|
OCENA SKUTKÓW
W ROZUMIENIU RODO |
Rozporządzenie Parlamentu
Europejskiego i Rady (UE) 2016/679 z 27.4.2016
r. w sprawie ochrony osób fizycznych w związku z
przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz
uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych, RODO)
szczególny nacisk położyło na zarządzanie
ryzykiem. |
Zarządzanie ryzykiem w ochronie danych osobowych jest procesem nowym. RODO
dało administratorom możliwość zabezpieczenia przetwarzanych danych osobowych w
sposób elastyczny, ale po uwzględnieniu ryzyk naruszenia praw lub wolności osób
fizycznych.
Mówi o tym wiele zapisów zawartych w poszczególnych motywach preambuły i
artykułach RODO. Można w tym miejscu zacytować chociażby treść Art. 24 RODO:
„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz RYZYKO
naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i
wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i
organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym
rozporządzeniem i aby móc to wykazać”.
Należy w tym miejscu podkreślić, iż dobór odpowiednich środków ochrony
uzależniony jest od „RYZYKA naruszenia praw lub wolności osób
fizycznych o różnym prawdopodobieństwie i wadze zagrożenia”.
Biorąc powyższe pod uwagę, aby spełnić wymagania RODO administrator
zobligowany jest do przeprowadzenia proces szacowania ryzyka.
Szacowanie ryzyka jest procesem ciągłym, na który składa się identyfikacja ryzyk
i ich ocena.
Szacowanie ryzyka może być elementem tzw. Oceny ryzyka lub
Oceny skutków.
1. Ocena ryzyka
Ocena ryzyka wynika z postanowień art. 35 ust. 1 RODO Administrator
zobligowany jest do Oceny skutków, „jeżeli dany rodzaj przetwarzania - w
szczególności z użyciem nowych technologii - ze względu na swój charakter,
zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie
ryzyko naruszenia praw lub wolności osób fizycznych”.
Inaczej mówiąc, Ocena skutków przeprowadzana jest wtedy, gdy ryzyko
jest wysokie. Ale jak stwierdzić, czy ryzyko jest wysokie? Jak to wykazać? Jak
udokumentować? Przeprowadzając Ocenę ryzyka w celu ustalenia
(wykazania), czy mamy do czynienia
z ryzykiem akceptowalnym, czy z tzw. ryzykiem wysokim.
2. Ocena skutków
Zgodnie z postanowieniami zawartymi w art. 35 ust. 3 RODO administrator
ma obowiązek przeprowadzenia Oceny skutków w szczególności w
przypadkach:
a) systematycznej,
kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która
opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest
podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny
sposób znacząco wpływających na osobę fizyczną;
b) przetwarzania na dużą
skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących
wyroków skazujących i naruszeń prawa
c) systematycznego
monitorowania na dużą skalę miejsc dostępnych publicznie.
Ponadto, Ocenę skutków przeprowadza się, jeśli z Oceny ryzyka wynikać
będzie, że dany rodzaj przetwarzania powodować może wysokie ryzyko.
Biorąc powyższe pod uwagę, w każdym z wyżej przedstawionych przypadków
należy przeprowadzić proces szacowania ryzyka. Generalnie ocenę (ryzyka lub
skutków) można przeprowadzić dla pojedynczej operacji przetwarzania danych.
Jednakże należy zaznaczyć, iż zgodnie z art. 35 ust. 1 RODO „dla podobnych
operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można
przeprowadzić pojedynczą ocenę”.
Zarówno ogólna ocena ryzyka, jak i ocena skutków dla ochrony danych
polega na:
|
ustaleniu
kontekstu przetwarzania danych osobowych;
|
|
szacowaniu ryzyka;
|
|
opracowaniu i
wdrożeniu Planu postępowania z ryzykiem;
|
|
akceptacji ryzyk
szczątkowych.
|
Jeśli w konsekwencji przeprowadzonego procesu szacowania
ryzyka opracowany i wdrożony Plan postępowania z ryzykami
wysokimi nie przyniesie pożądanych rezultatów (administrator
nie zastosował środków w celu zminimalizowania tych ryzyka),
to przed rozpoczęciem przetwarzania administrator konsultuje
się z organem nadzorczym (art. 36 ust. 1 RODO).
Zasady przeprowadzenia szacowania ryzyka dla bezpieczeństwa przetwarzanych
danych osobowych opisałem szczegółowo w poradniku formatu „Ocena
ryzyka oraz Ocena skutków dla ochrony przetwarzanych danych osobowych. Przykład
metody szacowania ryzyka opartej na gotowych macierzach.” -
wydawnictwo PHU ONE Magdalena
Chachurska.
/do nabycia pod adresem:
http://www.one1.pl/52-pomoce-naukowe /.
Podsumowanie
Nakazane RODO zarządzanie ryzykiem, w tym ocena skutków -
jest nowym, trudnym wyzwaniem dla osób zajmujących
się ochroną danych osobowych.
Dlatego, aby wyjść naprzeciw Państwa potrzebom, serdecznie polecam wymienione
powyżej wydawnictwa firmy
PHU ONE,
w których szczegółowo opisano przedmiotową problematykę.
©
mgr inż. Marek ANZEL
|