane. Wpływa to negatywnie na firmy, które nie są odpowiednio przygotowane na potencjalne niebezpieczeństwa.

Jak wskazuje ekspert ODO 24 przy przeprowadzaniu pierwszego szacowania ryzyka ochrony danych osobowych warto rozważyć zastosowanie metody składającej się z czterech etapów. Szacowanie należy przede wszystkim rozpocząć od identyfikacji kategorii danych i ich wartości (określenia czy dane, które przetwarza firma są tzw. zwykłe czy wrażliwe). Kolejnym krokiem jest zidentyfikowanie istniejących zagrożeń, by ją odpowiednio wykonać musimy wiedzieć, gdzie znajdują się dane i w jakiej formie się one przechowywane – elektronicznej czy papierowej. Trzecim etapem jest określenie następstw zdiagnozowanych niebezpieczeństw – ocena jak utrata określonej kategorii danych w konkretnym procesie wpłynie na całą organizację, np. zatrzymane zostaną krytyczne dla firmy procesy, dojdzie do zerwania umów przez klientów lub kontroli GIODO i konsekwencji z niej wynikających. Warto zaznaczyć, że należy dokonać klasyfikacji zidentyfikowanych ryzyk – czyli określić wysokość ryzyk w stosunku do poszczególnych procesów. Wynikiem całego procesu jest określenie jakie działania wobec ryzyk powinny zostać podjęte przez organizacje, np. jakie zabezpieczenia muszą być zastosowane, by uniknąć negatywnych konsekwencji w stosunku do konkretnej kategorii danych, która znajduje się w określonej lokalizacji – mówi  Konrad Gałaj-Emiliańczyk z ODO 24.

25 maja 2018 r. wraz z rozpoczęciem obowiązywania przepisów RODO każdy przedsiębiorca będzie musiał przeprowadzać ocenę skutków przetwarzania danych osobowych jeszcze przed rozpoczęciem tego procesu. Dlatego warto już teraz  zdobywać doświadczenie w identyfikacji ryzyk przetwarzania danych osobowych, mimo że obecnie obowiązujące przepisy nie nakładają obowiązku szacowania ryzyka.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI w księgowości i podatkach. Błędna odpowiedź może słono kosztować

Już 23% firm w Polsce deklaruje wykorzystanie AI w...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

Dobry program do faktur można wykorzystać do rachunkowości zarządczej

Program do faktur a rachunkowość zarządcza w firmie MD:...

Prawie 40 proc. umów leasingu zawieranych jest już online

Prawie 4 na 10 nowych umów leasingu w Polsce...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...
Coś dla Ciebie