REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Lubasz i Wspólnicy
Kancelaria Radców Prawnych
Karolina Przybysz
Aplikant radcowski
Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka
Jak uprościć analizę ryzyka przetwarzania danych? – aplikacja do analizy ryzyka

REKLAMA

REKLAMA

Przepisami RODO nałożono na administratorów ogólny obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby przetwarzanie danych odbywało się zgodnie z przepisami rozporządzenia ogólnego o ochronie danych osobowych, a także aby przetwarzanie danych było bezpieczne z perspektywy prawa i wolności osób, których dane są przetwarzane. Ustaleniu, jakie środki będą najbardziej odpowiednie dla celu zapewnienia zgodności i w najlepszy sposób zapewnią bezpieczeństwo przetwarzania służy analiza ryzyka związanego z przetwarzaniem danych, którą można przeprowadzić również z wykorzystaniem aplikacji GDPR Risk Tracker.

Czym jest ryzyko? 

RODO nie definiuje pojęcia ryzyka, jednak wielokrotnie się nim posługuje. Kluczem dla zrozumienia istoty ryzyka jest konstatacja, iż analizie podlega ryzyko naruszenia praw lub wolności jednostek, których dane dotyczą, nie zaś ryzyko po stronie administratora, np. ryzyko start majątkowych. A zatem administrator nie powinien więc badać jakie mogą być negatywne konsekwencje przetwarzania danych lub naruszenia ochrony danych dla niego, lecz dla podmiotów danych. Ta zasada powinna mu przyświecać w każdym aspekcie działalności, od jej planowania, aż po utrzymywanie.

REKLAMA

REKLAMA

Autopromocja

W ujęciu generalnym ryzyko rozumie się jako wpływ niepewności na cele, który powoduje pozytywne lub negatywne odchylenie od oczekiwań. Mówiąc inaczej, jest to pewien scenariusz opisujący konkretne zdarzenie i jego konsekwencje oszacowane pod kątem ich dotkliwości oraz prawdopodobieństwa. Ryzyko naruszenia praw lub wolności osób może wynikać z przetwarzania danych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych po stronie podmiotów danych.

Przetwarzanie danych może powodować różnego rodzaju negatywne skutki dla osób, których dane dotyczą. Można tu wskazać m.in. dyskryminację, kradzież tożsamości, szkody majątkowe, utratę kontroli nad własnymi danymi, utratę dobrej opinii, itp. Zadaniem administratora jest więc:

  • zidentyfikowanie ryzyka i potencjalnych skutków wystąpienia ryzyka,
  • analiza ryzyka – jego źródeł pochodzenia i kryteriów, które mają na nie wpływ,
  • ustalenie poziomu ryzyka i możliwości jego minimalizacji,
  • dobranie środków technicznych i organizacyjnych, które będą odpowiadały ustalonemu ryzyku. 

Metody analizy ryzyka

Przystępując do analizy ryzyka administrator w pierwszej kolejności powinien wybrać metodę, którą się posłuży. Co do zasady im bardziej precyzyjną metodę wybierze, tym większa szansa, że analiza zostanie przeprowadzona rzetelnie i będzie odpowiednio wrażliwa na zmieniające się warunki i okoliczności przetwarzania. Nie zawsze jednak skomplikowane metody analizy będą odpowiednie dla administratora, zwłaszcza takiego, który jest niewielką organizacją i nie posiada zaplecza ani środków finansowych na uszczegółowione i długotrwałe analizy. Istotne jest zatem, aby wybrać taką metodą, która będzie adekwatna z perspektywy organizacji administratora, a jednocześnie poprowadzi go do rzetelnych i prawidłowych wniosków.

REKLAMA

Doktryna dzieli metody analizy ryzyka na jakościowe, ilościowe i mieszane. Metody jakościowe polegają na wykorzystaniu pewnej skali atrybutów, które kwalifikują się do przypisania im wartości, np. niski, średni, wysoki. Charakteryzują się prostotą, ale także wysokim stopniem ogólności, który w pewnych wypadkach może się okazać zbyt wysoki. Metodami bardziej precyzyjnymi są metody ilościowe, które opierają się na przypisaniu pewnym cechom lub atrybutom wartości numerycznych, które razem pomagają ustalić, na jakim poziomie stoi ryzyko.

Dalszy ciąg materiału pod wideo

RODO pozostawia administratorom swobodę również w zakresie doboru narzędzi i sposobów przeprowadzenia analizy, dopuszczając tak arkusze kalkulacyjne, metody opisowe, jak i dedykowane narzędzia lub aplikacje analityczne. Istotne jest jednak, aby analiza została udokumentowana w taki sposób, aby w przyszłości można było odtworzyć proces myślowy administratora, brane pod uwagę kryteria i wyniki analizy.

Kryteria wpływające na poziom ryzyka

Przepisy RODO podaje ogólne kryteria jakimi powinien się kierować administrator dokonując analizy ryzyka wskazując charakter oraz kontekst przetwarzania, tj. warunki i sposoby przetwarzania danych, cel przetwarzania danych, a także ich zakres. Na podwyższenie stopnia ryzyka wpływać będzie również to z jakimi danymi mamy do czynienia. Jeżeli administrator przetwarza dane szczególnych kategorii, tzw. dane wrażliwe, wpływa to na wzrost ryzyka.

Ostatecznie zadaniem administratora jest ocena wagi danych oraz stopnia prawdopodobieństwa wystąpienia negatywnego skutku po stronie podmiotów danych związanego z procesami przetwarzania i  w tym kontekście znaczenie będą miały również podatności i zagrożenia występujące w procesie przetwarzania i skorelowane z nimi zabezpieczenia mitygujące takie podatności lub zagrożenia.

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Polecamy: INFORLEX Biznes

Rezultaty analizy

Po wykonaniu analizy i oszacowaniu poziomu ryzyka administrator powinien ocenić, czy ryzyko to jest akceptowalne lub co może zrobić, aby ryzyko zminimalizować. Jego obowiązkiem jest w szczególności podjęcie decyzji, jakie środki techniczne i organizacyjne – w kontekście ustalonego ryzyka – będą najlepsze, najbardziej adekwatne dla zapewnienia zgodności i bezpieczeństwa przetwarzania danych. Administrator musi samodzielnie podjąć tę decyzję, uzyskując tym samym nieznany dotąd regulacjom z zakresu ochrony danych poziom swobody. Niestety, z tak szeroko zakrojoną swobodą wiąże się też daleko idąca odpowiedzialność ze ewentualne błędy.

Zastosowanie niewystarczających środków ochrony danych może spowodować odpowiedzialność finansową i odszkodowawczą po stronie administratora, jeżeli w wyniku jego błędu dojdzie do naruszenia przepisów RODO lub do szkody majątkowej po stronie podmiotu danych. Na administratorze spoczywa więc niełatwe zadanie – musi prawidłowo i rzetelnie przeprowadzić analizę ryzyka oraz wyprowadzić z niej właściwe wnioski, a ostatecznie ją udokumentować by móc wykazać kryteria jej przeprowadzenia i doboru przed organem nadzorczym.

Należy pamiętać, że analiza ryzyka nie może być traktowana jako procedura jednorazowa. Powinna ona mieć charakter ciągły i być wykonywana systematycznie. Analizę należy wykonywać w każdym przypadku, gdy zmieniły się okoliczności lub warunki przetwarzania danych, a także w przypadku wdrażania nowych inicjatyw i przedsięwzięć. Administrator powinien również na bieżąco wykonywać przegląd stosowanych środków technicznych i organizacyjnych służących zabezpieczeniu danych, aby stale upewniać się, czy odpowiadają one potrzebom administratora i czy nie powinny być zastąpione np. środkami nowocześniejszymi i bardziej skutecznymi.

GDPR RiskTracker

Mając świadomość, iż analiza ryzyka może przysparzać administratorom liczne trudności, zespół Kancelarii Radców Prawnych – Lubasz i Wspólnicy, specjalizującej się w prawie ochrony danych osobowych, opracował nowatorską aplikację GDPR RiskTracker. Aplikacja skierowana jest do administratorów oraz inspektorów ochrony danych, którzy chcą w prosty i czytelny sposób wykonać analizę ryzyka uwzględniającą niezbędne kryteria i cechy przetwarzania. Skorzystanie z narzędzia pozwala na przeprowadzenie zautomatyzowanej analizy opartej na bazującej na normie ISO 29134 eksperckiej, ilościowej metodzie szacowania ryzyka. Program prowadzi użytkownika przez poszczególne etapy analizy, aż do jej zakończenia, które pozwala na określenie poziomu ryzyka wyrażonego w wartościach liczbowych oraz wygenerowanie raportu zawierającego ustalenia i wnioski z analizy, a także rekomendacje dotyczące modyfikacji procesu lub zabezpieczeń w celu zapewnienia zgodności.

Na stronie https://app.gdprrisktracker.pl można wypróbować działanie aplikacji. Zasady działania aplikacji i zastosowana metoda analityczna zostały opisane w bezpłatnym e-booku, który można pobrać ze strony https://www.gdprrisktracker.pl/ O aplikacji będzie też mowa w trakcie Konwentu Ochrony Danych i Informacji, który odbędzie się już 19 listopada 2019 r. w Łodzi. Udział w Konwencie jest bezpłatny, a rejestracja możliwa jest na stronie https://www.konwentodo.pl.

Karolina Przybysz, aplikant radcowski w Lubasz i Wspólnicy - Kancelarii Radców Prawnych sp.k.

Zapisz się na newsletter
Chcesz uniknąć błędów? Być na czasie z najnowszymi zmianami w podatkach? Zapisz się na nasz newsletter i otrzymuj rzetelne informacje prosto na swoją skrzynkę.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Paradoks: Rentowność obligacji skarbowych spadała w minionym tygodniu, a ich ceny rosły. Co będzie dalej?

Rentowność obligacji skarbowych spadała w minionym tygodniu, a ich ceny rosły, na przekór narracji płynącej z rynku złota i innych metali szlachetnych, których rajd miałby być wyrazem spadającego zaufania do dolara, obligacji i całego systemu fiducjarnego. Czy można pogodzić dwa trendy o przeciwnym charakterze? Na to pytanie, w cotygodniowym komentarzu Catalyst odpowiada Emil Szweda (Obligacje.pl).

Skarbówka wchodzi na nasze konta i sprawdza transakcje bez nakazu jak się fiskusowi tylko podoba: STIR, DAC7 – warto wiedzieć, co to jest i jak działa

Fiskus ma prawo do prowadzenia kontroli kont bankowych. Dotyczy to osób prywatnych oraz przedsiębiorców i firm. Dla sprawdzenia historii transakcji na koncie bankowym nie musi być prowadzone przeciwko nam żadne postępowanie ani wszczęta kontrola. Skarbówce wystarczy samo podejrzenie popełnienia wykroczenia lub przestępstwa skarbowego, aby sięgnąć do banku po informacje o dokonywanych przez nas transakcjach. Poza tym zautomatyzowane systemy same badają na bieżąco historię bankową naszych kont i wyłapują transakcje podejrzane.

Firmowe to firmowe. Dlaczego warto oddzielić finanse prywatne od firmowych. Cztery konta, które dają przedsiębiorcy spokój

Właściciele małych firm często powtarzają: „to przecież wszystko moje pieniądze”. I rzeczywiście – formalnie tak jest. Ale kiedy pieniądze są wspólne, problemy finansowe też robią się wspólne. Dopóki na koncie jest płynność, granica między finansami firmowymi a prywatnymi wydaje się niewidoczna. Ale wystarczy większy wydatek, spadek sprzedaży albo poślizg w płatnościach od klientów – i zaczyna się chaos. Nie w dokumentach – w codziennym zarządzaniu.

Dwie ważne nowości w podatku od spadków i darowizn. Przywrócenie terminu do zwolnienia i zmiana przepisów dot. obowiązku podatkowego i złożenia zeznania

W dniu 14 października 2025 r. Rada Ministrów przyjęła i przesłała do Sejmu RP projekt nowelizacji ustawy o podatku od spadków i darowizn, który przewiduje w szczególności ochronę spadkobierców przed utratą zwolnień podatkowych. Jak wyjaśnia Ministerstwo Finansów, nowe przepisy przewidują możliwość przywrócenia terminu, który będzie miał zastosowanie do wszystkich tytułów nabycia majątku podlegającego podatkowi od spadków i darowizn. Ponadto przywrócenie terminu dotyczyć będzie poza zwolnieniem dla najbliższej rodziny, także zwolnienia nabycia przedsiębiorstw zmarłej osoby fizycznej, gdzie warunkiem zwolnienia jest również konieczność terminowego złożenia zgłoszenia. Dodatkowo nowe przepisy doprecyzują moment powstania obowiązku podatkowego przy nabyciu spadku i obowiązku złożenia zeznania podatkowego. Jest możliwe, że zmiany przepisów wejdą w życie jeszcze w 2025 roku.

REKLAMA

API KSeF 2.0 - Ministerstwo Finansów udostępniło demo interfejsu programistycznego

W dniu 15 października 2025 r. Ministerstwo Finansów udostępniło środowisko przedprodukcyjne (Demo) interfejsu programistycznego API KSeF 2.0.Środowisko daje możliwość sprawdzenia systemów finansowo-księgowych z wykorzystaniem rzeczywistych metod uwierzytelniania. Resort finansów zapewnia wsparcie techniczne dla użytkowników środowiska przedprodukcyjnego (Demo) pod adresem: podatki.gov.pl/formularz. Ministerstwo Finansów wyjaśnia, że integracja ze środowiskiem API KSeF 2.0 jest konieczna, aby zapewnić kompatybilność systemów finansowo-księgowych z obligatoryjną wersją systemu KSeF 2.0.

Od 2026 r. zmiany w księgowości podatników PIT. Nowe pliki JPK i rozporządzenia Ministra Finansów i Gospodarki

Ministerstwo Finansów poinformowało w komunikacie z 16 października 2025 r., że od 2026 r. wchodzą w życie nowe obowiązki dla przedsiębiorców prowadzących działalność gospodarczą i rozliczających się w ramach podatku PIT. Podmioty prowadzące działalność gospodarczą podlegające podatkowi PIT, które co miesiąc przekazują ewidencję JPK_V7M, będą zobowiązane do prowadzenia przy użyciu programów komputerowych ksiąg rachunkowych, podatkowej księgi przychodów i rozchodów lub ewidencji przychodów. Ministerstwo Finansów udostępni bezpłatne narzędzia pozwalające na realizację obowiązków w zakresie przesyłania nowych obligatoryjnych plików JPK.

Rachunki nie będą trafiały do KSeF. Czy to oznacza, że wrócą do łask?

Już od 2026 roku podatnicy będą zobowiązani do wystawiania faktur w Krajowym Systemie e-Faktur (KSeF). System obejmie faktury ustrukturyzowane, natomiast nie dotyczy innych dokumentów, takich jak rachunki. Oznacza to, że przedsiębiorcy dokumentujący sprzedaż zwolnioną z VAT mogą wystawiać rachunki poza KSeF.

Darowizna samochodu żonie po wycofaniu z firmy. Czy to na pewno bezpieczne podatkowo? Skarbówka rozwiewa wątpliwości

Czy przekazanie żonie samochodu wycofanego z działalności gospodarczej może sprowadzić na przedsiębiorcę problemy z fiskusem? Najnowsza interpretacja skarbówki rozwiewa te wątpliwości. Urząd jasno wskazał, że darowizna auta po wycofaniu z firmy nie powoduje powstania przychodu w PIT, o ile spełnione są określone warunki. To ważna wiadomość dla przedsiębiorców, którzy zastanawiają się, jak bezpiecznie przekazać majątek firmowy do majątku prywatnego.

REKLAMA

Opodatkowanie donejtów dla twórców internetowych (PIT, VAT). Czy to naprawdę darowizna?

Przez lata środowisko twórców internetowych – streamerów, youtuberów czy użytkowników Patronite – żyło w przekonaniu, że donate’y (czyli dobrowolne wpłaty od widzów) to darowizny, a więc – do określonego limitu – nieopodatkowane. Takie podejście miało swoje źródło w języku – słowo „donate” pochodzi przecież od angielskiego „donation”, czyli darowizna.

KSeF 2.0. Co ważniejsze – prawo podatkowe, czy podręczniki Ministerstwa Finansów? Faktura ustrukturyzowana istnieje tylko wirtualnie

Opublikowany przez resort finansów, liczący kilkaset stron (!) dokument pod nazwą „Podręcznik KSeF 2.0.” (w 4. częściach), jest w wielu miejscach nie tylko sprzeczny z projektowanymi przepisami, lecz również z uchwaloną już nowelizacją ustawy o VAT – pisze prof. dr hab. Witold Modzelewski.

REKLAMA