REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka

Lubasz i Wspólnicy
Kancelaria Radców Prawnych
Karolina Przybysz
Aplikant radcowski
Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka
Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka

REKLAMA

REKLAMA

Przepisami RODO nałożono na administratorów ogólny obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby przetwarzanie danych odbywało się zgodnie z przepisami rozporządzenia ogólnego o ochronie danych osobowych, a także aby przetwarzanie danych było bezpieczne z perspektywy prawa i wolności osób, których dane są przetwarzane. Ustaleniu, jakie środki będą najbardziej odpowiednie dla celu zapewnienia zgodności i w najlepszy sposób zapewnią bezpieczeństwo przetwarzania służy analiza ryzyka związanego z przetwarzaniem danych, którą można przeprowadzić również z wykorzystaniem aplikacji GDPR Risk Tracker.

Czym jest ryzyko? 

RODO nie definiuje pojęcia ryzyka, jednak wielokrotnie się nim posługuje. Kluczem dla zrozumienia istoty ryzyka jest konstatacja, iż analizie podlega ryzyko naruszenia praw lub wolności jednostek, których dane dotyczą, nie zaś ryzyko po stronie administratora, np. ryzyko start majątkowych. A zatem administrator nie powinien więc badać jakie mogą być negatywne konsekwencje przetwarzania danych lub naruszenia ochrony danych dla niego, lecz dla podmiotów danych. Ta zasada powinna mu przyświecać w każdym aspekcie działalności, od jej planowania, aż po utrzymywanie.

Autopromocja

W ujęciu generalnym ryzyko rozumie się jako wpływ niepewności na cele, który powoduje pozytywne lub negatywne odchylenie od oczekiwań. Mówiąc inaczej, jest to pewien scenariusz opisujący konkretne zdarzenie i jego konsekwencje oszacowane pod kątem ich dotkliwości oraz prawdopodobieństwa. Ryzyko naruszenia praw lub wolności osób może wynikać z przetwarzania danych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych po stronie podmiotów danych.

Przetwarzanie danych może powodować różnego rodzaju negatywne skutki dla osób, których dane dotyczą. Można tu wskazać m.in. dyskryminację, kradzież tożsamości, szkody majątkowe, utratę kontroli nad własnymi danymi, utratę dobrej opinii, itp. Zadaniem administratora jest więc:

  • zidentyfikowanie ryzyka i potencjalnych skutków wystąpienia ryzyka,
  • analiza ryzyka – jego źródeł pochodzenia i kryteriów, które mają na nie wpływ,
  • ustalenie poziomu ryzyka i możliwości jego minimalizacji,
  • dobranie środków technicznych i organizacyjnych, które będą odpowiadały ustalonemu ryzyku. 

Metody analizy ryzyka

Przystępując do analizy ryzyka administrator w pierwszej kolejności powinien wybrać metodę, którą się posłuży. Co do zasady im bardziej precyzyjną metodę wybierze, tym większa szansa, że analiza zostanie przeprowadzona rzetelnie i będzie odpowiednio wrażliwa na zmieniające się warunki i okoliczności przetwarzania. Nie zawsze jednak skomplikowane metody analizy będą odpowiednie dla administratora, zwłaszcza takiego, który jest niewielką organizacją i nie posiada zaplecza ani środków finansowych na uszczegółowione i długotrwałe analizy. Istotne jest zatem, aby wybrać taką metodą, która będzie adekwatna z perspektywy organizacji administratora, a jednocześnie poprowadzi go do rzetelnych i prawidłowych wniosków.

Doktryna dzieli metody analizy ryzyka na jakościowe, ilościowe i mieszane. Metody jakościowe polegają na wykorzystaniu pewnej skali atrybutów, które kwalifikują się do przypisania im wartości, np. niski, średni, wysoki. Charakteryzują się prostotą, ale także wysokim stopniem ogólności, który w pewnych wypadkach może się okazać zbyt wysoki. Metodami bardziej precyzyjnymi są metody ilościowe, które opierają się na przypisaniu pewnym cechom lub atrybutom wartości numerycznych, które razem pomagają ustalić, na jakim poziomie stoi ryzyko.

Dalszy ciąg materiału pod wideo

RODO pozostawia administratorom swobodę również w zakresie doboru narzędzi i sposobów przeprowadzenia analizy, dopuszczając tak arkusze kalkulacyjne, metody opisowe, jak i dedykowane narzędzia lub aplikacje analityczne. Istotne jest jednak, aby analiza została udokumentowana w taki sposób, aby w przyszłości można było odtworzyć proces myślowy administratora, brane pod uwagę kryteria i wyniki analizy.

Kryteria wpływające na poziom ryzyka

Przepisy RODO podaje ogólne kryteria jakimi powinien się kierować administrator dokonując analizy ryzyka wskazując charakter oraz kontekst przetwarzania, tj. warunki i sposoby przetwarzania danych, cel przetwarzania danych, a także ich zakres. Na podwyższenie stopnia ryzyka wpływać będzie również to z jakimi danymi mamy do czynienia. Jeżeli administrator przetwarza dane szczególnych kategorii, tzw. dane wrażliwe, wpływa to na wzrost ryzyka.

Ostatecznie zadaniem administratora jest ocena wagi danych oraz stopnia prawdopodobieństwa wystąpienia negatywnego skutku po stronie podmiotów danych związanego z procesami przetwarzania i  w tym kontekście znaczenie będą miały również podatności i zagrożenia występujące w procesie przetwarzania i skorelowane z nimi zabezpieczenia mitygujące takie podatności lub zagrożenia.

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Polecamy: INFORLEX Biznes

Rezultaty analizy

Po wykonaniu analizy i oszacowaniu poziomu ryzyka administrator powinien ocenić, czy ryzyko to jest akceptowalne lub co może zrobić, aby ryzyko zminimalizować. Jego obowiązkiem jest w szczególności podjęcie decyzji, jakie środki techniczne i organizacyjne – w kontekście ustalonego ryzyka – będą najlepsze, najbardziej adekwatne dla zapewnienia zgodności i bezpieczeństwa przetwarzania danych. Administrator musi samodzielnie podjąć tę decyzję, uzyskując tym samym nieznany dotąd regulacjom z zakresu ochrony danych poziom swobody. Niestety, z tak szeroko zakrojoną swobodą wiąże się też daleko idąca odpowiedzialność ze ewentualne błędy.

Zastosowanie niewystarczających środków ochrony danych może spowodować odpowiedzialność finansową i odszkodowawczą po stronie administratora, jeżeli w wyniku jego błędu dojdzie do naruszenia przepisów RODO lub do szkody majątkowej po stronie podmiotu danych. Na administratorze spoczywa więc niełatwe zadanie – musi prawidłowo i rzetelnie przeprowadzić analizę ryzyka oraz wyprowadzić z niej właściwe wnioski, a ostatecznie ją udokumentować by móc wykazać kryteria jej przeprowadzenia i doboru przed organem nadzorczym.

Należy pamiętać, że analiza ryzyka nie może być traktowana jako procedura jednorazowa. Powinna ona mieć charakter ciągły i być wykonywana systematycznie. Analizę należy wykonywać w każdym przypadku, gdy zmieniły się okoliczności lub warunki przetwarzania danych, a także w przypadku wdrażania nowych inicjatyw i przedsięwzięć. Administrator powinien również na bieżąco wykonywać przegląd stosowanych środków technicznych i organizacyjnych służących zabezpieczeniu danych, aby stale upewniać się, czy odpowiadają one potrzebom administratora i czy nie powinny być zastąpione np. środkami nowocześniejszymi i bardziej skutecznymi.

GDPR RiskTracker

Mając świadomość, iż analiza ryzyka może przysparzać administratorom liczne trudności, zespół Kancelarii Radców Prawnych – Lubasz i Wspólnicy, specjalizującej się w prawie ochrony danych osobowych, opracował nowatorską aplikację GDPR RiskTracker. Aplikacja skierowana jest do administratorów oraz inspektorów ochrony danych, którzy chcą w prosty i czytelny sposób wykonać analizę ryzyka uwzględniającą niezbędne kryteria i cechy przetwarzania. Skorzystanie z narzędzia pozwala na przeprowadzenie zautomatyzowanej analizy opartej na bazującej na normie ISO 29134 eksperckiej, ilościowej metodzie szacowania ryzyka. Program prowadzi użytkownika przez poszczególne etapy analizy, aż do jej zakończenia, które pozwala na określenie poziomu ryzyka wyrażonego w wartościach liczbowych oraz wygenerowanie raportu zawierającego ustalenia i wnioski z analizy, a także rekomendacje dotyczące modyfikacji procesu lub zabezpieczeń w celu zapewnienia zgodności.

Na stronie https://app.gdprrisktracker.pl można wypróbować działanie aplikacji. Zasady działania aplikacji i zastosowana metoda analityczna zostały opisane w bezpłatnym e-booku, który można pobrać ze strony https://www.gdprrisktracker.pl/ O aplikacji będzie też mowa w trakcie Konwentu Ochrony Danych i Informacji, który odbędzie się już 19 listopada 2019 r. w Łodzi. Udział w Konwencie jest bezpłatny, a rejestracja możliwa jest na stronie https://www.konwentodo.pl.

Karolina Przybysz, aplikant radcowski w Lubasz i Wspólnicy - Kancelarii Radców Prawnych sp.k.

Autopromocja

REKLAMA

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

Podatek PIT - część 2
certificate
Jak zdobyć Certyfikat:
  • Czytaj artykuły
  • Rozwiązuj testy
  • Zdobądź certyfikat
1/10
Zeznanie PIT-37 za 2022 r. można złożyć w terminie do:
30 kwietnia 2023 r. (niedziela)
2 maja 2023 r. (wtorek)
4 maja 2023 r. (czwartek)
29 kwietnia 2023 r. (sobota)
Następne
Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Zawieszenie projektu CPK to zły sygnał także dla mniejszych firm

„Zawieszenie” projektu Centralnego Portu Komunikacyjnego to zły sygnał również dla mniejszych firm. Czy małe firmy mogą mieć kłopoty przez zawieszenie projektu CPK? Firma zaangażowana w projekt CPK raczej nie dostanie kredytu.

3 czerwca 2024 r. upływa termin na złożenie wniosku o zwrot nadpłaconej składki zdrowotnej

Do 3 czerwca 2024 r. przedsiębiorcy mają czas na złożenie wniosku o zwrot nadpłaty składki zdrowotnej za ubiegły rok. Jakie są skutki nie zrobienia tego w terminie, co się stanie z nadpłatą?

Zmiana wzoru i miejsc naklejania znaków akcyzy na wyroby winiarskie [KOMENTARZ]

Komentarz prezes Magdaleny Zielińskiej Związku Pracodawców Polskiej Rady Winiarstwa.

Cyberbezpieczeństwo w branży TSL – nowe wymogi. Co zmieni unijna dyrektywa NIS 2 od 17 października 2024 roku?

Dyrektywa NIS 2 wymusza na firmach konieczność wdrożenia strategii zarządzania ryzykiem. W praktyce oznacza to, że muszą zabezpieczyć swoje systemy komputerowe, procesy bezpieczeństwa oraz wiedzę swoich pracowników na tyle, by zapewnić funkcjonowanie i odpowiednio szybką reakcję w przypadku ataku hakerskiego. Od 17 października 2024 roku wszystkie kraje członkowskie powinny zaimplementować dyrektywę w swoim systemie prawnym.

Nawet 8%. Lokaty bankowe – oprocentowanie pod koniec maja 2024 r.

Ile wynosi oprocentowanie najlepszych depozytów bankowych pod koniec maja 2024 roku? Jakie odsetki można uzyskać z lokat bankowych i kont oszczędnościowych? Średnie oprocentowanie najlepszych lokat i rachunków oszczędnościowych wzrosło w maju do nieco ponad 5,7%.

ZUS pobrał 4000 zł od wdowy. 20 680,00 zł udziału w emeryturze zmarłego [Mąż nie skorzystał z emerytury]

Wdowa otrzymała wypłatę gwarantowaną 20 680,00 zł (udział w emeryturze zmarłego męża w zakresie subkonta). ZUS pobrał (jako płatnik PIT) 4000 zł i przekazał te pieniądze fiskusowi. ZUS wykonał prawidłowo przepisy podatkowe ustalające podatek na prawie 1/5 płatności. ZUS jest tu tylko pośrednikiem między wdową a fiskusem.

8-procentowy VAT nie dla domków letniskowych

Zgodnie z obecną praktyką organów podatkowych 8-procentowy VAT może być stosowany wyłącznie przy wznoszeniu budynków mieszkalnych przeznaczonych do stałego zamieszkania, zatem przedsiębiorcy budujące domki letniskowe lub rekreacyjne muszą wystawiać faktury z 23-procentowym VAT. 

Faktura korygująca 2024. Czy można zmienić dane nabywcy na zupełnie inny podmiot?

Sprzedawca wystawił fakturę VAT na podmiot XYZ Sp. z o.o., jednak właściwym nabywcą był XYZ Sp. k. Te dwa podmioty łączy tylko nazwa „XYZ” oraz osoba zarządzająca. Są to natomiast dwie różne działalności z różnymi numerami NIP. Czy w takiej sytuacji sprzedawca może zmienić dane nabywcy widniejące na fakturze poprzez fakturę korygującą, tj. bez konieczności wystawiania tzw. korekty „do zera” na XYZ Sp. z o.o., i obciążenie XYZ Sp. k. tylko poprzez korektę i zmianę odbiorcy faktury? 

Nowy sposób organów celno-skarbowych na uszczelnienie wywozu towarów podlegającym sankcjom na Rosję

Oświadczenie producenta o tym, iż wie kto jest kupującym i sprzedającym towar oraz o tym, iż wie, że jego wyprodukowany towar będzie przejeżdżał przez Rosję w tranzycie i zna końcowego użytkownika produktu, ma być narzędziem do ograniczenia wywozu towarów które są wyszczególnione w rozporządzeniu Rady (UE) NR 833/2014 z dnia 31 lipca 2014 r. dotyczące środków ograniczających w związku z działaniami Rosji destabilizującymi sytuację na Ukrainie.

Opóźnienia w zapłacie w podatku dochodowym - skutki

Przedsiębiorcy mają wynikający z przepisów podatkowych obowiązek płacenia różnych podatków. W tym także podatków dochodowych: PIT – podatek dochodowy od osób fizycznych i CIT – podatek dochodowy od osób prawnych (w przypadku np. spółek z o.o. czy akcyjnych). Każde opóźnienie w zapłacie podatku – także podatku dochodowego grozi nie tylko obowiązkiem obliczenia od zaległości podatkowych odsetek ale także odpowiedzialnością karną skarbową. Zaległość podatkowa, to także może być problem pracowników, którzy nie zapłacili podatku dochodowego PIT wynikającego z rocznego zeznania podatkowego.

REKLAMA