REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka

Lubasz i Wspólnicy
Kancelaria Radców Prawnych
Karolina Przybysz
Aplikant radcowski
Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka
Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka

REKLAMA

REKLAMA

Przepisami RODO nałożono na administratorów ogólny obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby przetwarzanie danych odbywało się zgodnie z przepisami rozporządzenia ogólnego o ochronie danych osobowych, a także aby przetwarzanie danych było bezpieczne z perspektywy prawa i wolności osób, których dane są przetwarzane. Ustaleniu, jakie środki będą najbardziej odpowiednie dla celu zapewnienia zgodności i w najlepszy sposób zapewnią bezpieczeństwo przetwarzania służy analiza ryzyka związanego z przetwarzaniem danych, którą można przeprowadzić również z wykorzystaniem aplikacji GDPR Risk Tracker.

Czym jest ryzyko? 

RODO nie definiuje pojęcia ryzyka, jednak wielokrotnie się nim posługuje. Kluczem dla zrozumienia istoty ryzyka jest konstatacja, iż analizie podlega ryzyko naruszenia praw lub wolności jednostek, których dane dotyczą, nie zaś ryzyko po stronie administratora, np. ryzyko start majątkowych. A zatem administrator nie powinien więc badać jakie mogą być negatywne konsekwencje przetwarzania danych lub naruszenia ochrony danych dla niego, lecz dla podmiotów danych. Ta zasada powinna mu przyświecać w każdym aspekcie działalności, od jej planowania, aż po utrzymywanie.

REKLAMA

Autopromocja

W ujęciu generalnym ryzyko rozumie się jako wpływ niepewności na cele, który powoduje pozytywne lub negatywne odchylenie od oczekiwań. Mówiąc inaczej, jest to pewien scenariusz opisujący konkretne zdarzenie i jego konsekwencje oszacowane pod kątem ich dotkliwości oraz prawdopodobieństwa. Ryzyko naruszenia praw lub wolności osób może wynikać z przetwarzania danych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych po stronie podmiotów danych.

Przetwarzanie danych może powodować różnego rodzaju negatywne skutki dla osób, których dane dotyczą. Można tu wskazać m.in. dyskryminację, kradzież tożsamości, szkody majątkowe, utratę kontroli nad własnymi danymi, utratę dobrej opinii, itp. Zadaniem administratora jest więc:

  • zidentyfikowanie ryzyka i potencjalnych skutków wystąpienia ryzyka,
  • analiza ryzyka – jego źródeł pochodzenia i kryteriów, które mają na nie wpływ,
  • ustalenie poziomu ryzyka i możliwości jego minimalizacji,
  • dobranie środków technicznych i organizacyjnych, które będą odpowiadały ustalonemu ryzyku. 

Metody analizy ryzyka

Przystępując do analizy ryzyka administrator w pierwszej kolejności powinien wybrać metodę, którą się posłuży. Co do zasady im bardziej precyzyjną metodę wybierze, tym większa szansa, że analiza zostanie przeprowadzona rzetelnie i będzie odpowiednio wrażliwa na zmieniające się warunki i okoliczności przetwarzania. Nie zawsze jednak skomplikowane metody analizy będą odpowiednie dla administratora, zwłaszcza takiego, który jest niewielką organizacją i nie posiada zaplecza ani środków finansowych na uszczegółowione i długotrwałe analizy. Istotne jest zatem, aby wybrać taką metodą, która będzie adekwatna z perspektywy organizacji administratora, a jednocześnie poprowadzi go do rzetelnych i prawidłowych wniosków.

REKLAMA

Doktryna dzieli metody analizy ryzyka na jakościowe, ilościowe i mieszane. Metody jakościowe polegają na wykorzystaniu pewnej skali atrybutów, które kwalifikują się do przypisania im wartości, np. niski, średni, wysoki. Charakteryzują się prostotą, ale także wysokim stopniem ogólności, który w pewnych wypadkach może się okazać zbyt wysoki. Metodami bardziej precyzyjnymi są metody ilościowe, które opierają się na przypisaniu pewnym cechom lub atrybutom wartości numerycznych, które razem pomagają ustalić, na jakim poziomie stoi ryzyko.

Dalszy ciąg materiału pod wideo

RODO pozostawia administratorom swobodę również w zakresie doboru narzędzi i sposobów przeprowadzenia analizy, dopuszczając tak arkusze kalkulacyjne, metody opisowe, jak i dedykowane narzędzia lub aplikacje analityczne. Istotne jest jednak, aby analiza została udokumentowana w taki sposób, aby w przyszłości można było odtworzyć proces myślowy administratora, brane pod uwagę kryteria i wyniki analizy.

Kryteria wpływające na poziom ryzyka

Przepisy RODO podaje ogólne kryteria jakimi powinien się kierować administrator dokonując analizy ryzyka wskazując charakter oraz kontekst przetwarzania, tj. warunki i sposoby przetwarzania danych, cel przetwarzania danych, a także ich zakres. Na podwyższenie stopnia ryzyka wpływać będzie również to z jakimi danymi mamy do czynienia. Jeżeli administrator przetwarza dane szczególnych kategorii, tzw. dane wrażliwe, wpływa to na wzrost ryzyka.

Ostatecznie zadaniem administratora jest ocena wagi danych oraz stopnia prawdopodobieństwa wystąpienia negatywnego skutku po stronie podmiotów danych związanego z procesami przetwarzania i  w tym kontekście znaczenie będą miały również podatności i zagrożenia występujące w procesie przetwarzania i skorelowane z nimi zabezpieczenia mitygujące takie podatności lub zagrożenia.

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Polecamy: INFORLEX Biznes

Rezultaty analizy

Po wykonaniu analizy i oszacowaniu poziomu ryzyka administrator powinien ocenić, czy ryzyko to jest akceptowalne lub co może zrobić, aby ryzyko zminimalizować. Jego obowiązkiem jest w szczególności podjęcie decyzji, jakie środki techniczne i organizacyjne – w kontekście ustalonego ryzyka – będą najlepsze, najbardziej adekwatne dla zapewnienia zgodności i bezpieczeństwa przetwarzania danych. Administrator musi samodzielnie podjąć tę decyzję, uzyskując tym samym nieznany dotąd regulacjom z zakresu ochrony danych poziom swobody. Niestety, z tak szeroko zakrojoną swobodą wiąże się też daleko idąca odpowiedzialność ze ewentualne błędy.

Zastosowanie niewystarczających środków ochrony danych może spowodować odpowiedzialność finansową i odszkodowawczą po stronie administratora, jeżeli w wyniku jego błędu dojdzie do naruszenia przepisów RODO lub do szkody majątkowej po stronie podmiotu danych. Na administratorze spoczywa więc niełatwe zadanie – musi prawidłowo i rzetelnie przeprowadzić analizę ryzyka oraz wyprowadzić z niej właściwe wnioski, a ostatecznie ją udokumentować by móc wykazać kryteria jej przeprowadzenia i doboru przed organem nadzorczym.

Należy pamiętać, że analiza ryzyka nie może być traktowana jako procedura jednorazowa. Powinna ona mieć charakter ciągły i być wykonywana systematycznie. Analizę należy wykonywać w każdym przypadku, gdy zmieniły się okoliczności lub warunki przetwarzania danych, a także w przypadku wdrażania nowych inicjatyw i przedsięwzięć. Administrator powinien również na bieżąco wykonywać przegląd stosowanych środków technicznych i organizacyjnych służących zabezpieczeniu danych, aby stale upewniać się, czy odpowiadają one potrzebom administratora i czy nie powinny być zastąpione np. środkami nowocześniejszymi i bardziej skutecznymi.

GDPR RiskTracker

Mając świadomość, iż analiza ryzyka może przysparzać administratorom liczne trudności, zespół Kancelarii Radców Prawnych – Lubasz i Wspólnicy, specjalizującej się w prawie ochrony danych osobowych, opracował nowatorską aplikację GDPR RiskTracker. Aplikacja skierowana jest do administratorów oraz inspektorów ochrony danych, którzy chcą w prosty i czytelny sposób wykonać analizę ryzyka uwzględniającą niezbędne kryteria i cechy przetwarzania. Skorzystanie z narzędzia pozwala na przeprowadzenie zautomatyzowanej analizy opartej na bazującej na normie ISO 29134 eksperckiej, ilościowej metodzie szacowania ryzyka. Program prowadzi użytkownika przez poszczególne etapy analizy, aż do jej zakończenia, które pozwala na określenie poziomu ryzyka wyrażonego w wartościach liczbowych oraz wygenerowanie raportu zawierającego ustalenia i wnioski z analizy, a także rekomendacje dotyczące modyfikacji procesu lub zabezpieczeń w celu zapewnienia zgodności.

Na stronie https://app.gdprrisktracker.pl można wypróbować działanie aplikacji. Zasady działania aplikacji i zastosowana metoda analityczna zostały opisane w bezpłatnym e-booku, który można pobrać ze strony https://www.gdprrisktracker.pl/ O aplikacji będzie też mowa w trakcie Konwentu Ochrony Danych i Informacji, który odbędzie się już 19 listopada 2019 r. w Łodzi. Udział w Konwencie jest bezpłatny, a rejestracja możliwa jest na stronie https://www.konwentodo.pl.

Karolina Przybysz, aplikant radcowski w Lubasz i Wspólnicy - Kancelarii Radców Prawnych sp.k.

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Choroba lub wypadek przy pracy zleceniobiorcy – jakie świadczenia przysługują. Czy obowiązuje okres wyczekiwania?

Umowa zlecenie to popularna forma zatrudnienia na rynku pracy. Chętnie korzystają z niej osoby, chcące skorzystać z dodatkowej formy „dorywczego” zatrudnienia i dorobić do podstawowej pensji czy studenci, którzy szukają większej swobody i elastyczności formy świadczenia pracy, aby móc pogodzić ją ze studiami. Dla niektórych umowa zlecenia jest jednak jedyną podstawą świadczenia pracy a tym samym jedynym tytułem podlegania pod ubezpieczenia. Wszystkie wymienione wyżej grupy różnią się przede wszystkim całościowym lub częściowym obowiązkiem oskładkowania przychodów uzyskiwanych z tego tytułu bądź brakiem takiego wymogu. Kwestia oskładkowania umów zlecenia implikuje natomiast ewentualne prawo do świadczeń z ubezpieczenia chorobowego. Czy w takim razie zleceniobiorca, który np. w pierwszym dniu świadczenia usług ulega wypadkowi podczas wykonywania zlecenia, może liczyć na wypłatę zasiłku z tego tytułu?

Mechanizm podzielonej płatności w VAT - kiedy jest obowiązkowy?

Przedsiębiorcy będący podatnikami VAT-u muszą w niektórych przypadkach liczyć się z dodatkowymi obowiązkami związanymi z tym podatkiem. Jednym z nich jest mechanizm podzielonej płatności (MPP), który można stosować dobrowolnie lub obligatoryjnie. Podpowiadamy, dla kogo MPP jest obowiązkowy, w jakich transakcjach się go stosuje i których towarów dotyczy.

Likwidacja sp. z o.o. – jak to zrobić zgodnie z prawem, krok po kroku

Jakie są kluczowe etapy procesu likwidacji spółki z ograniczoną odpowiedzialnością? Choć założenie spółki z o.o. jest stosunkowo proste, zakończenie jej działalności wymaga przejścia przez szereg formalności, które warto dokładnie poznać przed podjęciem decyzji o likwidacji. Przyczyn i podstaw likwidacji może być wiele, w poniższym tekście opisaliśmy sytuację, w której podstawą likwidacji będzie uchwała wspólników o rozwiązaniu spółki.

Integracja z KSeF - jak zdążyć przed 2026 rokiem? 5 głównych problemów i rad, jak je rozwiązać. Dlaczego warto przystąpić do systemu jeszcze w okresie fakultatywnym

Przesunięcia terminu obowiązkowego przystąpienia do Krajowego Systemu e-Faktur (KSeF) na 2026 rok sprawiły, że wiele firm odłożyło przygotowania na później. Zdaniem Moniki Zaród, Head of Innovation & Software Products w NTT DATA Business Solutions, to ostatni moment, aby wrócić do prac, zanim presja czasu i kumulacja obowiązków zaczną utrudniać wdrożenie. Tym bardziej, że przedsiębiorcy mogą mierzyć się z kilkoma kluczowymi wyzwaniami, wśród których wymień można: rotację kadr, konieczność dostosowania się do innych zmian prawnych, uzyskanie zgody central w przypadku zagranicznych firm, konieczność ręcznego zbierania danych przed wdrożeniem automatyzacji oraz ryzyko awarii systemu. Oto 5 kroków, które ułatwią firmom skuteczne przygotowanie się do KSeF i uniknąć problemów.

REKLAMA

Cyberbezpieczeństwo: ile kosztuje zabezpieczenie danych w firmie. Przykłady: firma mała, średnia, duża

W obliczu rosnącego ryzyka cyberataków każda firma, niezależnie od wielkości, musi inwestować w odpowiednią ochronę danych i systemów informatycznych. Zagrożenia cybernetyczne stają się coraz bardziej zaawansowane, a ich skutki mogą być katastrofalne dla stabilności przedsiębiorstwa, zarówno w kontekście finansowym, jak i reputacyjnym. Bez odpowiednich zabezpieczeń, firmy są narażone na straty wynikające z utraty danych, złośliwego oprogramowania czy ataków ransomware. Eksperci z DNR Group pokazują na przykładach ile kosztuje w Polsce zabezpieczenie danych IT firm produkcyjnych.

Teraz kontrolerzy ZUS szczególnie upatrzyli sobie firmy z jednej branży, praktycznie żadna nie uniknie kontroli w najbliższym czasie. Co sprawdzają i dlaczego

W ciągu ostatniego roku Zakład Ubezpieczeń Społecznych wziął pod lupę polskie firmy transportowe i rozpoczął szczegółowe kontrole, które są odczuwalne przez branżę. Dla ekspertów nie jest to zaskoczeniem, bo to efekt rozpoznania przez ZUS trików stosowanych w firmach tej branży.

Rząd szuka pieniędzy. Podatek cyfrowy coraz bliżej?

Ministerstwo Cyfryzacji pracuje nad nowym podatkiem, który miałby objąć duże korporacje technologiczne działające w Polsce. Wicepremier Krzysztof Gawkowski zapowiada, że koncepcja podatku cyfrowego zostanie przedstawiona w ciągu kilku miesięcy, a wpływy z niego mogą sięgnąć miliardów złotych. Pomysł budzi jednak kontrowersje.

Wspólne rozliczenie PIT małżonków w 2025 r. za 2024 rok – kto i jak może to zrobić. Korzyści, warunki, jaki formularz wypełnić

Wspólne rozliczenie rocznego zeznania podatkowego PIT przez małżonków jest ważną preferencją podatkową w podatku dochodowym od osób fizycznych, dostępną dla podatników opodatkowanych na zasadach ogólnych, tj. wg skali podatkowej. Rozliczenie wspólne jest korzystne zwłaszcza dla małżonków, których dochody roczne znacznie się różnią (znajdują się w różnych progach podatkowych), w tym w szczególności jeżeli jeden z małżonków nie osiągnął dochodu w danym roku. Kiedy małżonkowie mogą rozliczyć się wspólnie? Na czym polega wspólne rozliczenie PIT małżonków? Czy jest możliwe wspólne rozliczenie ze zmarłym małżonkiem, po rozwodzie i w separacji? Czy jest możliwe wspólne rozliczenie małżonków w przypadku uzyskiwania przychodów z najmu prywatnego, działalności rolniczej, kapitałów pieniężnych, działalności nierejestrowanej? Jakie formy opodatkowania wykluczają wspólne rozliczenie małżonków? Odpowiadamy na te wszystkie pytania.

REKLAMA

Będzie rewolucja w raportowaniu ESG po zmianach w dyrektywie CSRD? Obowiązki tylko dla największych firm. Pakiet Omnibus I Komisji Europejskiej

W lutym 2025 roku Komisja Europejska ogłosiła przełomowe zmiany w unijnym systemie raportowania zrównoważonego rozwoju, wywołując gorącą debatę wśród przedsiębiorców, prawników i ekspertów ESG. Propozycje zawarte w pakiecie Omnibus, obejmujące m.in. modyfikacje dyrektywy CSRD (Corporate Sustainability Reporting Directive) i CSDDD (Corporate Sustainability Due Diligence Directive), zdaniem wielu komentatorów stanowią próbę znalezienia równowagi między ambicjami klimatycznymi UE a realiami gospodarczymi. Wspólnie z dr Anną Partyką-Opielą, partnerką kancelarii Rymarz Zdort Maruta i laureatką rankingu Top 25 Women Lawyers in Business by Forbes 2024, analizujemy konsekwencje tych zmian dla europejskiego biznesu.

Biznes ma dość! Domaga się prostych i stabilnych podatków. Jest 100 postulatów

Chaos w podatkach, powolne sądy i drakońskie areszty gospodarcze – polscy przedsiębiorcy mają dość! Domagają się uproszczenia systemu podatkowego, rozszerzenia estońskiego CIT oraz stabilnych przepisów. Czy rząd posłucha biznesu, zanim firmy zaczną masowo uciekać za granicę?

REKLAMA