• Home
  • Firma
  • Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?
Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?
27 czerwca 2019 Comments 0

Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?

Ocena ryzyka to pierwszy krok, który należy wykonać, by oszacować, czy jakaś czynność lub proces przetwarzania danych mogą powodować owo ryzyko. Gdy ryzyko zostanie wykryte wówczas przeprowadza się DPiA, czyli ocenę skutków. Na czym dokładnie polegają obydwa te procesy i w jakich sytuacjach zaleca się, by je wykonać?

Ocena ryzyka

Ocena ryzyka i ocena skutków dla ochrony danych w zasadach RODO e-commerce oraz innych branż, to jedno z zagadnień, które powinien znać każdy, kto ma styczność z przetwarzaniem lub przechowywaniem danych osobowych. Według zapisów RODO, a konkretnie artykułu 35. tego rozporządzenia, każdy administrator danych osobowych jest zobowiązany do oceny ryzyka ochrony danych. Na czym dokładnie ona polega i w jakich sytuacjach jest konieczna?

Podczas każdej operacji przetwarzania danych osobowych, ze szczególnym naciskiem na procesy, w których udział biorą nowe technologie, o charakterze, kontekście, zakresie czy celu, mogącymi spowodować – z dużym prawdopodobieństwem – ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych osobowych przed tą czynnością powinien dokonać oceny ryzyka. Jeżeli takich operacji jest kilka, a mają one bardzo podobny charakter, można przeprowadzić pojedynczą ocenę ryzyka dla całej grupy tych czynności.

Jak stwierdzić, czy ryzyko jest wysokie? Istnieje grupa czynności szczególnie na nie narażona. Co może być przyczyną ryzyka? Czy RODO podaje definicję ryzyka? Nie, rozporządzenie przedstawia wyłącznie przykłady sytuacji, kiedy może ono występować. Szczegółowa lista takich przypadków znajduje się w motywie 75. Nie jest to zamknięty zestaw przypadków tylko baza, na której można opierać samodzielnie przeprowadzoną ocenę ryzyka.

W motywie mowa m.in. o przetwarzaniu danych osobowych niosącym ryzyko naruszenia praw lub wolności osób, które doprowadzić może do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, dyskryminacji, kradzieży tożsamości i wielu innych. Mogą to być również wszelkie przypadki szkody gospodarczej lub społecznej. Ryzyko zachodzi również wtedy, gdy osoba, której dane dotyczą, może zostać pozbawiona swoich praw, wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi.

Również wtedy, gdy mowa o danych szczególnych (wrażliwych), które ujawniają pochodzenie etniczne, rasowe, poglądy polityczne, religijne czy informacje o stanie zdrowia, można mówić o ryzyku. Kolejny zestaw takich sytuacji to wtedy, gdy ocenie poddawane są czynniki osobowe, zaliczyć do nich można np. efekty pracy, sytuację ekonomiczną, osobiste preferencje lub zainteresowania, a na ich podstawie tworzy się profil osobisty. Ostatnie przykłady sytuacji, gdy istnieje ryzyko naruszenia praw właściciela danych osobowych, to wtedy, gdy ta osoba wymaga szczególnej opieki – np. jest dzieckiem lub przetwarzanie dotyczy ogromnego zbioru danych osobowych i wpływa na liczną grupę osób.

Ocena skutków

Ocena skutków nie jest mechanizmem, który ustanowiło RODO. Tego typu praktyki w systemie ochrony danych funkcjonowały już wcześniej m.in. w zaleceniach Komisji Europejskiej, a także innych dokumentach. Co postanowienia zawarte w RODO mówią o ocenie skutków dla ochrony danych? Proces ten – funkcjonujący również pod nazwą DPiA lub oceny skutków regulacji – ma na celu ocenę przez administratora danych, czy wszelkie operacje przetwarzania danych osobowych obarczone są ryzykiem naruszenia praw osób, których dane dotyczą. Kiedy administrator danych oceni, że istnieje ryzyko naruszenia przepisów, wówczas powinien przeprowadzić ocenę skutków (DPiA).

Ustalenie, kiedy należy przeprowadzić ocenę skutków, nie jest rzeczą prostą – nie ma zamkniętej listy sytuacji, kiedy z całą pewnością administrator danych powinien ją przeprowadzić. Ponadto również nie istnieje dokładnie sprecyzowany sposób, jak dokonywać oceny skutków – te wątpliwości sprawiają, że właściwa ocena skali ryzyka i wybranie stosownych działań, które zminimalizują zagrożenia, jest trudna.

W ustaleniu, czy należy przeprowadzić ocenę skutków, pomocne będą 2 dokumenty. Pierwszy z nich to Opinie i wytyczne Grupy Roboczej art. 29. Został on przygotowany przede wszystkim dla administratorów danych osobowych oraz organów nadzorczych, by ułatwić analizę procesów przetwarzania danych i ocenę możliwości wystąpienia ryzyka związanego z przetwarzaniem. Drugim dokumentem, który ma ułatwić przeprowadzenie oceny skutków, jest ogłoszony w sierpniu 2018 roku wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. W wykazie znajduje się 8 kategorii rodzajów przetwarzania, kiedy obowiązkowo należy dokonać oceny skutków dla ochrony danych. Ponadto dokument podaje przykłady operacji, podczas których ryzyko wystąpienia naruszeń jest bardzo wysokie.

Co rozumie się przez naruszenia? Mogą to być działania celowe lub przypadkowe, których skutkiem jest np. zniszczenie, modyfikacja, częściowe lub całkowite ujawnienie danych osobowych lub nadanie do nich dostępu osobie nieuprawnionej. Są to m.in. sytuacje, gdy ocena czynników osobowych opiera się na zautomatyzowanym przetwarzaniu (w tym również profilowaniu) i ocena ta stanowi podstawę, na której opiera się decyzja wywołująca skutki prawne wobec osoby fizycznej lub znacząco na nią wpływa.

Drugą grupę takich przypadków stanowi przetwarzanie na dużą skalę danych osobowych zaliczanych do wrażliwych (takich jak wyznanie, stan zdrowia, przynależność do związku zawodowego) lub danych o wyrokach skazujących lub odnoszących się do innych naruszeń prawa. Ostatnią grupą takich przypadków są wszelkie sytuacje, gdy analiza ryzyka wykazała, że przetwarzanie danych osobowych może spowodować owo ryzyko.

Każda ocena skutków, której dokonać należy przed czynnością przetwarzania danych, powinna zawierać – co potwierdza art. 35 ust. 7 RODO – minimum poniższy zestaw informacji:

  • opis wszelkich planowanych operacji na danych osobowych – ich przetwarzania oraz celów przetwarzania,
  • ocena, czy planowane operacje przetwarzania danych są niezbędne, proporcjonalne i adekwatne do postawionych celów,
  • ocenienie ryzyka, czy planowane operacje mogą naruszyć prawa lub wolność osób, których dane dotyczą,
  • wybranie środków i mechanizmów, które zapobiegną lub zminimalizują to ryzyko i zapewnią ochronę danych osobowych i nie będą w sprzeczności z rozporządzeniem.

Różnice pomiędzy oceną ryzyka a oceną skutków

Podsumowując – czym różni się ocena ryzyka od oceny skutków? Ocenę skutków dla ochrony danych niekiedy nazywa się szczególną formą analizy ryzyka. Ocena ryzyka jest bardziej ogólnym i szerszym pojęciem. W rozporządzeniu brak definicji, która precyzuje czym jest ryzyko, kiedy wykonać jego ocenę i jak to zrobić. Ocena ryzyka może wyglądać inaczej w każdej firmie czy jednostce, brak uniwersalnego szablonu dla tego procesu. Po jego przeprowadzeniu można orzec, czy proces jest obarczony wysokim ryzykiem (co dokładnie zostało opisane w artykule 32 ust.1 RODO) oraz czy należy przeprowadzić DPiA, czyli ocenę skutków.

Previous Język mandaryński - czym nas zaskoczy?
Next Pozytywna obecność w mediach przekłada się na reputację mark
Kategoria Firma

Może to Ci się spodoba

Firmy transportowe inwestują w rozwiązania monitorujące na bieżąco trasę i pracę kierowców
Firma 0 Comments

Firmy transportowe inwestują w rozwiązania monitorujące na bieżąco trasę i pracę kierowców

Branża transportowa wchodzi w technologiczną transformację. Krajowe i unijne regulacje prawne oraz konieczność optymalizacji działalności skłaniają firmy transportowe do korzystania z systemów telematycznych. Pozwalają one na bieżąco zarządzać przebiegiem trasy, czasem pracy kierowcy, monitorować

Współpraca konkurujących na co dzień firm w ramach klastrów napędza rozwój gospodarki
Firma 0 Comments

Współpraca konkurujących na co dzień firm w ramach klastrów napędza rozwój gospodarki

W Polsce istnieje ok. 200 klastrów, czyli firm konkurujących ze sobą, ale decydujących się na współpracę, aby osiągnąć wspólny cel, np. realizację prac badawczo naukowych. Ponad połowa z nich działa aktywnie,

Polskie start-upy rosną w siłę i wychodzą na zagraniczne rynki
Firma 0 Comments

Polskie start-upy rosną w siłę i wychodzą na zagraniczne rynki

Polskie start-upy rozwijają się głównie z własnych środków, ale chcą też przyciągać zagranicznych inwestorów. Coraz łatwiej jest im też pozyskać wsparcie z budżetu państwa czy funduszy unijnych. W Warszawie zakończyła się właśnie

Czym charakteryzuje się technologia cięcia laserem?
Firma 0 Comments

Czym charakteryzuje się technologia cięcia laserem?

Oferuje nam szereg unikatowych możliwości pozwalając między innymi na łatwą edycję kształtu, jaki ma element docelowy, wpływanie na jego wymiary, a nawet na strukturę. Co ważne, znajduje ona zastosowanie bez

Finansowanie firmy przez internetową społeczność
Zakładam firmę 4 komentarze

Finansowanie firmy przez internetową społeczność

Crowfunding – dziedzina jeszcze raczkująca w Polsce, na świecie pomaga zbierać miliony dolarów przeznaczonych na działalność charytatywną, społeczną i biznesową. Finansowanie rozmaitych przedsięwzięć przez grupy społecznościowe staje się coraz szerzej

Polskie start-upy mogą być bardziej innowacyjne
Firma 0 Comments

Polskie start-upy mogą być bardziej innowacyjne

Tylko co czwarty start-up współpracuje z naukowcami, a w co szóstym założycielem jest osoba zaangażowana w pracę naukową – wynika z opracowania „Polskie start-upy. Raport 2015”. Eksperci przekonują, że współpraca nauki i biznesu jest warunkiem

0 Comments

Brak komentarzy!

You can be first to skomentuj post

Zostaw odpowiedź