Dołącz do czytelników
Brak wyników

Prawo pod lupą

12 grudnia 2018

NR 60 (Grudzień 2018)

RODO w OPS Część III – szacowanie ryzyka i reagowanie w sytuacji naruszeń

0 31

Ogólne rozporządzenie o ochronie danych osobowych z dnia 26 kwietnia 2016 r. (RODO) zobowiązuje administratorów danych (ADO) do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu przetwarzania danych zgodnie z przepisami. W szczególności środki te mają służyć zapobieżeniu lub zminimalizowaniu ryzyka naruszenia praw lub wolności osób fizycznych, których dane mogą zostać przetworzone w sposób sprzeczny z obowiązującymi przepisami.

Zgodnie z art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania i ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Po myśli art. 32 ust. 2 RODO, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w przede wszystkim ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, a nadto zgodnie z art. 32 ust. 4 administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii Europejskiej lub prawo państwa członkowskiego.

Analiza i oszacowanie ryzyka

Przepisy te zobowiązują zatem ADO do oszacowania ryzyka wystąpienia zjawisk, w związku z którymi może dojść do niezgodnego z prawem przetwarzania danych osobowych.
Zgodnie z przygotowanym przez Urząd Ochrony Danych Osobowych poradnikiem pt. RODO – Podejście oparte na ryzyku (https://uodo.gov.pl/pl/123/208), „[...] uzależnienie środków ochrony przetwarzanych danych od poziomu ryzyka wymaga oszacowania ryzyka i zastosowania środków, które je wyeliminują lub zredukują do akceptowalnego poziomu, np. rezygnacja z usługi zdalnego dostępu do bazy danych osobowych. Zasada rozliczalności wymaga, aby proces szacowania ryzyka został przeprowadzony i udokumentowany – w celu wykazania, że ryzyko zostało oszacowane i wprowadzono odpowiednie środki ochrony. Zasada rozliczalności oznacza wdrożenie wewnętrznych środków (technicznych i organizacyjnych) zapewniających zgodność przetwarzania z RODO oraz pozostawania w gotowości do wykazania tej zgodności organowi nadzorczemu lub podmiotom, których dane są przetwarzane”.
Każda instytucja przetwarzająca dane osobowe narażona jest na wpływ czynników wewnętrznych oraz zewnętrznych, które mogą spowodować naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Zjawisko to określane jest mianem ryzyka, ponieważ występuje wówczas możliwość niezrealizowania założeń RODO w wyniku zajścia określonych zdarzeń. Ryzyko w przetwarzaniu danych jest związane z potencjalną sytuacją, w której określone zagrożenie wykorzysta podatność (np. niezabezpieczony hasłem sprzęt komputerowy czy niewiedzę pracownika), powodując w ten sposób szkodę dla instytucji (np. kradzież, upublicznienie informacji, pozyskanie informacji przez osobę/instytucję niemającą podstaw prawnych do jej pozyskania).
Zarządzanie ryzykiem według standardów PMI1 składa się z kilku etapów:

  • planowanie zarządzania ryzykiem – przygotowanie planu badań związanych z ryzykiem dotyczących konkretnego projektu (w tym zakresie zalecane jest, aby przygotować odpowiednie procedury, dokumentacje oraz techniki),
  • identyfikacja ryzyka – określenie stanu faktycznego oraz czynników opisujących ryzyko,
  • analiza (jakościowa i ilościowa) ryzyka – ocena istotności zagrożeń, które mogą wystąpić w trakcie realizacji oraz przeprowadzenie pomiarów prawdopodobieństwa w zakresie pojawienia się poszczególnych czynników ryzyka (przy czym prawdopodobieństwo to może być traktowane jako obiektywne lub subiektywne),
  • planowanie środków przeciwdziałania ryzyku – czyli stworzenie planu, którego celem jest zapobieganie lub minimalizacja wystąpienia potencjalnego ryzyka (opracowanie odpowiednich technik, metod oraz materialnych zabezpieczeń przed czynnikami stanowiącymi ryzyko),
  • monitoring i kontrola ryzyka – wdrożenie systemu zarządzania ryzykiem oraz przeprowadzanie działań prewencyjnych i nadzorczych.

W ujęciu przetwarzania danych osobowych identyfikacja ryzyka polegać będzie w zasadzie na wyszukaniu i określeniu każdego ryzyka, które zagraża lub może zagrozić podmiotowi przetwarzającemu dane. Na to, z jakiego rodzaju ryzykami możemy mieć do czynienia wskazuje choćby pkt 75 Preambuły do RODO, zgodnie z którym [...] ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:

  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
  • jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa;
  • jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się –...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań czasopisma "Doradca w Pomocy Społecznej"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • pełen dostęp do archiwalnych numerów czasopisma w wersji elektronicznej
  • ...i wiele więcej!
Sprawdź

Przypisy