Eksperci w dziedzinie ochrony danych osobowych

TAGI:

Udostępnij publikację:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Analiza ryzyka w służbie RODO

Ryzyko jest nieodłącznym elementem życia człowieka. W życiu codziennym podejmując różnego rodzaju decyzje intuicyjnie analizujemy ich skutki. Od wielu lat staramy się zdefiniować pojęcie ryzyka, aby lepiej zrozumieć jego istotę i dzięki temu umożliwić podejmowanie decyzji z uwzględnieniem możliwych ich konsekwencji.

Zastosowania

Często niezbędnym jest zaplanowanie lub modyfikowanie działań zmierzających do realizacji naszych planów i celów oraz uświadomienie sobie możliwych konsekwencji zdarzeń już zaistniałych. Analiza ryzyka od wielu lat z powodzeniem wykorzystywana jest w różnorodnych obszarach takich jak podejmowanie kluczowych decyzji w organizacji, zarządzanie przedsiębiorstwem, jakością, bezpieczeństwem informacji czy projektami, a od roku 2018 również w zarządzaniu ryzykiem związanym z przetwarzaniem danych osobowych oraz ich ochroną.  Ryzyko najczęściej wyrażane jest jako kombinacja skutków ryzyka oraz prawdopodobieństwa jego wystąpienia.

Ex definitione

Aby lepiej radzić sobie z ryzykiem staramy się możliwe precyzyjnie opisać to zjawisko. Korzystając z definicji stosowanej w normie ISO 31000 „Zarządzanie ryzykiem – zasady i wytyczne” ryzyko możemy określić jako „wpływ niepewności na osiągane cele”. Definicja ta, choć dość krótka i ogólna, bardzo dobrze oddaje istotę ryzyka. Rozwijając ją możemy stwierdzić, że ryzyko to wszelkie zdarzenia, co do których nie mamy pewności czy zaistnieją, a które mogą mieć negatywny wpływ na osiągnięcie naszego celu.

Organizacje, aby lepiej zarządzać ryzykiem starają się też dokonywać jego klasyfikacji. Bez względu na zastosowany podział niezmiennie ryzyka identyfikowane były z perspektywy organizacji. W maju 2018 za sprawą RODO również w obszarze zarządzania ryzykiem doszło do swoistej rewolucji. Do tej pory stosowana perspektywa organizacji („jak to wpłynie na moją firmę”) przestała być wystarczająca i należy zacząć stosować nową perspektywę („jak to wpłynie na prawa i wolności osób, których dane przetwarzam”). Nowe regulacje w obszarze ochrony danych osobowych wymuszają na organizacjach uwzględnienie ryzyka wynikającego z przetwarzania takich informacji. Nowość w podejściu stanowi to, że ryzyka te nie powinny być więc identyfikowane z perspektywy organizacji (np. ryzyko utraty reputacji czy straty finansowej związanej z nałożeniem przez organ nadzorczy kary) a z perspektywy osób, których dane osobowe będą lub są przetwarzane (czy ich dane zostaną bezprawnie udostępnione, czy będą świadomi celów przetwarzania). Konsekwencją  jest ograniczenie czy też wyłączenie możliwości kształtowania akceptowalnego poziomu ryzyka przez organizację w imieniu właściciela danych. W praktyce RODO jako akt prawny wprowadza szczególne obostrzenia, w przypadku, gdy ryzyko to jest wysokie. Administrator danych aby móc przetwarzać dane musi także podjąć działania skutkujące obniżeniem jego poziomu.

Nowa perspektywa

Przyjmowanie perspektywy organizacji i zarządzanie ryzykiem w obszarze ochrony obecnie jedynie na tym poziomie jest jednym z częściej popełnianych błędów. Jest to okoliczność, która może pociągnąć za sobą takie skutki jak brak możliwości realizacji praw podmiotu danych gwarantowanych przepisami RODO, czy też zastosowanie nieskutecznych sposobów zabezpieczania danych osobowych (zarówno technicznych jak i organizacyjnych) przed utratą ich poufności, integralności i dostępności.

Aby administrator mógł sprostać wymogom stawianym przez przepisy RODO konieczne jest połączenie dotychczasowych metod zarządzania ryzykiem z nową perspektywą nakierowaną na identyfikowanie skutków przetwarzania danych osobowych dla ich właściciela. Pomocne będzie zastosowanie istniejących standardów zarządzania ryzykiem stosowanych w bezpieczeństwie informacji. Np. opisana normą ISO 27005 metoda zarządzania ryzykiem w bezpieczeństwie informacji. Wykorzystanie standardu nawet w ograniczonym zakresie przynosi istotne korzyści w postaci identyfikacji zasobów oraz określenia ich wrażliwości na utratę poufności integralności lub dostępności danych. W połączeniu z jasnym zidentyfikowaniem operacji przetwarzania oraz kontekstu w jakim dane są przetwarzane łatwiej będzie zidentyfikować prawdopodobieństwo zaistnienia negatywnych skutków dla podmiotu danych.

W celu określenia skutków na jakie narażona zostanie osoba, której dane są przetwarzane, niezbędne jest prawidłowe zidentyfikowanie celów przetwarzania, kategorii osób których dane są przetwarzane, rodzaju tych danych oraz ich zakresu.

W wyniku prawidłowo przeprowadzanej analizy ryzyka administrator powinien móc dobrać adekwatne środki techniczne i organizacyjne tak, aby skutecznie chronić dane osobowe.

Podsumowanie

Z punktu widzenia przepisów dotyczących ochrony danych osobowych niezwykle istotnym jest stworzenie oraz stosowanie w organizacji planu postępowania z ryzykiem. Ze względu na wprowadzone przez RODO podejście oparte o procesy przetwarzania danych i jednoczesne odejście od podejścia opartego o zbiory danych, każda organizacja powinna zapewnić odpowiedni poziom „obsługi ryzyka”. Oznacza to, że niewystarczającym jest pobieżne określenie zagrożeń podczas realizowania pierwszych etapów wdrożenia wymogów RODO w organizacji.

Identyfikowanie, szacowanie, analizowanie ryzyka, i jego późniejsze minimalizowanie (w niektórych przypadkach akceptacja) to tylko początek drogi. Postępowanie z ryzykiem oznacza ciągły proces zamykający się niejako w pętli, gdyż każda organizacja powinna dążyć do wyeliminowania lub maksymalnego ograniczenia ryzyka związanego z bezpieczeństwem informacji i ochroną danych osobowych. Poziomy ryzyk określone na pewnym etapie życia organizacji, które wtedy mogły być akceptowalne, w następnym roku w dynamicznie zmieniającym się przedsiębiorstwie mogą bowiem bardzo łatwo stać się nieakceptowalnymi lub wręcz alarmującymi.

Zapraszamy na szkolenie: Analiza ryzyka w RODO

NEWSLETTER

Zapisz się na newsletter gdpr.pl, aby otrzymywać najświeższe informacje, opinie i rozstrzygnięcia ze świata RODO.

SKONTAKTUJ SIĘ Z NAMI

Jeśli jesteś zainteresowany naszą ofertą lub realizacją swojego projektu, napisz do nas wiadomość!

© Copyright 2021 Omni Modo. Wszelkie prawa zastrzeżone | Wykonanie: Agencja Portal

Michał Rygiel

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Adwokat. Ochroną danych osobowych i prawem nowych technologii zajmuje się od kilku lat.  Doświadczenie zawodowe zdobywał w firmach z branży IT oraz zajmujących się konsultingiem i doradztwem prawym w tym zakresie. Posiada również doświadczenie w obsłudze korporacyjnej w zakresie compliance ze szczególnym uwzględnieniem zagadnień ochrony danych osobowych oraz ładu korporacyjnego.

Marta Krawczyk

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Prawnik, absolwentka Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Jana Pawła II w Lublinie. Wiedzę pogłębiała m.in. podczas studiów podyplomowych Wykonywania funkcji Inspektora Ochrony Danych (INP PAN w Warszawie).

Od lat zajmuje się sprawami z zakresu prawa nowych technologii w szczególności prawem ochrony danych osobowych. Doświadczenie zawodowe zdobywała m.in. w Urzędzie Ochrony Danych Osobowych oraz Parlamencie Europejskim.

W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży produkcyjnej oraz podmiotów publicznych. Ponadto, wspomaga IOD w pełnieniu funkcji. W obszarze jej szczególnych zainteresowań leży tematyka ochrony danych przy przetwarzaniu transgranicznym oraz transferu danych do państwa trzecich.

Karol Kozieł

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny wpisany na listę radców prawnych prowadzoną przez Radę Okręgowej Izby Radców Prawnych w Kielcach, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Wiedzę  pogłębiał podczas studiów podyplomowych Prawo Nowoczesnych Technologii (INP PAN w Warszawie) oraz Nowoczesne Usługi Biznesowe (UTH w Radomiu). Ukończył programy Summer Law School on Intellectual Property Law oraz Summer Law School on Business Law organizowane przez University of Minho w Bradze.

Specjalizuje się w prawie e-commerce, ochronie konsumentów oraz  prawie ochrony danych osobowych. Doświadczenie zdobywał współtworząc i kierując działem prawnym wiodącego polskiego portalu internetowego z branży turystycznej oraz podczas pracy w kancelarii wyspecjalizowanej w prawie nowych technologii.  Autor publikacji naukowych i popularnonaukowych z zakresu ochrony danych osobowych w tym  „Komentarza do Ustawy z dnia 10 maja 2018 o ochronie danych osobowych” (współautorstwo i redakcja).  Wykładowca Wyższej Szkoły Bankowej w Warszawie.

Martyna Gosz

Adwokatka, Specjalistka ds. Ochrony Danych Osobowych

Adwokatka, absolwentka prawa Wydziale Prawa i Administracji i Ekonomii Uniwersytetu im. A. Mickiewicza w Poznaniu, a także Akademii L. Koźmińskiego w Warszawie na kierunku „Prawo Nowoczesnych Technologii”.
Specjalizuje się w zakresie ochrony danych osobowych, prawie nowych technologii, e-Commerce, a także prawie ubezpieczeń i prawie karnym. Pełniła także funkcję IODO w sektorze finansowym i ubezpieczeniowym. Od czasów studenckich angażuje się w wolontariat prawniczy (inicjatywy pro bono).
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży motoryzacyjnej i kosmetycznej oraz podmiotów publicznych. Posiada bogate doświadczenie w prowadzeniu całościowych audytów oraz wdrożeń z RODO, a także bieżącym doradztwie w zakresie przetwarzania danych osobowych.

Daniel Niwiński

Prawnik, Specjalista ds. Bezpieczeństwa Informacji

Absolwent SWPS Uniwersytetu Humanistycznospołecznego w Warszawie na kierunku Prawo, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji (ISO 27001), student wydziału Informatyki w Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. W swojej pracy zawodowej specjalizuje się w zagadnieniach związanych z bezpieczeństwem informacji, cybersecurity oraz ochroną danych osobowych. Doświadczenie zawodowe zdobywał m.in. w spółce z branży IT, w której zbudował od podstaw dział bezpieczeństwa informacji. Przez lata współprowadził również spółkę z branży handlu zagranicznego, aktywnie wspierając Zarząd zarówno w aspektach biznesowych jak i prawnych. W okresie studiów aktywnie wspierał działalność uczelni jako członek studenckiej poradni prawnej. Od 2019 roku współpracuje z Omni Modo w zakresie audytów bezpieczeństwa informacji, audytów ochrony danych osobowych oraz opracowywania i wdrażania procedur bezpieczeństwa.

Arkadiusz Rzycki

Project Manager

Absolwent Akademii Leona Koźmińskiego na kierunku „Zarządzanie procesowe”. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001. Specjalizuje się w zagadnieniach dotyczących bezpieczeństwa informacji, wymogów techniczno-organizacyjnych wynikających z przepisów RODO w zakresie bezpieczeństwa oraz przetwarzania danych osobowych, analizy ryzyka, zarządzania procesami i projektami. Doświadczenie zawodowe zdobywał w międzynarodowej instytucji finansowej. Od 2016 roku związany z Omni Modo.  Posiada długoletnie doświadczenie w zakresie zarządzania, realizacji projektów (w tym zapewniających zgodność z obowiązującymi przepisami prawa).  Przeprowadza audyty, szkolenia, opracowuje i wdraża dokumentację niezbędną do osiągnięcia celów realizowanych procesów, zgodności z wymogami organizacji, wdrażanych systemów zarządzania, jak również przepisów prawa.

Wojciech Habrowski

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie.

Zajmuje się sprawami z zakresu prawa ochrony danych osobowych, szeroko pojętego prawa cywilnego, w szczególności prawa zobowiązań, prawa gospodarczego oraz prawa pracy. Doświadczenie zawodowe zdobywał w renomowanych kancelariach radców prawnych, a także w kancelarii notarialnej.

W Omni Modo, do jego obowiązków należy bieżące doradztwo na rzecz klientów, wsparcie IOD, przeprowadzanie audytów zgodności z RODO oraz szkoleń. Odpowiada m.in. za obsługę klientów z branży energetycznej .