REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Lubasz i Wspólnicy
Kancelaria Radców Prawnych
Karolina Przybysz
Aplikant radcowski
Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka
Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka

REKLAMA

REKLAMA

Przepisami RODO nałożono na administratorów ogólny obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby przetwarzanie danych odbywało się zgodnie z przepisami rozporządzenia ogólnego o ochronie danych osobowych, a także aby przetwarzanie danych było bezpieczne z perspektywy prawa i wolności osób, których dane są przetwarzane. Ustaleniu, jakie środki będą najbardziej odpowiednie dla celu zapewnienia zgodności i w najlepszy sposób zapewnią bezpieczeństwo przetwarzania służy analiza ryzyka związanego z przetwarzaniem danych, którą można przeprowadzić również z wykorzystaniem aplikacji GDPR Risk Tracker.

Czym jest ryzyko? 

RODO nie definiuje pojęcia ryzyka, jednak wielokrotnie się nim posługuje. Kluczem dla zrozumienia istoty ryzyka jest konstatacja, iż analizie podlega ryzyko naruszenia praw lub wolności jednostek, których dane dotyczą, nie zaś ryzyko po stronie administratora, np. ryzyko start majątkowych. A zatem administrator nie powinien więc badać jakie mogą być negatywne konsekwencje przetwarzania danych lub naruszenia ochrony danych dla niego, lecz dla podmiotów danych. Ta zasada powinna mu przyświecać w każdym aspekcie działalności, od jej planowania, aż po utrzymywanie.

REKLAMA

Autopromocja

REKLAMA

W ujęciu generalnym ryzyko rozumie się jako wpływ niepewności na cele, który powoduje pozytywne lub negatywne odchylenie od oczekiwań. Mówiąc inaczej, jest to pewien scenariusz opisujący konkretne zdarzenie i jego konsekwencje oszacowane pod kątem ich dotkliwości oraz prawdopodobieństwa. Ryzyko naruszenia praw lub wolności osób może wynikać z przetwarzania danych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych po stronie podmiotów danych.

Przetwarzanie danych może powodować różnego rodzaju negatywne skutki dla osób, których dane dotyczą. Można tu wskazać m.in. dyskryminację, kradzież tożsamości, szkody majątkowe, utratę kontroli nad własnymi danymi, utratę dobrej opinii, itp. Zadaniem administratora jest więc:

  • zidentyfikowanie ryzyka i potencjalnych skutków wystąpienia ryzyka,
  • analiza ryzyka – jego źródeł pochodzenia i kryteriów, które mają na nie wpływ,
  • ustalenie poziomu ryzyka i możliwości jego minimalizacji,
  • dobranie środków technicznych i organizacyjnych, które będą odpowiadały ustalonemu ryzyku. 

Metody analizy ryzyka

Przystępując do analizy ryzyka administrator w pierwszej kolejności powinien wybrać metodę, którą się posłuży. Co do zasady im bardziej precyzyjną metodę wybierze, tym większa szansa, że analiza zostanie przeprowadzona rzetelnie i będzie odpowiednio wrażliwa na zmieniające się warunki i okoliczności przetwarzania. Nie zawsze jednak skomplikowane metody analizy będą odpowiednie dla administratora, zwłaszcza takiego, który jest niewielką organizacją i nie posiada zaplecza ani środków finansowych na uszczegółowione i długotrwałe analizy. Istotne jest zatem, aby wybrać taką metodą, która będzie adekwatna z perspektywy organizacji administratora, a jednocześnie poprowadzi go do rzetelnych i prawidłowych wniosków.

REKLAMA

Doktryna dzieli metody analizy ryzyka na jakościowe, ilościowe i mieszane. Metody jakościowe polegają na wykorzystaniu pewnej skali atrybutów, które kwalifikują się do przypisania im wartości, np. niski, średni, wysoki. Charakteryzują się prostotą, ale także wysokim stopniem ogólności, który w pewnych wypadkach może się okazać zbyt wysoki. Metodami bardziej precyzyjnymi są metody ilościowe, które opierają się na przypisaniu pewnym cechom lub atrybutom wartości numerycznych, które razem pomagają ustalić, na jakim poziomie stoi ryzyko.

Dalszy ciąg materiału pod wideo

RODO pozostawia administratorom swobodę również w zakresie doboru narzędzi i sposobów przeprowadzenia analizy, dopuszczając tak arkusze kalkulacyjne, metody opisowe, jak i dedykowane narzędzia lub aplikacje analityczne. Istotne jest jednak, aby analiza została udokumentowana w taki sposób, aby w przyszłości można było odtworzyć proces myślowy administratora, brane pod uwagę kryteria i wyniki analizy.

Kryteria wpływające na poziom ryzyka

Przepisy RODO podaje ogólne kryteria jakimi powinien się kierować administrator dokonując analizy ryzyka wskazując charakter oraz kontekst przetwarzania, tj. warunki i sposoby przetwarzania danych, cel przetwarzania danych, a także ich zakres. Na podwyższenie stopnia ryzyka wpływać będzie również to z jakimi danymi mamy do czynienia. Jeżeli administrator przetwarza dane szczególnych kategorii, tzw. dane wrażliwe, wpływa to na wzrost ryzyka.

Ostatecznie zadaniem administratora jest ocena wagi danych oraz stopnia prawdopodobieństwa wystąpienia negatywnego skutku po stronie podmiotów danych związanego z procesami przetwarzania i  w tym kontekście znaczenie będą miały również podatności i zagrożenia występujące w procesie przetwarzania i skorelowane z nimi zabezpieczenia mitygujące takie podatności lub zagrożenia.

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Polecamy: INFORLEX Biznes

Rezultaty analizy

Po wykonaniu analizy i oszacowaniu poziomu ryzyka administrator powinien ocenić, czy ryzyko to jest akceptowalne lub co może zrobić, aby ryzyko zminimalizować. Jego obowiązkiem jest w szczególności podjęcie decyzji, jakie środki techniczne i organizacyjne – w kontekście ustalonego ryzyka – będą najlepsze, najbardziej adekwatne dla zapewnienia zgodności i bezpieczeństwa przetwarzania danych. Administrator musi samodzielnie podjąć tę decyzję, uzyskując tym samym nieznany dotąd regulacjom z zakresu ochrony danych poziom swobody. Niestety, z tak szeroko zakrojoną swobodą wiąże się też daleko idąca odpowiedzialność ze ewentualne błędy.

Zastosowanie niewystarczających środków ochrony danych może spowodować odpowiedzialność finansową i odszkodowawczą po stronie administratora, jeżeli w wyniku jego błędu dojdzie do naruszenia przepisów RODO lub do szkody majątkowej po stronie podmiotu danych. Na administratorze spoczywa więc niełatwe zadanie – musi prawidłowo i rzetelnie przeprowadzić analizę ryzyka oraz wyprowadzić z niej właściwe wnioski, a ostatecznie ją udokumentować by móc wykazać kryteria jej przeprowadzenia i doboru przed organem nadzorczym.

Należy pamiętać, że analiza ryzyka nie może być traktowana jako procedura jednorazowa. Powinna ona mieć charakter ciągły i być wykonywana systematycznie. Analizę należy wykonywać w każdym przypadku, gdy zmieniły się okoliczności lub warunki przetwarzania danych, a także w przypadku wdrażania nowych inicjatyw i przedsięwzięć. Administrator powinien również na bieżąco wykonywać przegląd stosowanych środków technicznych i organizacyjnych służących zabezpieczeniu danych, aby stale upewniać się, czy odpowiadają one potrzebom administratora i czy nie powinny być zastąpione np. środkami nowocześniejszymi i bardziej skutecznymi.

GDPR RiskTracker

Mając świadomość, iż analiza ryzyka może przysparzać administratorom liczne trudności, zespół Kancelarii Radców Prawnych – Lubasz i Wspólnicy, specjalizującej się w prawie ochrony danych osobowych, opracował nowatorską aplikację GDPR RiskTracker. Aplikacja skierowana jest do administratorów oraz inspektorów ochrony danych, którzy chcą w prosty i czytelny sposób wykonać analizę ryzyka uwzględniającą niezbędne kryteria i cechy przetwarzania. Skorzystanie z narzędzia pozwala na przeprowadzenie zautomatyzowanej analizy opartej na bazującej na normie ISO 29134 eksperckiej, ilościowej metodzie szacowania ryzyka. Program prowadzi użytkownika przez poszczególne etapy analizy, aż do jej zakończenia, które pozwala na określenie poziomu ryzyka wyrażonego w wartościach liczbowych oraz wygenerowanie raportu zawierającego ustalenia i wnioski z analizy, a także rekomendacje dotyczące modyfikacji procesu lub zabezpieczeń w celu zapewnienia zgodności.

Na stronie https://app.gdprrisktracker.pl można wypróbować działanie aplikacji. Zasady działania aplikacji i zastosowana metoda analityczna zostały opisane w bezpłatnym e-booku, który można pobrać ze strony https://www.gdprrisktracker.pl/ O aplikacji będzie też mowa w trakcie Konwentu Ochrony Danych i Informacji, który odbędzie się już 19 listopada 2019 r. w Łodzi. Udział w Konwencie jest bezpłatny, a rejestracja możliwa jest na stronie https://www.konwentodo.pl.

Karolina Przybysz, aplikant radcowski w Lubasz i Wspólnicy - Kancelarii Radców Prawnych sp.k.

Zapisz się na newsletter
Chcesz uniknąć błędów? Być na czasie z najnowszymi zmianami w podatkach? Zapisz się na nasz newsletter i otrzymuj rzetelne informacje prosto na swoją skrzynkę.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Minister Majewska chce uproszczenia ZUS dla firm – konkretne propozycje zmian już na stole

Minister Agnieszka Majewska zaproponowała szereg zmian w przepisach dotyczących ubezpieczeń społecznych, które mają ułatwić życie mikro, małym i średnim przedsiębiorcom. Wśród postulatów znalazły się m.in. podniesienie limitu Małego ZUS Plus, likwidacja składki rentowej dla emerytów-przedsiębiorców, uproszczenia przy wakacjach składkowych oraz ułatwienia dla łączących biznes z rodzicielstwem.

Miliardy z KPO usprawniają kolejową infrastrukturę

Prawie 11,5 mld zł warte są inwestycje realizowane ze środków Krajowego Planu Odbudowy i Zwiększenia Odporności (KPO) przez PKP Polskie Linie Kolejowe S.A. Zarządzająca infrastrukturą kolejową spółka, która jest największym beneficjentem KPO, zawarła już ponad 120 umów z wykonawcami na kwotę 8 mld zł. Przeszło 160 prowadzonych zadań ma przyczynić się do zwiększenia prędkości pociągów, a także zwiększenia przepustowości tras oraz usprawnienia zarządzania ruchem kolejowym. Inwestycje poprawiają bezpieczeństwo ruchu i komfort obsługi podróżnych. Na stacjach i przystankach budowany jest nowoczesny system informacji pasażerskiej, a ich infrastruktura - dopasowywana do potrzeb osób o ograniczonej mobilności.

Darowizna od brata ponad limit 36 120 zł. Jakie warunki muszą zostać spełnione, aby nie stracić prawa do zwolnienia podatkowego?

Co robić gdy darowizna przekazana przez brata przekracza limit kwoty wolnej w wysokości 36 120 zł? Czy podlegała zwolnieniu od podatku od spadków i darowizn, pomimo że jest dokonywana z majątku wspólnego brata i jego małżonki? Jakie warunki muszą zostać spełnione, żeby nie stracić prawa do zwolnienia?

KSeF wymusi zmiany. Rejestry VAT i wydatki pracownicze po nowemu od 2026 roku

Wdrożenie Krajowego Systemu e-Faktur to jeden z najważniejszych projektów cyfryzacyjnych polskiej administracji podatkowej ostatnich lat. Od 1 lutego lub od 1 kwietnia 2026 roku – w zależności od poziomu sprzedaży w 2024 roku – podatnicy VAT będą zobowiązani do wystawiania faktur wyłącznie w formie elektronicznej za pośrednictwem KSeF. To nie tylko zmiana technologiczna, ale także rewolucja organizacyjna, która wymusi dostosowanie systemów księgowych, procesów wewnętrznych i codziennej pracy działów finansowych.

REKLAMA

Kredyt EKOlogiczny 2025 – bezzwrotna dotacja dla firm na modernizację energetyczną. Jakie warunki trzeba spełnić?

Już od października 2025 r. przedsiębiorcy będą mogli ubiegać się o dofinansowanie z Kredytu EKOlogicznego – dotacji realizowanej w ramach programu Fundusze Europejskie dla Nowoczesnej Gospodarki (FENG 3.01).

Obowiązkowy KSeF: kogo obejmie, jak fakturować w czasie awarii? Co czeka podatników VAT w 2026 roku?

Ponad pół rok dzieli przedsiębiorców od dnia, w którym elektroniczne fakturowanie stanie się w Polsce obowiązkowe. W zależności od poziomu sprzedaży w 2024 roku, firmy będą musiały dołączyć do Krajowego Systemu e-Faktur (KSeF) od 1 lutego lub od 1 kwietnia 2026 roku. Od tego momentu korzystanie z KSeF stanie się obowiązkowe dla wszystkich podatników VAT czynnych. Firmy mają już niewiele czasu, by dostosować swoje systemy, procedury i zespoły do nowych wymogów.

Ulga termomodernizacyjna i zwolnienie z podatku dochodowego (PIT) dla osób realizujących przedsięwzięcia termomodernizacyjne. Najnowsze objaśnienia Ministra Finansów z 2025 r.

W dniu 30 czerwca 2025 r. Minister Finansów wydał objaśnienia podatkowe odnośnie form wsparcia przedsięwzięcia termomodernizacyjnego w podatku dochodowym od osób fizycznych. Objaśnienie te dotyczą rozwiązań podatkowych (ulga termomodernizacyjna i zwolnienie podatkowe), które wspierają przedsięwzięcie termomodernizacyjne na gruncie ustawy o podatku dochodowym od osób fizycznych (dalej „ustawa PIT”), oraz ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (dalej „ustawa o ryczałcie”). Objaśnienia zawierają ogólne wyjaśnienia przepisów prawa podatkowego oraz uwzględniają stan prawny obowiązujący na dzień 1 stycznia 2025 r. Objaśnienia podatkowe są wydawane przez ministra finansów na podstawie art. 14a § 1 pkt 2 ustawy – Ordynacja podatkowa z urzędu w celu zapewnienia jednolitego stosowania przepisów prawa podatkowego przez organy podatkowe. Warto w szczególności zwrócić uwagę na zmieniony wykaz wydatków uprawniających do odliczenia w ramach ulgi rehabilitacyjnej. Walorem tych objaśnień są także liczne przykłady wyjaśniające treść przepisów. Publikujemy poniżej pełną treść tych objaśnień.

Nowe tachografy nie aż tak inteligentne jak zakładano. Na jakie błędy muszą uważać kierowcy i firmy transportowe?

Od 19 sierpnia 2025 roku w przewozach międzynarodowych w UE wymagane będą już wyłącznie najnowsze tachografy inteligentne często oznaczane jako tachografy G2V2, czyli druga wersja tachografów inteligentnych. Obecnie w transporcie międzynarodowym stanowią one już większość tachografów. Choć nowe urządzenia rejestrujące miały za zadanie ułatwiać pracę firmom transportowym, to jednak są zawodne i mogą powodować wiele trudności przy rozliczaniu i kontroli czasu pracy kierowców. Na jakie błędy nowych smart tachografów trzeba uważać i jak skutecznie sobie z nimi radzić?

REKLAMA

Patologiczna prywatyzacja majątku firm? Rada Przedsiębiorców wzywa rząd do pilnych zmian w prawie

Rada Przedsiębiorców alarmuje: niekontrolowane postępowania upadłościowe sprzyjają nadużyciom i grabieży majątku firm. W liście do premiera Donalda Tuska organizacja apeluje o zmiany legislacyjne, które mają zakończyć nieformalny system patologicznej prywatyzacji i chronić interes publiczny.

Jak korzystać w praktyce z procedury VAT OSS – rejestracja, rozliczenia, płatności, ewidencja

Procedura OSS (ang. One Stop Shop) obowiązuje w Polsce od 1 lipca 2021 r., jednak wciąż wiele firm nie zdaje sobie sprawy, jak bardzo może ona uprościć ich rozliczenia podatkowe w zakresie VAT. Choć na pierwszy rzut oka może wydawać się skomplikowana, przy wsparciu doświadczonego doradcy jej wdrożenie jest szybkie i efektywne, a korzyści z jej stosowania znaczące.

REKLAMA