Przepisy RODO nakazują dokonywanie okresowej analizy ryzyka. Kancelaria Prawna Majkowycz oferuje doradztwo przy przeprowadzaniu analizy ryzyka, które uwzględnia specyfikę danej branży.

NA CZYM POLEGA ANALIZA RYZYKA?

RODO nie odnosi się wprost do procesu zarządzania ryzykiem i nie wskazuje konkretnej metody przeprowadzania analizy w tym zakresie. Każdy podmiot musi dokonywać jej samodzielnie, uwzględniając wiele specyficznych dla niego czynników, takich jak: wielkość, struktura organizacyjna, możliwości techniczne czy zakres i rodzaj danych oraz cel ich przetwarzania. Szacowanie ryzyka to proces ciągły, który powinien być przeprowadzany przy użyciu konkretnej metody.

W RODO nie zdefiniowano wprost pojęcia „ryzyka”. Natomiast z punktu widzenia przeprowadzenia analizy ryzyka, istotne jest iż pojęcie to odnosi się do ewentualnych naruszeń z zakresu ochrony danych osobowych. Mówiąc o ryzyku naruszenia ochrony danych osobowych, należy uwzględnić:

a) prawdopodobieństwo wystąpienia określonego zdarzenia będącego naruszeniem;

b) wpływ wystąpienia naruszanie na ochronę danych osobowych.

Prawdopodobieństwo należy oceniać w odniesieniu do charakteru, zakresu, kontekstu i celów przetwarzania. W następnym kroku, wymagane jest przeprowadzenie ustalenia szacunkowego poziomu ryzyka.

Jednym z kryteriów może być SKUTEK. Zakres możliwych do wystąpienia skutków jest bardzo szeroki i powinny one zostać ustalone dla każdego podmiotu indywidualnie.

Kolejnym kryterium jest prawdopodobieństwo, które można oceniać np. według pięcio punktowej skali.

Prawdopodobieństwo Poziom Opis
Prawie pewne 5 Zdarzenie występuje raz w tygodniu
Prawdopodobne 4 Raz w miesiącu
Możliwe 3 Raz na kwartał
Mało prawdopodobne 2 Raz do roku
Rzadkie 1 Nie występuje

 

Następnie sumując liczbę punktów poziomu ryzyka można ustalić jego poziom.

Przykładowo w zależności od liczby punktów wyróżnić można trzy poziomy ryzyka:

Niski Od 1 do 3 punktów
Średni Od 4 do 5 punktów
Wysoki Od 6 punktów

 

W przypadku, gdy jakikolwiek proces i zagrożenie z niego wynikające zostałoby ocenione na poziomie wysokim –wymagane jest opracowanie oceny skutków dla ochrony danych. Podkreślamy, że powyższa metodologia oraz tabele stanowią jedynie przykład. Nie ma żadnej wiążącej metody związanej z przeprowadzeniem takowej analizy ryzyka i oceny skutków. Natomiast istotne jest, by odpowiednio zidentyfikować i opisać istniejące zagrożenia.

W razie dodatkowych pytań zapraszamy do kontakt:

tel. + 48 692 479 841

e-mail: t.majkowycz@mkp-legal.pl