• Home
  • Firma
  • Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?
Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?
27 czerwca 2019 Comments 0 907 Views

Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?

Ocena ryzyka to pierwszy krok, który należy wykonać, by oszacować, czy jakaś czynność lub proces przetwarzania danych mogą powodować owo ryzyko. Gdy ryzyko zostanie wykryte wówczas przeprowadza się DPiA, czyli ocenę skutków. Na czym dokładnie polegają obydwa te procesy i w jakich sytuacjach zaleca się, by je wykonać?

Ocena ryzyka

Ocena ryzyka i ocena skutków dla ochrony danych w zasadach RODO e-commerce oraz innych branż, to jedno z zagadnień, które powinien znać każdy, kto ma styczność z przetwarzaniem lub przechowywaniem danych osobowych. Według zapisów RODO, a konkretnie artykułu 35. tego rozporządzenia, każdy administrator danych osobowych jest zobowiązany do oceny ryzyka ochrony danych. Na czym dokładnie ona polega i w jakich sytuacjach jest konieczna?

Podczas każdej operacji przetwarzania danych osobowych, ze szczególnym naciskiem na procesy, w których udział biorą nowe technologie, o charakterze, kontekście, zakresie czy celu, mogącymi spowodować – z dużym prawdopodobieństwem – ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych osobowych przed tą czynnością powinien dokonać oceny ryzyka. Jeżeli takich operacji jest kilka, a mają one bardzo podobny charakter, można przeprowadzić pojedynczą ocenę ryzyka dla całej grupy tych czynności.

Jak stwierdzić, czy ryzyko jest wysokie? Istnieje grupa czynności szczególnie na nie narażona. Co może być przyczyną ryzyka? Czy RODO podaje definicję ryzyka? Nie, rozporządzenie przedstawia wyłącznie przykłady sytuacji, kiedy może ono występować. Szczegółowa lista takich przypadków znajduje się w motywie 75. Nie jest to zamknięty zestaw przypadków tylko baza, na której można opierać samodzielnie przeprowadzoną ocenę ryzyka.

W motywie mowa m.in. o przetwarzaniu danych osobowych niosącym ryzyko naruszenia praw lub wolności osób, które doprowadzić może do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, dyskryminacji, kradzieży tożsamości i wielu innych. Mogą to być również wszelkie przypadki szkody gospodarczej lub społecznej. Ryzyko zachodzi również wtedy, gdy osoba, której dane dotyczą, może zostać pozbawiona swoich praw, wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi.

Również wtedy, gdy mowa o danych szczególnych (wrażliwych), które ujawniają pochodzenie etniczne, rasowe, poglądy polityczne, religijne czy informacje o stanie zdrowia, można mówić o ryzyku. Kolejny zestaw takich sytuacji to wtedy, gdy ocenie poddawane są czynniki osobowe, zaliczyć do nich można np. efekty pracy, sytuację ekonomiczną, osobiste preferencje lub zainteresowania, a na ich podstawie tworzy się profil osobisty. Ostatnie przykłady sytuacji, gdy istnieje ryzyko naruszenia praw właściciela danych osobowych, to wtedy, gdy ta osoba wymaga szczególnej opieki – np. jest dzieckiem lub przetwarzanie dotyczy ogromnego zbioru danych osobowych i wpływa na liczną grupę osób.

Ocena skutków

Ocena skutków nie jest mechanizmem, który ustanowiło RODO. Tego typu praktyki w systemie ochrony danych funkcjonowały już wcześniej m.in. w zaleceniach Komisji Europejskiej, a także innych dokumentach. Co postanowienia zawarte w RODO mówią o ocenie skutków dla ochrony danych? Proces ten – funkcjonujący również pod nazwą DPiA lub oceny skutków regulacji – ma na celu ocenę przez administratora danych, czy wszelkie operacje przetwarzania danych osobowych obarczone są ryzykiem naruszenia praw osób, których dane dotyczą. Kiedy administrator danych oceni, że istnieje ryzyko naruszenia przepisów, wówczas powinien przeprowadzić ocenę skutków (DPiA).

Ustalenie, kiedy należy przeprowadzić ocenę skutków, nie jest rzeczą prostą – nie ma zamkniętej listy sytuacji, kiedy z całą pewnością administrator danych powinien ją przeprowadzić. Ponadto również nie istnieje dokładnie sprecyzowany sposób, jak dokonywać oceny skutków – te wątpliwości sprawiają, że właściwa ocena skali ryzyka i wybranie stosownych działań, które zminimalizują zagrożenia, jest trudna.

W ustaleniu, czy należy przeprowadzić ocenę skutków, pomocne będą 2 dokumenty. Pierwszy z nich to Opinie i wytyczne Grupy Roboczej art. 29. Został on przygotowany przede wszystkim dla administratorów danych osobowych oraz organów nadzorczych, by ułatwić analizę procesów przetwarzania danych i ocenę możliwości wystąpienia ryzyka związanego z przetwarzaniem. Drugim dokumentem, który ma ułatwić przeprowadzenie oceny skutków, jest ogłoszony w sierpniu 2018 roku wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. W wykazie znajduje się 8 kategorii rodzajów przetwarzania, kiedy obowiązkowo należy dokonać oceny skutków dla ochrony danych. Ponadto dokument podaje przykłady operacji, podczas których ryzyko wystąpienia naruszeń jest bardzo wysokie.

Co rozumie się przez naruszenia? Mogą to być działania celowe lub przypadkowe, których skutkiem jest np. zniszczenie, modyfikacja, częściowe lub całkowite ujawnienie danych osobowych lub nadanie do nich dostępu osobie nieuprawnionej. Są to m.in. sytuacje, gdy ocena czynników osobowych opiera się na zautomatyzowanym przetwarzaniu (w tym również profilowaniu) i ocena ta stanowi podstawę, na której opiera się decyzja wywołująca skutki prawne wobec osoby fizycznej lub znacząco na nią wpływa.

Drugą grupę takich przypadków stanowi przetwarzanie na dużą skalę danych osobowych zaliczanych do wrażliwych (takich jak wyznanie, stan zdrowia, przynależność do związku zawodowego) lub danych o wyrokach skazujących lub odnoszących się do innych naruszeń prawa. Ostatnią grupą takich przypadków są wszelkie sytuacje, gdy analiza ryzyka wykazała, że przetwarzanie danych osobowych może spowodować owo ryzyko.

Każda ocena skutków, której dokonać należy przed czynnością przetwarzania danych, powinna zawierać – co potwierdza art. 35 ust. 7 RODO – minimum poniższy zestaw informacji:

  • opis wszelkich planowanych operacji na danych osobowych – ich przetwarzania oraz celów przetwarzania,
  • ocena, czy planowane operacje przetwarzania danych są niezbędne, proporcjonalne i adekwatne do postawionych celów,
  • ocenienie ryzyka, czy planowane operacje mogą naruszyć prawa lub wolność osób, których dane dotyczą,
  • wybranie środków i mechanizmów, które zapobiegną lub zminimalizują to ryzyko i zapewnią ochronę danych osobowych i nie będą w sprzeczności z rozporządzeniem.

Różnice pomiędzy oceną ryzyka a oceną skutków

Podsumowując – czym różni się ocena ryzyka od oceny skutków? Ocenę skutków dla ochrony danych niekiedy nazywa się szczególną formą analizy ryzyka. Ocena ryzyka jest bardziej ogólnym i szerszym pojęciem. W rozporządzeniu brak definicji, która precyzuje czym jest ryzyko, kiedy wykonać jego ocenę i jak to zrobić. Ocena ryzyka może wyglądać inaczej w każdej firmie czy jednostce, brak uniwersalnego szablonu dla tego procesu. Po jego przeprowadzeniu można orzec, czy proces jest obarczony wysokim ryzykiem (co dokładnie zostało opisane w artykule 32 ust.1 RODO) oraz czy należy przeprowadzić DPiA, czyli ocenę skutków.

Previous Język mandaryński - czym nas zaskoczy?
Next Pozytywna obecność w mediach przekłada się na reputację mark
Kategoria Firma

Może to Ci się spodoba

Pozycjonowanie witryn lokalnych – 5 podstawowych zasad
Firma 0 Comments

Pozycjonowanie witryn lokalnych – 5 podstawowych zasad

Prowadząc biznes warto mieć swoją własną stronę internetową, która będzie przyciągała nowych klientów. Istota pozycjonowania jest niezwykle ważna – także pozycjonowania lokalnego. Wbrew pozorom czasami ograniczenie pola działania może przynieść

Biuro rachunkowe Poznań. Bilans zysków i strat.
Firma 0 Comments

Biuro rachunkowe Poznań. Bilans zysków i strat.

Biuro rachunkowe Poznań, jest miejscem świadczącym usługi z zakresu księgowości, doradztwa podatkowego, przygotowywania umów, rozliczania płac i podatków oraz prowadzenia szkoleń z zakresu księgowości. Wszystkie te wymienione przed państwem usługi,

Bodyflying – oryginalny pomysł na imprezę integracyjną
Firma 0 Comments

Bodyflying – oryginalny pomysł na imprezę integracyjną

Dobrze zintegrowani pracownicy nie tylko wiedzą o sobie więcej, ale również mogą pracować bardziej efektywnie. Właśnie dlatego imprezy integracyjne od lat cieszą się tak dużym powodzeniem w firmach – zarówno

Jak poprawić akustykę pomieszczenia?
Firma 0 Comments

Jak poprawić akustykę pomieszczenia?

Na co dzień korzystając z różnych obiektów, typu kina, sale wykładowe, biura, restauracje, hotele czy centra handlowe, jako zwykli użytkownicy, nie zastanawiamy się nad projektem oraz wykonaniem danej nieruchomości. Wchodząc

Jak bezpiecznie zaciągnąć kredyt hipoteczny na zakup mieszkania w Poznaniu?
Firma 0 Comments

Jak bezpiecznie zaciągnąć kredyt hipoteczny na zakup mieszkania w Poznaniu?

Poznań to duże miasto, w którym ceny nieruchomości są wysokie. Mimo tego, wiele osób nie wyobraża sobie wynajmowania mieszkania przez wiele lat. Aby spełnić marzenia o własnym „M”, decydują się

Firma 0 Comments

Polskie firmy bardzo powoli przekonują się do inwestycji na Czarnym Lądzie

Gros polskich eksporterów koncentruje się na rynkach rozwiniętych, zwłaszcza unijnych. Te jednak wymagają bardzo wysokiej jakości i są już nasycone, trudno więc konkurować na nich inaczej niż ceną. Zdaniem Roberta Zduńczyka

0 Comments

Brak komentarzy!

You can be first to skomentuj post

Zostaw odpowiedź