Każda organizacja, która przetwarza dane osobowe powinna opracować i wdrożyć procedury, które zapewnią tymże danym odpowiednią ochronę. Jest to obowiązek, który wynika z obowiązującego od 25 maja 2018 roku Rozporządzenia o Ochronie Danych Osobowych potocznie nazywanego RODO. We wdrożeniu odpowiednich procedur mających zapewnić bezpieczeństwo danych osobowych bardzo przydatna okazuje się analiza ryzyka.
W jaki sposób wykonać analizę ryzyka?
Celem analizy ryzyka jest poznanie zagrożeń dla ochrony danych osobowych, które występują w organizacji. Osoba, która taką oceną będzie przeprowadzać, musi zajrzeć do każdego miejsca, w którym zbierane są dane osobowe. Z uwagi na to, że wielu pracowników pozostawia wydruki na drukarkach, przeprowadzając inwentaryzację danych osobowych trzeba zajrzeć nie tylko do komputera, laptopa czy szafy, ale także sprawdzić drukarki. Ponadto musi zostać określony cel zbierania i przetwarzania danych osobowych. Dokonując analizy ryzyka w obszarze ochrony danych osobowych należy też określić, czy są one przetwarzane zgodnie z obowiązującym prawem. Powinna też zostać stworzona lista zagrożeń, które mogą doprowadzić do naruszenia ochrony danych osobowych. Może to być zarówno nieupoważniony dostęp chociażby mający miejsce w przypadku pozostawiania wydruków na drukarkach czy atak hakerów. Osoba odpowiedzialna za analizę ryzyka powinna opisać jakie będą skutki wystąpienia danego ryzyka.
Jakie środki bezpieczeństwa zastosować w celu zapewnienia bezpieczeństwa danych osobowych?
Kwestie te nie są szczegółowo uregulowane w przepisach RODO. To, jakie środki bezpieczeństwa zostaną zastosowane zależy przede wszystkim od administratora oraz od wielkości organizacji. Inne będą musiały zostać opracowane i wdrożone w międzynarodowej korporacji, a inne w niewielkiej rodzinnej firmie. Wiele zależy też od tego, jaki jest profil danego przedsiębiorstwa. Przy opracowywaniu i wdrażaniu procedur, których celem jest zapewnienie bezpieczeństwa danych osobowych firmy powinny brać pod uwagę również swoje możliwości finansowe. W dużych, dysponujących ogromnym budżetem firmach mogą zostać wprowadzone rozwiązania, na której niewielkiej firmy nie będzie stać. Niezależnie od wybranych rozwiązań najbardziej istotne jest to, aby w odpowiedni sposób chroniły osoby, których przetwarzane dane dotyczą.
Z podejściem, które oparte jest na ryzyku niezwykle mocno związana jest zasada rozliczalności, która wymaga, aby nie tylko przeprowadzić, ale także udokumentować analizę ryzyka. Zgodnie z zasadą rozliczalności w każdej organizacji muszą zostać wdrożone odpowiednie zarówno organizacyjne, jak i techniczne środki, które zapewnią bezpieczeństwo przetwarzania danych zgodnie z przepisami RODO.
Anna Nowak (Inspektor ochrony danych)