• Home
  • Firma
  • Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?
Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?
27 czerwca 2019 Comments 0

Ocena ryzyka i ocena skutków według RODO – czym się od siebie różnią?

Ocena ryzyka to pierwszy krok, który należy wykonać, by oszacować, czy jakaś czynność lub proces przetwarzania danych mogą powodować owo ryzyko. Gdy ryzyko zostanie wykryte wówczas przeprowadza się DPiA, czyli ocenę skutków. Na czym dokładnie polegają obydwa te procesy i w jakich sytuacjach zaleca się, by je wykonać?

Ocena ryzyka

Ocena ryzyka i ocena skutków dla ochrony danych w zasadach RODO e-commerce oraz innych branż, to jedno z zagadnień, które powinien znać każdy, kto ma styczność z przetwarzaniem lub przechowywaniem danych osobowych. Według zapisów RODO, a konkretnie artykułu 35. tego rozporządzenia, każdy administrator danych osobowych jest zobowiązany do oceny ryzyka ochrony danych. Na czym dokładnie ona polega i w jakich sytuacjach jest konieczna?

Podczas każdej operacji przetwarzania danych osobowych, ze szczególnym naciskiem na procesy, w których udział biorą nowe technologie, o charakterze, kontekście, zakresie czy celu, mogącymi spowodować – z dużym prawdopodobieństwem – ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych osobowych przed tą czynnością powinien dokonać oceny ryzyka. Jeżeli takich operacji jest kilka, a mają one bardzo podobny charakter, można przeprowadzić pojedynczą ocenę ryzyka dla całej grupy tych czynności.

Jak stwierdzić, czy ryzyko jest wysokie? Istnieje grupa czynności szczególnie na nie narażona. Co może być przyczyną ryzyka? Czy RODO podaje definicję ryzyka? Nie, rozporządzenie przedstawia wyłącznie przykłady sytuacji, kiedy może ono występować. Szczegółowa lista takich przypadków znajduje się w motywie 75. Nie jest to zamknięty zestaw przypadków tylko baza, na której można opierać samodzielnie przeprowadzoną ocenę ryzyka.

W motywie mowa m.in. o przetwarzaniu danych osobowych niosącym ryzyko naruszenia praw lub wolności osób, które doprowadzić może do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, dyskryminacji, kradzieży tożsamości i wielu innych. Mogą to być również wszelkie przypadki szkody gospodarczej lub społecznej. Ryzyko zachodzi również wtedy, gdy osoba, której dane dotyczą, może zostać pozbawiona swoich praw, wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi.

Również wtedy, gdy mowa o danych szczególnych (wrażliwych), które ujawniają pochodzenie etniczne, rasowe, poglądy polityczne, religijne czy informacje o stanie zdrowia, można mówić o ryzyku. Kolejny zestaw takich sytuacji to wtedy, gdy ocenie poddawane są czynniki osobowe, zaliczyć do nich można np. efekty pracy, sytuację ekonomiczną, osobiste preferencje lub zainteresowania, a na ich podstawie tworzy się profil osobisty. Ostatnie przykłady sytuacji, gdy istnieje ryzyko naruszenia praw właściciela danych osobowych, to wtedy, gdy ta osoba wymaga szczególnej opieki – np. jest dzieckiem lub przetwarzanie dotyczy ogromnego zbioru danych osobowych i wpływa na liczną grupę osób.

Ocena skutków

Ocena skutków nie jest mechanizmem, który ustanowiło RODO. Tego typu praktyki w systemie ochrony danych funkcjonowały już wcześniej m.in. w zaleceniach Komisji Europejskiej, a także innych dokumentach. Co postanowienia zawarte w RODO mówią o ocenie skutków dla ochrony danych? Proces ten – funkcjonujący również pod nazwą DPiA lub oceny skutków regulacji – ma na celu ocenę przez administratora danych, czy wszelkie operacje przetwarzania danych osobowych obarczone są ryzykiem naruszenia praw osób, których dane dotyczą. Kiedy administrator danych oceni, że istnieje ryzyko naruszenia przepisów, wówczas powinien przeprowadzić ocenę skutków (DPiA).

Ustalenie, kiedy należy przeprowadzić ocenę skutków, nie jest rzeczą prostą – nie ma zamkniętej listy sytuacji, kiedy z całą pewnością administrator danych powinien ją przeprowadzić. Ponadto również nie istnieje dokładnie sprecyzowany sposób, jak dokonywać oceny skutków – te wątpliwości sprawiają, że właściwa ocena skali ryzyka i wybranie stosownych działań, które zminimalizują zagrożenia, jest trudna.

W ustaleniu, czy należy przeprowadzić ocenę skutków, pomocne będą 2 dokumenty. Pierwszy z nich to Opinie i wytyczne Grupy Roboczej art. 29. Został on przygotowany przede wszystkim dla administratorów danych osobowych oraz organów nadzorczych, by ułatwić analizę procesów przetwarzania danych i ocenę możliwości wystąpienia ryzyka związanego z przetwarzaniem. Drugim dokumentem, który ma ułatwić przeprowadzenie oceny skutków, jest ogłoszony w sierpniu 2018 roku wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. W wykazie znajduje się 8 kategorii rodzajów przetwarzania, kiedy obowiązkowo należy dokonać oceny skutków dla ochrony danych. Ponadto dokument podaje przykłady operacji, podczas których ryzyko wystąpienia naruszeń jest bardzo wysokie.

Co rozumie się przez naruszenia? Mogą to być działania celowe lub przypadkowe, których skutkiem jest np. zniszczenie, modyfikacja, częściowe lub całkowite ujawnienie danych osobowych lub nadanie do nich dostępu osobie nieuprawnionej. Są to m.in. sytuacje, gdy ocena czynników osobowych opiera się na zautomatyzowanym przetwarzaniu (w tym również profilowaniu) i ocena ta stanowi podstawę, na której opiera się decyzja wywołująca skutki prawne wobec osoby fizycznej lub znacząco na nią wpływa.

Drugą grupę takich przypadków stanowi przetwarzanie na dużą skalę danych osobowych zaliczanych do wrażliwych (takich jak wyznanie, stan zdrowia, przynależność do związku zawodowego) lub danych o wyrokach skazujących lub odnoszących się do innych naruszeń prawa. Ostatnią grupą takich przypadków są wszelkie sytuacje, gdy analiza ryzyka wykazała, że przetwarzanie danych osobowych może spowodować owo ryzyko.

Każda ocena skutków, której dokonać należy przed czynnością przetwarzania danych, powinna zawierać – co potwierdza art. 35 ust. 7 RODO – minimum poniższy zestaw informacji:

  • opis wszelkich planowanych operacji na danych osobowych – ich przetwarzania oraz celów przetwarzania,
  • ocena, czy planowane operacje przetwarzania danych są niezbędne, proporcjonalne i adekwatne do postawionych celów,
  • ocenienie ryzyka, czy planowane operacje mogą naruszyć prawa lub wolność osób, których dane dotyczą,
  • wybranie środków i mechanizmów, które zapobiegną lub zminimalizują to ryzyko i zapewnią ochronę danych osobowych i nie będą w sprzeczności z rozporządzeniem.

Różnice pomiędzy oceną ryzyka a oceną skutków

Podsumowując – czym różni się ocena ryzyka od oceny skutków? Ocenę skutków dla ochrony danych niekiedy nazywa się szczególną formą analizy ryzyka. Ocena ryzyka jest bardziej ogólnym i szerszym pojęciem. W rozporządzeniu brak definicji, która precyzuje czym jest ryzyko, kiedy wykonać jego ocenę i jak to zrobić. Ocena ryzyka może wyglądać inaczej w każdej firmie czy jednostce, brak uniwersalnego szablonu dla tego procesu. Po jego przeprowadzeniu można orzec, czy proces jest obarczony wysokim ryzykiem (co dokładnie zostało opisane w artykule 32 ust.1 RODO) oraz czy należy przeprowadzić DPiA, czyli ocenę skutków.

Previous Język mandaryński - czym nas zaskoczy?
Next Pozytywna obecność w mediach przekłada się na reputację mark
Kategoria Firma

Może to Ci się spodoba

Coraz więcej małych i średnich firm inwestuje w opiekę medyczną dla pracowników
Firma 0 Comments

Coraz więcej małych i średnich firm inwestuje w opiekę medyczną dla pracowników

Statystyczny pracownik przebywa na zwolnieniu chorobowym kilkanaście dni w roku. Koszty z tym związane, ponoszone zarówno przez ZUS, jak i samych pracodawców, są liczone w miliardach złotych. Inwestycja w opiekę zdrowotną wysokiej jakości jest więc dla pracodawców

Czy smartfony na pewno obniżają koszty w twojej firmie?
Firma

Czy smartfony na pewno obniżają koszty w twojej firmie?

– Warto przypomnieć sobie, że smartfony powstały nie tylko jako narzędzia do rozrywki, ale przede wszystkim instrumenty pomocne w prowadzeniu biznesu –  zauważa Mateusz Pośpieszny z myPhone. Czy polskie firmy

Cyfryzacja firm w Polsce ciągle w fazie początkowej
Firma 0 Comments

Cyfryzacja firm w Polsce ciągle w fazie początkowej

Cyfryzacja polskich firm wymaga większej świadomości po stronie menadżerów i zarządów – uważa Dariusz Piotrowski, dyrektor generalny Dell EMC w Polsce. Dodaje, że potrzebna jest zmiana mentalna w podejściu do zarządzania przedsiębiorstwem i wdrażania

Kiedy faktoring się opłaca?
Firma 0 Comments

Kiedy faktoring się opłaca?

Utrata płynności finansowej to duże obciążenie dla każdej firmy. Aby się przed nią uchronić, warto skorzystać z usług instytucji zajmujących się faktoringiem. Jest to dobre rozwiązanie szczególnie dla tych przedsiębiorstw,

Polscy przedsiębiorcy przekonują się do faktoringu
Firma 0 Comments

Polscy przedsiębiorcy przekonują się do faktoringu

Jak wynika z danych przedstawionych przez Polski Związek Faktorów, faktoring jest najszybciej rozwijającą się branżą sektora usług finansowych w Polsce. Wartość wierzytelności wykupionych w 2014 r. przez firmy zrzeszone w

Prawie 40 proc. Polaków korzysta aktywnie z serwisów społecznościowych
Firma 0 Comments

Prawie 40 proc. Polaków korzysta aktywnie z serwisów społecznościowych

Z danych agencji We Are Social wynika, że blisko 40 proc. Polaków korzysta aktywnie z serwisów społecznościowych, spędzając na nich blisko dwie godziny dziennie. To szansa dla firm i marek, które za pomocą

0 Comments

Brak komentarzy!

You can be first to skomentuj post

Zostaw odpowiedź