• Home
  • Firma
  • Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?
Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?
27 czerwca 2019 Comments 0

Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?

Ocena ryzyka to pierwszy krok, który należy wykonać, by oszacować, czy jakaś czynność lub proces przetwarzania danych mogą powodować owo ryzyko. Gdy ryzyko zostanie wykryte wówczas przeprowadza się DPiA, czyli ocenę skutków. Na czym dokładnie polegają obydwa te procesy i w jakich sytuacjach zaleca się, by je wykonać?

Ocena ryzyka

Ocena ryzyka i ocena skutków dla ochrony danych w zasadach RODO e-commerce oraz innych branż, to jedno z zagadnień, które powinien znać każdy, kto ma styczność z przetwarzaniem lub przechowywaniem danych osobowych. Według zapisów RODO, a konkretnie artykułu 35. tego rozporządzenia, każdy administrator danych osobowych jest zobowiązany do oceny ryzyka ochrony danych. Na czym dokładnie ona polega i w jakich sytuacjach jest konieczna?

Podczas każdej operacji przetwarzania danych osobowych, ze szczególnym naciskiem na procesy, w których udział biorą nowe technologie, o charakterze, kontekście, zakresie czy celu, mogącymi spowodować – z dużym prawdopodobieństwem – ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych osobowych przed tą czynnością powinien dokonać oceny ryzyka. Jeżeli takich operacji jest kilka, a mają one bardzo podobny charakter, można przeprowadzić pojedynczą ocenę ryzyka dla całej grupy tych czynności.

Jak stwierdzić, czy ryzyko jest wysokie? Istnieje grupa czynności szczególnie na nie narażona. Co może być przyczyną ryzyka? Czy RODO podaje definicję ryzyka? Nie, rozporządzenie przedstawia wyłącznie przykłady sytuacji, kiedy może ono występować. Szczegółowa lista takich przypadków znajduje się w motywie 75. Nie jest to zamknięty zestaw przypadków tylko baza, na której można opierać samodzielnie przeprowadzoną ocenę ryzyka.

W motywie mowa m.in. o przetwarzaniu danych osobowych niosącym ryzyko naruszenia praw lub wolności osób, które doprowadzić może do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, dyskryminacji, kradzieży tożsamości i wielu innych. Mogą to być również wszelkie przypadki szkody gospodarczej lub społecznej. Ryzyko zachodzi również wtedy, gdy osoba, której dane dotyczą, może zostać pozbawiona swoich praw, wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi.

Również wtedy, gdy mowa o danych szczególnych (wrażliwych), które ujawniają pochodzenie etniczne, rasowe, poglądy polityczne, religijne czy informacje o stanie zdrowia, można mówić o ryzyku. Kolejny zestaw takich sytuacji to wtedy, gdy ocenie poddawane są czynniki osobowe, zaliczyć do nich można np. efekty pracy, sytuację ekonomiczną, osobiste preferencje lub zainteresowania, a na ich podstawie tworzy się profil osobisty. Ostatnie przykłady sytuacji, gdy istnieje ryzyko naruszenia praw właściciela danych osobowych, to wtedy, gdy ta osoba wymaga szczególnej opieki – np. jest dzieckiem lub przetwarzanie dotyczy ogromnego zbioru danych osobowych i wpływa na liczną grupę osób.

Ocena skutków

Ocena skutków nie jest mechanizmem, który ustanowiło RODO. Tego typu praktyki w systemie ochrony danych funkcjonowały już wcześniej m.in. w zaleceniach Komisji Europejskiej, a także innych dokumentach. Co postanowienia zawarte w RODO mówią o ocenie skutków dla ochrony danych? Proces ten – funkcjonujący również pod nazwą DPiA lub oceny skutków regulacji – ma na celu ocenę przez administratora danych, czy wszelkie operacje przetwarzania danych osobowych obarczone są ryzykiem naruszenia praw osób, których dane dotyczą. Kiedy administrator danych oceni, że istnieje ryzyko naruszenia przepisów, wówczas powinien przeprowadzić ocenę skutków (DPiA).

Ustalenie, kiedy należy przeprowadzić ocenę skutków, nie jest rzeczą prostą – nie ma zamkniętej listy sytuacji, kiedy z całą pewnością administrator danych powinien ją przeprowadzić. Ponadto również nie istnieje dokładnie sprecyzowany sposób, jak dokonywać oceny skutków – te wątpliwości sprawiają, że właściwa ocena skali ryzyka i wybranie stosownych działań, które zminimalizują zagrożenia, jest trudna.

W ustaleniu, czy należy przeprowadzić ocenę skutków, pomocne będą 2 dokumenty. Pierwszy z nich to Opinie i wytyczne Grupy Roboczej art. 29. Został on przygotowany przede wszystkim dla administratorów danych osobowych oraz organów nadzorczych, by ułatwić analizę procesów przetwarzania danych i ocenę możliwości wystąpienia ryzyka związanego z przetwarzaniem. Drugim dokumentem, który ma ułatwić przeprowadzenie oceny skutków, jest ogłoszony w sierpniu 2018 roku wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. W wykazie znajduje się 8 kategorii rodzajów przetwarzania, kiedy obowiązkowo należy dokonać oceny skutków dla ochrony danych. Ponadto dokument podaje przykłady operacji, podczas których ryzyko wystąpienia naruszeń jest bardzo wysokie.

Co rozumie się przez naruszenia? Mogą to być działania celowe lub przypadkowe, których skutkiem jest np. zniszczenie, modyfikacja, częściowe lub całkowite ujawnienie danych osobowych lub nadanie do nich dostępu osobie nieuprawnionej. Są to m.in. sytuacje, gdy ocena czynników osobowych opiera się na zautomatyzowanym przetwarzaniu (w tym również profilowaniu) i ocena ta stanowi podstawę, na której opiera się decyzja wywołująca skutki prawne wobec osoby fizycznej lub znacząco na nią wpływa.

Drugą grupę takich przypadków stanowi przetwarzanie na dużą skalę danych osobowych zaliczanych do wrażliwych (takich jak wyznanie, stan zdrowia, przynależność do związku zawodowego) lub danych o wyrokach skazujących lub odnoszących się do innych naruszeń prawa. Ostatnią grupą takich przypadków są wszelkie sytuacje, gdy analiza ryzyka wykazała, że przetwarzanie danych osobowych może spowodować owo ryzyko.

Każda ocena skutków, której dokonać należy przed czynnością przetwarzania danych, powinna zawierać – co potwierdza art. 35 ust. 7 RODO – minimum poniższy zestaw informacji:

  • opis wszelkich planowanych operacji na danych osobowych – ich przetwarzania oraz celów przetwarzania,
  • ocena, czy planowane operacje przetwarzania danych są niezbędne, proporcjonalne i adekwatne do postawionych celów,
  • ocenienie ryzyka, czy planowane operacje mogą naruszyć prawa lub wolność osób, których dane dotyczą,
  • wybranie środków i mechanizmów, które zapobiegną lub zminimalizują to ryzyko i zapewnią ochronę danych osobowych i nie będą w sprzeczności z rozporządzeniem.

Różnice pomiędzy oceną ryzyka a oceną skutków

Podsumowując – czym różni się ocena ryzyka od oceny skutków? Ocenę skutków dla ochrony danych niekiedy nazywa się szczególną formą analizy ryzyka. Ocena ryzyka jest bardziej ogólnym i szerszym pojęciem. W rozporządzeniu brak definicji, która precyzuje czym jest ryzyko, kiedy wykonać jego ocenę i jak to zrobić. Ocena ryzyka może wyglądać inaczej w każdej firmie czy jednostce, brak uniwersalnego szablonu dla tego procesu. Po jego przeprowadzeniu można orzec, czy proces jest obarczony wysokim ryzykiem (co dokładnie zostało opisane w artykule 32 ust.1 RODO) oraz czy należy przeprowadzić DPiA, czyli ocenę skutków.

Previous Język mandaryński - czym nas zaskoczy?
Next Pozytywna obecność w mediach przekłada się na reputację mark
Kategoria Firma

Może to Ci się spodoba

Czy warszawski rynek public relations różni się od pozostałych miast w Polsce?
Firma 0 Comments

Czy warszawski rynek public relations różni się od pozostałych miast w Polsce?

Branża PR w Polsce ciągle znajduje się na etapie rozwoju. Wielu przedsiębiorców wciąż jeszcze nie docenia znaczenia public relations, niektórzy mylą te usługi z marketingiem, reklamą czy nawet doradztwem. Jednocześnie

Komisja Europejska proponuje przedłużenie o rok wsparcia dla producentów owoców i warzyw
Firma 9 komentarzy

Komisja Europejska proponuje przedłużenie o rok wsparcia dla producentów owoców i warzyw

Przez kolejny rok Komisja Europejska będzie wspierać producentów owoców i warzyw, którzy ucierpieli na skutek rosyjskiego embarga. Od sierpnia 2014 do marca 2015 eksport świeżych owoców i warzyw obniżył się o 17 proc.

Już milion osób współpracuje z branżą sprzedaży bezpośredniej
Firma 0 Comments

Już milion osób współpracuje z branżą sprzedaży bezpośredniej

Firmy z branży sprzedaży bezpośredniej od kilku lat bardzo dobrze radzą sobie na polskim rynku. W 2017 roku odnotowały blisko 5-proc. wzrost obrotów – do 3,3 mld zł, a liczba współpracujących

Firmy mogą już stosować mechanizm podzielonej płatności
Firma 0 Comments

Firmy mogą już stosować mechanizm podzielonej płatności

1 lipca weszły w życie przepisy wdrażające mechanizm podzielonej płatności. Opcja split payment dla firm płacących za produkty lub usługi polega na tym, że przedsiębiorca może rozdzielać swoją płatność: przelać kwotę netto

Jak oszczędzać na dostawie prowadząc własny sklep internetowy?
Firma 0 Comments

Jak oszczędzać na dostawie prowadząc własny sklep internetowy?

Jeśli prowadzisz własną firmę i nadajesz wiele paczek, ważne jest, abyś zastanowił się nad tym czy przypadkiem nie przepłacasz za usługi kurierskie. Każdy przedsiębiorca wie, jak ważne jest, aby móc

Rośnie zagrożenie cyberatakami. Dużym firmom łatwiej jest się przed nim obronić
Firma 0 Comments

Rośnie zagrożenie cyberatakami. Dużym firmom łatwiej jest się przed nim obronić

Ataki hakerskie są obecnie jednym z najpoważniejszych zagrożeń zarówno dla firm, jak i indywidualnych użytkowników. Eksperci od cyberbezpieczeństwa przestrzegają przed kolejną falą złośliwego oprogramowania ransomware, które blokuje dostęp do danych w celu szantażu lub

0 Comments

Brak komentarzy!

You can be first to skomentuj post

Zostaw odpowiedź