• Home
  • Firma
  • Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?
Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?
27 czerwca 2019 Comments 0

Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?

Ocena ryzyka to pierwszy krok, który należy wykonać, by oszacować, czy jakaś czynność lub proces przetwarzania danych mogą powodować owo ryzyko. Gdy ryzyko zostanie wykryte wówczas przeprowadza się DPiA, czyli ocenę skutków. Na czym dokładnie polegają obydwa te procesy i w jakich sytuacjach zaleca się, by je wykonać?

Ocena ryzyka

Ocena ryzyka i ocena skutków dla ochrony danych w zasadach RODO e-commerce oraz innych branż, to jedno z zagadnień, które powinien znać każdy, kto ma styczność z przetwarzaniem lub przechowywaniem danych osobowych. Według zapisów RODO, a konkretnie artykułu 35. tego rozporządzenia, każdy administrator danych osobowych jest zobowiązany do oceny ryzyka ochrony danych. Na czym dokładnie ona polega i w jakich sytuacjach jest konieczna?

Podczas każdej operacji przetwarzania danych osobowych, ze szczególnym naciskiem na procesy, w których udział biorą nowe technologie, o charakterze, kontekście, zakresie czy celu, mogącymi spowodować – z dużym prawdopodobieństwem – ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych osobowych przed tą czynnością powinien dokonać oceny ryzyka. Jeżeli takich operacji jest kilka, a mają one bardzo podobny charakter, można przeprowadzić pojedynczą ocenę ryzyka dla całej grupy tych czynności.

Jak stwierdzić, czy ryzyko jest wysokie? Istnieje grupa czynności szczególnie na nie narażona. Co może być przyczyną ryzyka? Czy RODO podaje definicję ryzyka? Nie, rozporządzenie przedstawia wyłącznie przykłady sytuacji, kiedy może ono występować. Szczegółowa lista takich przypadków znajduje się w motywie 75. Nie jest to zamknięty zestaw przypadków tylko baza, na której można opierać samodzielnie przeprowadzoną ocenę ryzyka.

W motywie mowa m.in. o przetwarzaniu danych osobowych niosącym ryzyko naruszenia praw lub wolności osób, które doprowadzić może do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, dyskryminacji, kradzieży tożsamości i wielu innych. Mogą to być również wszelkie przypadki szkody gospodarczej lub społecznej. Ryzyko zachodzi również wtedy, gdy osoba, której dane dotyczą, może zostać pozbawiona swoich praw, wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi.

Również wtedy, gdy mowa o danych szczególnych (wrażliwych), które ujawniają pochodzenie etniczne, rasowe, poglądy polityczne, religijne czy informacje o stanie zdrowia, można mówić o ryzyku. Kolejny zestaw takich sytuacji to wtedy, gdy ocenie poddawane są czynniki osobowe, zaliczyć do nich można np. efekty pracy, sytuację ekonomiczną, osobiste preferencje lub zainteresowania, a na ich podstawie tworzy się profil osobisty. Ostatnie przykłady sytuacji, gdy istnieje ryzyko naruszenia praw właściciela danych osobowych, to wtedy, gdy ta osoba wymaga szczególnej opieki – np. jest dzieckiem lub przetwarzanie dotyczy ogromnego zbioru danych osobowych i wpływa na liczną grupę osób.

Ocena skutków

Ocena skutków nie jest mechanizmem, który ustanowiło RODO. Tego typu praktyki w systemie ochrony danych funkcjonowały już wcześniej m.in. w zaleceniach Komisji Europejskiej, a także innych dokumentach. Co postanowienia zawarte w RODO mówią o ocenie skutków dla ochrony danych? Proces ten – funkcjonujący również pod nazwą DPiA lub oceny skutków regulacji – ma na celu ocenę przez administratora danych, czy wszelkie operacje przetwarzania danych osobowych obarczone są ryzykiem naruszenia praw osób, których dane dotyczą. Kiedy administrator danych oceni, że istnieje ryzyko naruszenia przepisów, wówczas powinien przeprowadzić ocenę skutków (DPiA).

Ustalenie, kiedy należy przeprowadzić ocenę skutków, nie jest rzeczą prostą – nie ma zamkniętej listy sytuacji, kiedy z całą pewnością administrator danych powinien ją przeprowadzić. Ponadto również nie istnieje dokładnie sprecyzowany sposób, jak dokonywać oceny skutków – te wątpliwości sprawiają, że właściwa ocena skali ryzyka i wybranie stosownych działań, które zminimalizują zagrożenia, jest trudna.

W ustaleniu, czy należy przeprowadzić ocenę skutków, pomocne będą 2 dokumenty. Pierwszy z nich to Opinie i wytyczne Grupy Roboczej art. 29. Został on przygotowany przede wszystkim dla administratorów danych osobowych oraz organów nadzorczych, by ułatwić analizę procesów przetwarzania danych i ocenę możliwości wystąpienia ryzyka związanego z przetwarzaniem. Drugim dokumentem, który ma ułatwić przeprowadzenie oceny skutków, jest ogłoszony w sierpniu 2018 roku wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. W wykazie znajduje się 8 kategorii rodzajów przetwarzania, kiedy obowiązkowo należy dokonać oceny skutków dla ochrony danych. Ponadto dokument podaje przykłady operacji, podczas których ryzyko wystąpienia naruszeń jest bardzo wysokie.

Co rozumie się przez naruszenia? Mogą to być działania celowe lub przypadkowe, których skutkiem jest np. zniszczenie, modyfikacja, częściowe lub całkowite ujawnienie danych osobowych lub nadanie do nich dostępu osobie nieuprawnionej. Są to m.in. sytuacje, gdy ocena czynników osobowych opiera się na zautomatyzowanym przetwarzaniu (w tym również profilowaniu) i ocena ta stanowi podstawę, na której opiera się decyzja wywołująca skutki prawne wobec osoby fizycznej lub znacząco na nią wpływa.

Drugą grupę takich przypadków stanowi przetwarzanie na dużą skalę danych osobowych zaliczanych do wrażliwych (takich jak wyznanie, stan zdrowia, przynależność do związku zawodowego) lub danych o wyrokach skazujących lub odnoszących się do innych naruszeń prawa. Ostatnią grupą takich przypadków są wszelkie sytuacje, gdy analiza ryzyka wykazała, że przetwarzanie danych osobowych może spowodować owo ryzyko.

Każda ocena skutków, której dokonać należy przed czynnością przetwarzania danych, powinna zawierać – co potwierdza art. 35 ust. 7 RODO – minimum poniższy zestaw informacji:

  • opis wszelkich planowanych operacji na danych osobowych – ich przetwarzania oraz celów przetwarzania,
  • ocena, czy planowane operacje przetwarzania danych są niezbędne, proporcjonalne i adekwatne do postawionych celów,
  • ocenienie ryzyka, czy planowane operacje mogą naruszyć prawa lub wolność osób, których dane dotyczą,
  • wybranie środków i mechanizmów, które zapobiegną lub zminimalizują to ryzyko i zapewnią ochronę danych osobowych i nie będą w sprzeczności z rozporządzeniem.

Różnice pomiędzy oceną ryzyka a oceną skutków

Podsumowując – czym różni się ocena ryzyka od oceny skutków? Ocenę skutków dla ochrony danych niekiedy nazywa się szczególną formą analizy ryzyka. Ocena ryzyka jest bardziej ogólnym i szerszym pojęciem. W rozporządzeniu brak definicji, która precyzuje czym jest ryzyko, kiedy wykonać jego ocenę i jak to zrobić. Ocena ryzyka może wyglądać inaczej w każdej firmie czy jednostce, brak uniwersalnego szablonu dla tego procesu. Po jego przeprowadzeniu można orzec, czy proces jest obarczony wysokim ryzykiem (co dokładnie zostało opisane w artykule 32 ust.1 RODO) oraz czy należy przeprowadzić DPiA, czyli ocenę skutków.

Previous Język mandaryński - czym nas zaskoczy?
Next Pozytywna obecność w mediach przekłada się na reputację mark
Kategoria Firma

Może to Ci się spodoba

Trudny początek roku dla Facebooka
Firma 0 Comments

Trudny początek roku dla Facebooka

Ostatnie tygodnie upłynęły pod znakiem kryzysów w mediach społecznościowych. Ucierpiały w nich zwłaszcza YouTube i Facebook. Ten pierwszy wciąż boryka się ze skutkami afery wizerunkowej z udziałem popularnego, amerykańskiego youtubera, który żartował z samobójcy. Z

Kredyt na innowacyjne technologie – zmiany w sposobie przyznawania
Firma 0 Comments

Kredyt na innowacyjne technologie – zmiany w sposobie przyznawania

Rząd przyjął projekt nowelizacji ustawy o niektórych formach wsparcia działalności innowacyjnej. Zmiany zakładają korzystniejszą dla przedsiębiorców i bardziej efektywną dla kraju ocenę innowacyjnych rozwiązań wdrażanych w firmach. Nowelizacja objęła swym

Jak rozkręcić biznes hafciarski w domu? Kredyt 60 tys. złotych
Firma 0 Comments

Jak rozkręcić biznes hafciarski w domu? Kredyt 60 tys. złotych

Dzisiejsza technologia stale się rozwija i potrafi zaskakiwać. Przeciętny człowiek nigdy nawet nie będzie świadomy, w jaki sposób rozwinęły się rzemiosła istniejące odsetek lat. Znakomitym tego przykładem jest haft komputerowy.

Prawie 90 proc. małych firm nie dostaje płatności w terminie
Firma 0 Comments

Prawie 90 proc. małych firm nie dostaje płatności w terminie

Co dziesiąta firma w Polsce nie odzyskuje pieniędzy od swoich kontrahentów – mówi Jacek Zawadzki, członek zarządu BEST SA. Jednak tylko 1 na 10 przedsiębiorców podejmuje jakiekolwiek działania zmierzające do ponaglenia dłużnika

Kiedy warto skorzystać z usług biura nieruchomości?
Biuro rachunkowe 0 Comments

Kiedy warto skorzystać z usług biura nieruchomości?

Osoby chcące sprzedać dom lub mieszkanie mogą samodzielnie poszukiwać chętnych nabywców i reklamować swoją ofertę. Alternatywą jest skorzystanie z usług biura nieruchomości, które bierze na siebie przygotowanie ogłoszeń czy dopełnienie

Co zyskasz, wdrażając system ERP w swojej firmie
Firma 0 Comments

Co zyskasz, wdrażając system ERP w swojej firmie

W każdym przedsiębiorstwie, którego efektywność rynkowa zależy od sprawnego przepływu danych pomiędzy poszczególnymi działami, wdrożenie dopasowanego systemu ERP jest najprostszym i jednocześnie najskuteczniejszym rozwiązaniem, podnoszącym sprawność działania. System ERP, zbierając

0 Comments

Brak komentarzy!

You can be first to skomentuj post

Zostaw odpowiedź