Chcesz dobrze chronić dane osobowe? Przeprowadź analizę ryzyka

Data: 24-01-2017 r.

Analiza ryzyka to jedna z najważniejszych kwestii dla odpowiedniej ochrony danych osobowych w każdej organizacji. Podczas niej należy ustalić ryzyka i odpowiedzieć na pytania, do jakich naruszeń może dojść, jakie będą miały one skutki i jak można je ograniczyć.

Istnieją dwie podstawowe grupy metod przeprowadzania analizy ryzyka – ilościowe (kwantyfikatywne) i jakościowe (kwalifikatywne). Podstawą metod ilościowych są matematyczne obliczenia, w których kluczowymi elementami jest wpływ zagrożenia na bezpieczeństwo danych oraz prawdopodobieństwa takiego zdarzenia.

Aby przeprowadzić analizę metodą ilościową, musimy mieć dane liczbowe opisujące powyższe elementy. Najczęściej stosowane wartości w kwantyfikatywnych metodach analizy ryzyka to:

  • wartość monetarna,
  • wartość procentowa,
  • liczba wystąpień i
  • prawdopodobieństwo wystąpienia danego zdarzenia.

Drugim sposobem przeprowadzenia analizy ryzyka są metody kwalifikatywne. Są dużo bardziej subiektywne, gdyż ich podstawą jest wiedza i doświadczenie osoby, która przeprowadza tego typu analizę ryzyka. W metodach jakościowych stosuje się wyniki opisowe, które mogą posiadać liczbowe odpowiedniki (1 – ryzyko bardzo małe, 5 – ryzyko krytyczne itd.). Konieczne jest wiec przeprowadzenie audytu, w trakcie którego ustala się procesy przetwarzania danych, a następnie weryfikuje się ich podatności na możliwość wystąpienia naruszenia.

W imieniu administratora danych lub procesora analizę ryzyka może przeprowadzić wyznaczona osoba, np. administrator bezpieczeństwa informacji czy firma zewnętrzna.

Analiza ryzyka – od czego zacząć

Prowadząc analizę ryzyka, należy zacząć od ustalenia, jakie rodzaju dane osobowe przetwarzamy. Pierwszą kwestią, jaka przychodzi do głowy, jest weryfikacja przetwarzanych danych pod kątem tego, czy stanowią dane wrażliwe, czy też należą do tzw. danych zwykłych.

Generalnie ustawa o mówi o zakazie przetwarzania danych wrażliwych, co powinno być dla nas wskazówką. Prowadząc analizę, powinniśmy zweryfikować przede wszystkim, czy posiadamy podstawę przetwarzania danych wrażliwych i czy nie zbieramy ich na zapas.

Należy przy tym pamiętać, że ustawa nie narzuca wyższych standardów zabezpieczenia danych wrażliwych. Pewien wyjątek dotyczy przetwarzania danych wrażliwych w systemach informatycznych, o ile stacja robocza, na której przetwarzane są dane osobowe, nie jest połączona z siecią publiczną (stosujemy wtedy podwyższony poziom bezpieczeństwa).

Z punktu widzenia ustawy wszystkie dane są tak samo ważne. Nie ma więc znaczenia, czy udostępniliśmy osobom nieupoważnionym imię, nazwisko, numer telefonu, PESEL, adres zamieszkania, informacje o chorobie czy też udostępniony został wyłącznie adres e-mail.

Jest to takie samo naruszenie, które może skutkować odpowiedzialnością karną. Zasób, który jest jednym z elementów analizy ryzyka, jest więc zawsze tak samo istotny. Oczywiście mówimy tutaj wyłącznie o ustawie. Udostępnienie szerszego zakresu danych może być bardziej dotkliwe dla organizacji chociażby z punktu widzenia wizerunkowego czy też ewentualnych pozwów cywilnych.

Na analizę ryzyka ma również wpływ sposób przetwarzania danych. Na inne ryzyka są narażone dane osobowe przetwarzane w systemach informatycznych, a na inne dane przetwarzane w formie papierowej. Obecnie coraz więcej danych jest przetwarzanych w systemach informatycznych i to te dane są narażone na zdecydowanie większą ilość ryzyk. Z drugiej zaś strony istnieje większa świadomość w zakresie zabezpieczenia danych przetwarzanych w formie elektronicznej, a do danych przetwarzanych w formie papierowej przykłada się mniejszą wagę.

Łukasz Onysyk, ekspert ds. ochrony danych osobowych, zajmuje się usługami konsultingowymi z zakresu ochrony danych osobowych, doradzał ponad 200 podmiotom z sektora prywatnego i administracji publicznej

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
Array ( [docId] => 39934 )
Array ( [docId] => 39934 )

Array ( [docId] => 39934 )