Ryzyko warte oszacowania

Warszawa, 17 maja 2017 r.
Informacja prasowa

Ryzyko warte oszacowania

Identyfikacja ryzyka, jakie niesie za sobą przetwarzanie danych osobowych przez firmę, nie jest prosta, składa się z kilku etapów. Przedsiębiorcy powinni jednak ją regularnie przeprowadzać, by móc wdrażać odpowiednie narzędzia zabezpieczajace. Gdy zacznie obowiązywać europejskie rozporządzenie o ochronie danych osobowych (RODO) wyniki przeprowadzonych analiz ryzyka staną się podstawą do określania, jakie zabezpieczenia będą adekwatne do istniejących zagrożeń i pozwolą uniknać niezgodności z prawem prowadzonych przez firmę procesów.

Ryzykiem określane jest takie działanie przedsiębiorcy (administratora danych), które wraz z upływem czasu może doprowadzić do jego niezgodności z przepisami prawa. Potencjalnym ryzykiem może być obarczony proces, który sam w sobie jeszcze nie stanowi naruszenia przepisów prawa ochrony danych osobowych, jednak w wyniku braku postępowania z tym ryzykiem może on być przyczyną powstania niezgodności. Przykładowo pozyskiwanie danych osobowych potencjalnych klientów bez wymaganej zgody na prowadzenie marketingu bezpośredniego drogą elektroniczną (np. mailing) samo w sobie nie jest jeszcze niezgodnością. Należy jednak zauważyć, że kolejnym krokiem w tym procesie będzie wysyłka niezamówionych informacji handlowych drogą elektroniczną, co już stanowi dużą niezgodnością – wyjaśnia Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych osobowych, ODO 24.
Identyfikacja potencjalnych ryzyk wymaga czujności i umiejętności przewidywania kolejnych zdarzeń przez ABI (Administratora Bezpieczeństwa Informacji), a po wejściu w życie RODO – IOD (Inspektora Ochrony Danych), który odpowiada za ochronę danych osobowych w danym podmiocie. Wielu początkujących ABI nie sięga do takich narzędzi pracy jak klasyfikacja ryzyka ze względu na to, że postrzega je jako skomplikowane. Wpływa to negatywnie na firmy, które nie są odpowiednio przygotowane na potencjalne niebezpieczeństwa.

Jak wskazuje ekspert ODO 24 przy przeprowadzaniu pierwszego szacowania ryzyka ochrony danych osobowych warto rozważyć zastosowanie metody składającej się z czterech etapów. Szacowanie należy przede wszystkim rozpocząć od identyfikacji kategorii danych i ich wartości (określenia czy dane, które przetwarza firma są tzw. zwykłe czy wrażliwe). Kolejnym krokiem jest zidentyfikowanie istniejących zagrożeń, by ją odpowiednio wykonać musimy wiedzieć, gdzie znajdują się dane i w jakiej formie się one przechowywane – elektronicznej czy papierowej. Trzecim etapem jest określenie następstw zdiagnozowanych niebezpieczeństw – ocena jak utrata określonej kategorii danych w konkretnym procesie wpłynie na całą organizację, np. zatrzymane zostaną krytyczne dla firmy procesy, dojdzie do zerwania umów przez klientów lub kontroli GIODO i konsekwencji z niej wynikających. Warto zaznaczyć, że należy dokonać klasyfikacji zidentyfikowanych ryzyk – czyli określić wysokość ryzyk w stosunku do poszczególnych procesów. Wynikiem całego procesu jest określenie jakie działania wobec ryzyk powinny zostać podjęte przez organizacje, np. jakie zabezpieczenia muszą być zastosowane, by uniknąć negatywnych konsekwencji w stosunku do konkretnej kategorii danych, która znajduje się w określonej lokalizacji – mówi Konrad Gałaj-Emiliańczyk z ODO 24.

25 maja 2018 r. wraz z rozpoczęciem obowiązywania przepisów RODO każdy przedsiębiorca będzie musiał przeprowadzać ocenę skutków przetwarzania danych osobowych jeszcze przed rozpoczęciem tego procesu. Dlatego warto już teraz zdobywać doświadczenie w identyfikacji ryzyk przetwarzania danych osobowych, mimo że obecnie obowiązujące przepisy nie nakładają obowiązku szacowania ryzyka.

ODO 24 – to firma, oferująca kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Stawia na merytorykę, praktyczne rozwiązania oraz trwałe relacje z klientami budowane w oparciu o partnerstwo, uczciwość i zaufanie. Swoim klientom pomaga chronić dane, minimalizując ryzyko związane z kontrolą, wyciekiem lub ich utratą. Dostarcza nowoczesne, elastyczne i kompleksowe rozwiązania pomagające zapewnić zgodność z ustawą o ochronie danych osobowych. Firma stworzyła bezpłatną aplikację ABIeye (dostępną przez internet), która umożliwia sprawne zarządzanie systemem ochrony danych osobowych. ABIeye to skuteczne narzędzie zarówno dla podmiotów prywatnych jak i publicznych, małych firm oraz korporacji. Ponadto posiada własną, zintegrowaną z aplikacją ABIeye, platformę szkoleń e-learningowych, umożliwiającą szkolenia (również okresowe) z ochrony danych osobowych wszystkich pracowników, nawet w dużych i bardzo dużych organizacjach. ODO 24 edukuje również społeczeństwo w zakresie zasad ochrony danych osobowych i bezpieczeństwa informacji poprzez udostępniony na stronie internetowej Poradnik ODO, bezpłatne porady, warsztaty i szkolenia, bieżąca współpraca z mediami, itp.

Top