Czym są dane osobowe
Czym są dane osobowe
Listopad 5, 2018
ile w tym nowego
RODO ile w tym nowego, a co już od dawna funkcjonuje?
Listopad 13, 2018
RODO, czyli ile w tym mitów

RODO i co dalej?

RODO, czyli ile w tym mitów

Czyli ile w tym mitów, a ile realnego zagrożenia?

Wszystkie firmy mające na co dzień styczność z danymi i ich przetwarzaniem narażone są na wpływ czynników zarówno wewnętrznych, jak również zewnętrznych, które mogą spowodować naruszenie zasad bezpieczeństwa i prowadzić do zniszczenia, zmodyfikowania czy ich ujawnienia. Jest to ryzyko wynikające z niewłaściwych decyzji, zobowiązań biznesowych, niespójności systemu, niewłaściwego lub błędnego działania procesów w organizacji, czy wreszcie najprostszego i najbardziej prawdopodobnego – czynnika ludzkiego. W związku z tym niezbędnym jest właściwe przygotowanie się na tego typu sytuacje, wykazując przy tym szczególną staranność i uwagę. Należy bowiem wszystkie działania i czynniki poddać procesowi identyfikacji, oceny, postępowania i kontroli na wypadek potencjalnych zdarzeń lub sytuacji.

Ryzyko w przetwarzaniu danych jest związane z potencjalną sytuacją, w której określone zagrożenie w chwili wystąpienia może spowodować szkodę dla organizacji w postaci kradzież lub upublicznienia informacji. Co więc warto wziąć pod uwagę? - ilość lokalizacji, w których organizacja ma swoją siedzibę, czy w każdej z nich organizacja prowadzi działalność związaną z przetwarzaniem danych osobowych, ile osób ma dostęp do danych osobowych, czy osoby mające dostęp do danych to tylko pracownicy, czy są to również osoby z zewnątrz, dane ilu osób są przetwarzane, czy są to dane o charakterze wrażliwym; - przy pomocy jakich środków dane są przetwarzane (w formie papierowej, na komputerach, w chmurze), czy dane są przetwarzane zgodnie z prawem, w tym z adekwatnością celu i proporcjonalnością, czy dysponujemy środkami przyczyniającymi się do zachowania praw osób, których zbierane dane dotyczą; - czy organizacja posiada własną infrastrukturę IT, czy zleca świadczenie tego typu usług na zewnątrz (np. dane w chmurze) oraz z ilu i z jakich programów korzysta w trakcie przetwarzania danych osobowych.

Można przyjąć, że im więcej danych przetwarzamy i im bardziej są one wrażliwe, tym ryzyko naruszenie prawa jednostki do prywatności jest większe.

W jaki sposób zidentyfikować potencjalne ryzyka?

Przede wszystkim należy wyszukać i nazwać każde ryzyko zagrażające podmiotowi przetwarzającemu dane, wraz z ich źródłem i przyczyną oraz wstępnie określić ewentualne szkody, które może wywołać. Dyskryminacja, kradzież tożsamości, straty finansowe, naruszenie dobrego imienia, a nawet pozbawienie praw i wolności, oto kilka przykładowych skutków wynikających z niewłaściwego przetwarzania danych osobowych, które mogą pociągać za sobą dodatkowo konsekwencje prawne i/lub finansowe.

W celu zminimalizowania ryzyka zaleca się wybranie jednego lub kilku wariantów, które zapewnią znaczną redukcję jego wystąpienia przy względnie małych nakładach. Przedsiębiorca może więc obniżyć poziom ryzyka poprzez zastosowanie odpowiednich środków organizacyjnych jakimi są np. szkolenia pracowników, uniknąć ryzyka poprzez decyzję o nierozpoczynaniu lub niekontynuowaniu działań mogących je spowodować, usunąć potencjalne jego źródło, przenieść lub dzielić je wraz z innymi stronami np. poprzez zawarcie odpowiednich klauzul w umowach z kontrahentami.

Zgodnie jednak z rozporządzeniem RODO, którego główną przesłanką jest ochrona przetwarzanych danych osobowych, w celu zminimalizowania ryzyka zaleca się zastosowanie następujących działań i środków:

- pseudonimizacja i szyfrowanie danych osobowych,

- zapewnienie poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania,

- szybkie przywrócenie dostępności danych osobowych i dostęp do nich w razie incydentu fizycznego lub technicznego,

- regularne mierzenie i ocenianie skuteczności środków technicznych oraz organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania.


Zapisz się na nasz newsletter!

Otrzymuj aktualności dotyczące RODO i RODOmanagera wprost na swoją skrzynkę email.

Wyrażam zgodę na otrzymywanie drogą elektroniczną na wskazany przeze mnie adres email informacji handlowej w rozumieniu art. 10 ust. 1 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną od SI-Consulting Sp. z o.o., ul. Ślężna 118, 53-111 Wrocław.