Ryzyko warte oszacowania

0

Identyfikacja ryzyka,  jakie niesie za sobą przetwarzanie danych osobowych przez firmę, nie jest prosta, składa się z kilku etapów. Przedsiębiorcy powinni jednak ją regularnie przeprowadzać, by móc wdrażać odpowiednie narzędzia zabezpieczajace. Gdy zacznie obowiązywać europejskie rozporządzenie o ochronie danych osobowych (RODO) wyniki przeprowadzonych analiz ryzyka staną się podstawą do określania, jakie zabezpieczenia będą adekwatne do istniejących zagrożeń i pozwolą uniknać niezgodności z prawem prowadzonych przez firmę procesów.

Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych ODO 24
Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych ODO 24

Ryzykiem określane jest takie działanie przedsiębiorcy (administratora danych), które wraz z upływem czasu może doprowadzić do jego niezgodności z przepisami prawa. Potencjalnym ryzykiem może być obarczony proces, który sam w sobie jeszcze nie stanowi naruszenia przepisów prawa ochrony danych osobowych, jednak w wyniku braku postępowania z tym ryzykiem może on być przyczyną powstania niezgodności. Przykładowo pozyskiwanie danych osobowych potencjalnych klientów bez wymaganej zgody na prowadzenie marketingu bezpośredniego drogą elektroniczną (np. mailing) samo w sobie nie jest jeszcze niezgodnością. Należy jednak zauważyć, że kolejnym krokiem w tym procesie będzie wysyłka niezamówionych informacji handlowych drogą elektroniczną, co już stanowi dużą niezgodnością – wyjaśnia Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych osobowych, ODO 24.

Identyfikacja potencjalnych ryzyk wymaga czujności i umiejętności przewidywania kolejnych zdarzeń przez ABI (Administratora Bezpieczeństwa Informacji), a po wejściu w życie RODO – IOD (Inspektora Ochrony Danych), który odpowiada za ochronę danych osobowych w danym podmiocie. Wielu początkujących ABI nie sięga do takich narzędzi pracy jak klasyfikacja ryzyka ze względu na to, że postrzega je jako skomplikowane. Wpływa to negatywnie na firmy, które nie są odpowiednio przygotowane na potencjalne niebezpieczeństwa.

Czytaj również:  Wpływ RODO na zespoły bezpieczeństwa informacji – 3 możliwe scenariusze