Kategorie

Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka

Lubasz i Wspólnicy
Kancelaria Radców Prawnych
Karolina Przybysz
Aplikant radcowski
Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka
Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka
Przepisami RODO nałożono na administratorów ogólny obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby przetwarzanie danych odbywało się zgodnie z przepisami rozporządzenia ogólnego o ochronie danych osobowych, a także aby przetwarzanie danych było bezpieczne z perspektywy prawa i wolności osób, których dane są przetwarzane. Ustaleniu, jakie środki będą najbardziej odpowiednie dla celu zapewnienia zgodności i w najlepszy sposób zapewnią bezpieczeństwo przetwarzania służy analiza ryzyka związanego z przetwarzaniem danych, którą można przeprowadzić również z wykorzystaniem aplikacji GDPR Risk Tracker.

Czym jest ryzyko? 

RODO nie definiuje pojęcia ryzyka, jednak wielokrotnie się nim posługuje. Kluczem dla zrozumienia istoty ryzyka jest konstatacja, iż analizie podlega ryzyko naruszenia praw lub wolności jednostek, których dane dotyczą, nie zaś ryzyko po stronie administratora, np. ryzyko start majątkowych. A zatem administrator nie powinien więc badać jakie mogą być negatywne konsekwencje przetwarzania danych lub naruszenia ochrony danych dla niego, lecz dla podmiotów danych. Ta zasada powinna mu przyświecać w każdym aspekcie działalności, od jej planowania, aż po utrzymywanie.

W ujęciu generalnym ryzyko rozumie się jako wpływ niepewności na cele, który powoduje pozytywne lub negatywne odchylenie od oczekiwań. Mówiąc inaczej, jest to pewien scenariusz opisujący konkretne zdarzenie i jego konsekwencje oszacowane pod kątem ich dotkliwości oraz prawdopodobieństwa. Ryzyko naruszenia praw lub wolności osób może wynikać z przetwarzania danych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych po stronie podmiotów danych.

Przetwarzanie danych może powodować różnego rodzaju negatywne skutki dla osób, których dane dotyczą. Można tu wskazać m.in. dyskryminację, kradzież tożsamości, szkody majątkowe, utratę kontroli nad własnymi danymi, utratę dobrej opinii, itp. Zadaniem administratora jest więc:

  • zidentyfikowanie ryzyka i potencjalnych skutków wystąpienia ryzyka,
  • analiza ryzyka – jego źródeł pochodzenia i kryteriów, które mają na nie wpływ,
  • ustalenie poziomu ryzyka i możliwości jego minimalizacji,
  • dobranie środków technicznych i organizacyjnych, które będą odpowiadały ustalonemu ryzyku. 

Metody analizy ryzyka

Przystępując do analizy ryzyka administrator w pierwszej kolejności powinien wybrać metodę, którą się posłuży. Co do zasady im bardziej precyzyjną metodę wybierze, tym większa szansa, że analiza zostanie przeprowadzona rzetelnie i będzie odpowiednio wrażliwa na zmieniające się warunki i okoliczności przetwarzania. Nie zawsze jednak skomplikowane metody analizy będą odpowiednie dla administratora, zwłaszcza takiego, który jest niewielką organizacją i nie posiada zaplecza ani środków finansowych na uszczegółowione i długotrwałe analizy. Istotne jest zatem, aby wybrać taką metodą, która będzie adekwatna z perspektywy organizacji administratora, a jednocześnie poprowadzi go do rzetelnych i prawidłowych wniosków.

Doktryna dzieli metody analizy ryzyka na jakościowe, ilościowe i mieszane. Metody jakościowe polegają na wykorzystaniu pewnej skali atrybutów, które kwalifikują się do przypisania im wartości, np. niski, średni, wysoki. Charakteryzują się prostotą, ale także wysokim stopniem ogólności, który w pewnych wypadkach może się okazać zbyt wysoki. Metodami bardziej precyzyjnymi są metody ilościowe, które opierają się na przypisaniu pewnym cechom lub atrybutom wartości numerycznych, które razem pomagają ustalić, na jakim poziomie stoi ryzyko.

RODO pozostawia administratorom swobodę również w zakresie doboru narzędzi i sposobów przeprowadzenia analizy, dopuszczając tak arkusze kalkulacyjne, metody opisowe, jak i dedykowane narzędzia lub aplikacje analityczne. Istotne jest jednak, aby analiza została udokumentowana w taki sposób, aby w przyszłości można było odtworzyć proces myślowy administratora, brane pod uwagę kryteria i wyniki analizy.

Kryteria wpływające na poziom ryzyka

Przepisy RODO podaje ogólne kryteria jakimi powinien się kierować administrator dokonując analizy ryzyka wskazując charakter oraz kontekst przetwarzania, tj. warunki i sposoby przetwarzania danych, cel przetwarzania danych, a także ich zakres. Na podwyższenie stopnia ryzyka wpływać będzie również to z jakimi danymi mamy do czynienia. Jeżeli administrator przetwarza dane szczególnych kategorii, tzw. dane wrażliwe, wpływa to na wzrost ryzyka.

Ostatecznie zadaniem administratora jest ocena wagi danych oraz stopnia prawdopodobieństwa wystąpienia negatywnego skutku po stronie podmiotów danych związanego z procesami przetwarzania i  w tym kontekście znaczenie będą miały również podatności i zagrożenia występujące w procesie przetwarzania i skorelowane z nimi zabezpieczenia mitygujące takie podatności lub zagrożenia.

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Polecamy: INFORLEX Biznes

Rezultaty analizy

Po wykonaniu analizy i oszacowaniu poziomu ryzyka administrator powinien ocenić, czy ryzyko to jest akceptowalne lub co może zrobić, aby ryzyko zminimalizować. Jego obowiązkiem jest w szczególności podjęcie decyzji, jakie środki techniczne i organizacyjne – w kontekście ustalonego ryzyka – będą najlepsze, najbardziej adekwatne dla zapewnienia zgodności i bezpieczeństwa przetwarzania danych. Administrator musi samodzielnie podjąć tę decyzję, uzyskując tym samym nieznany dotąd regulacjom z zakresu ochrony danych poziom swobody. Niestety, z tak szeroko zakrojoną swobodą wiąże się też daleko idąca odpowiedzialność ze ewentualne błędy.

Zastosowanie niewystarczających środków ochrony danych może spowodować odpowiedzialność finansową i odszkodowawczą po stronie administratora, jeżeli w wyniku jego błędu dojdzie do naruszenia przepisów RODO lub do szkody majątkowej po stronie podmiotu danych. Na administratorze spoczywa więc niełatwe zadanie – musi prawidłowo i rzetelnie przeprowadzić analizę ryzyka oraz wyprowadzić z niej właściwe wnioski, a ostatecznie ją udokumentować by móc wykazać kryteria jej przeprowadzenia i doboru przed organem nadzorczym.

Należy pamiętać, że analiza ryzyka nie może być traktowana jako procedura jednorazowa. Powinna ona mieć charakter ciągły i być wykonywana systematycznie. Analizę należy wykonywać w każdym przypadku, gdy zmieniły się okoliczności lub warunki przetwarzania danych, a także w przypadku wdrażania nowych inicjatyw i przedsięwzięć. Administrator powinien również na bieżąco wykonywać przegląd stosowanych środków technicznych i organizacyjnych służących zabezpieczeniu danych, aby stale upewniać się, czy odpowiadają one potrzebom administratora i czy nie powinny być zastąpione np. środkami nowocześniejszymi i bardziej skutecznymi.

GDPR RiskTracker

Mając świadomość, iż analiza ryzyka może przysparzać administratorom liczne trudności, zespół Kancelarii Radców Prawnych – Lubasz i Wspólnicy, specjalizującej się w prawie ochrony danych osobowych, opracował nowatorską aplikację GDPR RiskTracker. Aplikacja skierowana jest do administratorów oraz inspektorów ochrony danych, którzy chcą w prosty i czytelny sposób wykonać analizę ryzyka uwzględniającą niezbędne kryteria i cechy przetwarzania. Skorzystanie z narzędzia pozwala na przeprowadzenie zautomatyzowanej analizy opartej na bazującej na normie ISO 29134 eksperckiej, ilościowej metodzie szacowania ryzyka. Program prowadzi użytkownika przez poszczególne etapy analizy, aż do jej zakończenia, które pozwala na określenie poziomu ryzyka wyrażonego w wartościach liczbowych oraz wygenerowanie raportu zawierającego ustalenia i wnioski z analizy, a także rekomendacje dotyczące modyfikacji procesu lub zabezpieczeń w celu zapewnienia zgodności.

Na stronie https://app.gdprrisktracker.pl można wypróbować działanie aplikacji. Zasady działania aplikacji i zastosowana metoda analityczna zostały opisane w bezpłatnym e-booku, który można pobrać ze strony https://www.gdprrisktracker.pl/ O aplikacji będzie też mowa w trakcie Konwentu Ochrony Danych i Informacji, który odbędzie się już 19 listopada 2019 r. w Łodzi. Udział w Konwencie jest bezpłatny, a rejestracja możliwa jest na stronie https://www.konwentodo.pl.

Karolina Przybysz, aplikant radcowski w Lubasz i Wspólnicy - Kancelarii Radców Prawnych sp.k.

Poszerzaj swoją wiedzę, czytając naszą publikację
WIELKIE ŚMIAŁE CELE czyli jak inspirować siebie i innych do wysokich lotów
WIELKIE ŚMIAŁE CELE czyli jak inspirować siebie i innych do wysokich lotów
Tylko teraz
49,00 zł
59,00
Przejdź do sklepu
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Księgowość
    1 sty 2000
    20 wrz 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    System viaTOLL tylko do 30 września 2021 r.

    System viaTOLL będzie działać wyłącznie do 30 września br. Od 1 października zostanie wyłączony, a jedynym systemem umożliwiającym opłacanie przejazdów ciężkich po drogach płatnych będzie system e-TOLL – powiedziała Magdalena Rzeczkowska, Szefowa Krajowej Administracji Skarbowej.

    Zasady ustalania rezydencji podatkowej

    Rezydencja podatkowa. Jak wyglądają zasady ustalania rezydencji podatkowej na podstawie objaśnień Ministerstw Finansów z 29 kwietnia 2021 r.?

    Minimalne wynagrodzenie otrzymuje 2,2 mln Polaków. Podwyżka już w 2022 r.

    Płaca minimalna w 2022 roku. Rząd podniósł minimalne wynagrodzenie oraz godzinową stawkę minimalną od 2022 roku. Najniższe wynagrodzenie dla zatrudnionych na podstawie umowy o pracę wyniesie brutto 3010 złotych, a stawka godzinowa dla samozatrudnionych i zleceniobiorców – 19,70 złotych brutto. Obecnie w Polsce 2,2 miliona osób otrzymuje płace na poziomie minimalnego wynagrodzenia.

    Minimalny podatek dochodowy od wielkich korporacji, a obciążenie małych i średnich firm

    Minimalny podatek dochodowy. Na wzór rozwiązań stosowanych w USA czy Kanadzie, polski ustawodawca wprowadził w ramach pakietu zmian do ustaw podatkowych tzw. „Polski Ład” minimalny podatek dochodowy. Jako cel wprowadzenia nowego obciążenia Ministerstwo Finansów wskazało konieczność wsparcia gospodarki osłabionej w wyniku pandemii COVID – 19 oraz załatanie luki budżetowej powstałej w podatku dochodowym od osób prawnych.

    Korekta JPK_V7M - błędna nazwa dostawcy

    Korekta JPK_V7M. Podatnik otrzymał fakturę korygującą dotyczącą sprzedaży z czerwca 2021 r. Korekta jest na 0,00 zł i dotyczy wyłącznie zmiany danych sprzedawcy. Firma sprzedawcy się przekształciła, w związku z czym zmieniła się jego nazwa (NIP został ten sam). Czy podatnik powinien korygować JPK za czerwiec 2021 r.?

    Projekt zmian w ustawach podatkowych w ramach Polskiego Ładu

    Polski Ład a podatki. Sejm skierował do komisji projekt zmian w ustawach podatkowych w ramach Polskiego Ładu. Zgłoszony przez Koalicję Obywatelską wniosek o odrzucenie projektu w pierwszym czytaniu nie uzyskał większości.

    Komornicze e-licytacje nieruchomości od 19 września 2021 r.

    Komornicze e-licytacje nieruchomości. Od 19 września 2021 r. zaczęły obowiązywać przepisy dotyczące możliwości sprzedaży nieruchomości w drodze komorniczej licytacji elektronicznej. Resort sprawiedliwości ocenia, że zmiana pozwoli na likwidację zmów między licytantami oraz zapewni transparentność i bezpieczeństwo postępowań.

    Windykacja należności na własną rękę, czy przez firmę windykacyjną?

    Windykacja należności. Aż 73 proc. małych i średnich przedsiębiorstw wskazuje, że firmy korzystające z profesjonalnej windykacji są postrzegane jako wiarygodne i odpowiedzialnie traktują zapłatę za swoją pracę – wynika z badania Kaczmarski Inkasso. Mimo to wiele z nich decyduje się na samodzielne dochodzenie należności od kontrahentów. Uważają, że tak będzie taniej i prościej. Jak jest naprawdę?

    Wzrosła liczba faktur przekazywanych do odzyskania

    Faktury przekazywane do odzyskania. O 1/3 zwiększyła się od sierpnia ub. r. do sierpnia 2021 r. liczba faktur przekazywanych przez przedsiębiorców do odzyskania, a średni okres przeterminowania faktur skrócił się w tym czasie od 222 do 180 dni - wynika z danych Kaczmarski Inkasso, partnera Krajowego Rejestru Długów.

    Rekompensaty dla firm w związku ze stanem wyjątkowym - Sejm uchwalił ustawę

    Stan wyjątkowy - rekompensaty dla firm. 17 września 2021 r. Sejm przyjął ustawę ws. rekompensaty dla podmiotów gospodarczych w związku ze stanem wyjątkowym. Uprawnione podmioty mogą ubiegać się o rekompensatę na poziomie 65 proc. średniego miesięcznego przychodu z trzech letnich miesięcy - czerwca, lipca i sierpnia.

    Zmiana umów podatkowych z Maltą i Holandią - uszczelnienie przepisów

    Zmiana umów podatkowych z Maltą i Holandią, która przewiduje wprowadzenie rozwiązań ograniczających agresywną optymalizację podatkową, zwiększy wpływy do polskiego budżetu - ocenia Dyrektor Departamentu Systemu Podatkowego w Ministerstwie Finansów Przemysław Szymczyk.

    Ulga na społeczną odpowiedzialność biznesu (CSR) od 2022 r.

    Ulga na społeczną odpowiedzialność biznesu (CSR). W ramach Polskiego Ładu ustawodawca planuje wprowadzenie ulgi dla podatników wspierających działalność sportową, kulturalną oraz szkolnictwo wyższe i naukę. Ulga na CSR ma wejść w życie od 2022 roku.

    Zwalczanie pożyczek lichwiarskich - projekt ustawy

    Zwalczanie pożyczek lichwiarskich. Jest zgoda na prace nad tzw. ustawą antylichwiarską, której projekt uzyskał wpis do planu prac rządu. To daje resortowi "zielone światło" do kolejnych kroków legislacyjnych i działań, aby projekt ten mógł być jak najszybciej przyjęty - powiedział PAP wiceminister sprawiedliwości Michał Woś.

    Czasowa rejestracja samochodu a zwrot akcyzy

    Zwrot akcyzy od samochodu. Fiskus nie może odmówić zwrotu akcyzy przedsiębiorcy tylko dlatego, że ten przed sprzedażą samochodu dokonał jego czasowej rejestracji w Polsce - tak uznał Wojewódzki Sąd Administracyjny w Poznaniu.

    Informacje TPR - będą zmiany rozporządzeń

    Informacje TPR. Ministerstwo Finansów informuje, że na stronach Rządowego Centrum Legislacji zostały opublikowane projekty rozporządzeń zmieniających rozporządzenia TPR w zakresie podatku PIT i CIT.

    Wydatki na ubranie, a koszty uzyskania przychodów

    Wydatki na ubranie, a koszty uzyskania przychodu. Istnieje wiele profesji w których wymagane jest korzystanie z określonego rodzaju garderoby. Mogą to być ubrania wskazane jako konieczne dla bezpieczeństwa pracowników – np. specjalny stój na budowie - zgodnie z zasadami bezpieczeństwa i higieny pracy, lub też ze względu na inne regulacje prawne – jak na przykład obowiązkowa toga dla adwokata podczas rozprawy na sali sądowej. Poza ścisłymi regulacjami wynikającymi z przepisów istnieją również reguły wyznaczane przez tradycje czy zwyczaje – chociażby konieczność dostosowania stroju do oficjalnych wystąpień publicznych, czy na wysokiej rangi spotkaniach biznesowych. W wielu sytuacjach zakup stroju staje się więc obowiązkiem pracodawcy lub przedsiębiorcy. Powstaje więc pytanie - jakie wydatki związane z garderobą stanowić mogą koszty uzyskania przychodu? Na jakich zasadach oceniać konieczność, prawidłowość oraz wysokość zakupu?

    Granice opodatkowania budynku w podatku od nieruchomości

    Budynek jako przedmiot opodatkowania podatkiem do nieruchomości to „obiekt budowlany w rozumieniu przepisów prawa budowlanego, który jest trwale związany z gruntem, wydzielony z przestrzeni za pomocą przegród budowlanych oraz posiada fundamenty i dach”.

    Zmiany w opodatkowaniu gruntów kolejowych

    Opodatkowanie gruntów kolejowych. Podatkiem od nieruchomości zostaną objęte grunty, na których przedsiębiorstwa kolejowe prowadzą działalność komercyjną inną niż kolejową - tak wynika z projektu nowelizacji ustawy o podatkach i opłatach lokalnych.

    Kantor wymiany walut - wymogi formalne

    Prowadzenie kantoru wymiany walut to jedna z tych form działalności, które w ostatnich latach cieszą się ogromną popularnością. Łatwy dostęp do podróżowania i powszechność emigracji z kraju np. w celach zarobkowych, to główne powody, dla których taki biznes jest szczególnie opłacalny. Kantor to punkt usługowy oferujący sprzedaż i zakup obcej waluty po określonych kursach. Wydawałoby się, że to dość prosta sprawa, jednak samo założenie takiej firmy nie jest łatwe. Jeżeli chcemy prowadzić kantor, musimy uzyskać zezwolenie i spełnić kilka istotnych warunków.

    Wirtualna kasa fiskalna nie będzie musiała drukować paragonów

    Wirtualne kasy fiskalne. Kasa fiskalna w postaci oprogramowania (czyli tzw. wirtualna kasa fiskalna) nie będzie musiała drukować paragonów, jeśli została umieszczona w urządzeniach do automatycznej sprzedaży towarów i usług. Taka zmiana wynika z projektu rozporządzenia Ministra Finansów, Funduszy i Polityki Regionalnej opublikowanego w czwartek 16 września 2021 r. na stronach Rządowego Centrum Legislacji.

    Kwota wolna od podatku w 2022 roku

    Kwota wolna od podatku. W ramach Polskiego Ładu ustawodawca proponuje podwyższenie do 30 000 zł kwoty wolnej od podatku. Zmiana ma wejść w życie od 2022 roku.

    Składy podatkowe - zmiany w akcyzie

    Składy podatkowe. Jeśli dany podmiot przejmie od innego skład podatkowy, to dotychczasowy posiadacz składu nie będzie musiał zapłacić akcyzy od produktów znajdujących się w nim - przewiduje projekt nowelizacji ustawy o podatku akcyzowym, który trafi do dalszych prac w sejmowej komisji energii.

    Czy dobrowolne opłaty za toalety podlegają VAT?

    Dobrowolne opłaty za toalety a VAT. Czy otrzymane środki pieniężne (dobrowolne opłaty za skorzystanie z toalety) powinny być uznane za podlegające opodatkowaniu podatkiem VAT wynagrodzenie z tytułu świadczonych usług?

    TSUE kontra Belgia. Zwolnienia podatkowe niezgodne z prawem UE

    Zwolnienia podatkowe. Trybunał Sprawiedliwości UE orzekł, że zwolnienia podatkowe przyznawane przez Belgię przedsiębiorstwom międzynarodowym stanowią system pomocy państwowej niezgodnej z prawem Unii. Przyznał tym samym rację Komisji Europejskiej i uchylił wyrok Sądu UE z 2019 roku.

    Jaka stawka ryczałtu od przychodów z działalności produkcyjnej (wytwórczej)

    Stawka ryczałtu dla działalności produkcyjnej. Ryczałtem od przychodów ewidencjonowanych można opodatkować przychody osiągane przez osoby fizyczne prowadzące pozarolniczą działalność gospodarczą. Przychody z działalności produkcyjnej (wytwórczej) mogą być opodatkowane albo stawką 8,5% albo 5,5%. Od czego zależy zastosowanie jednej z tych stawek do działalności produkcyjnej?