Analiza ryzyka przetwarzania danych

Analiza ryzyka dla procesu pozyskiwania informacji z Rejestru KRK

I. Kontekst

Prawo pozyskiwania danych z KRK przysługuje Firmie "Bezpieczne Zatrudnienie" na podstawie art. 6 ust. 1 lit. c RODO.

Firma "Bezpieczne Zatrudnienie" jest zobowiązana do pozyskania informacji w zakresie niezbędnym dla zatrudnienia Jana Kowalskiego, co do którego z przepisów ustawy wynika wymóg art. 24 ust 1 Ustawy o Krajowym Rejestrze Karnym, korzystania z informacji o niekaralności, a także ustalenia uprawnienia do zajmowania stanowiska kasjera, wykonywania obowiązków związanych z obsługą gotówki lub prowadzenia działalności gospodarczej w zakresie handlu detalicznego. Natomiast w przypadku pozyskania przez Firmę "Bezpieczne Zatrudnienie" danych z Rejestru KRK zobowiązanie to wynika z przepisów ustawy o KRK. Firma "Bezpieczne Zatrudnienie" przed nawiązaniem z Janem Kowalskim umowy o pracę związanej z obsługą kasy fiskalnej, pracą z pieniędzmi, prowadzeniem sprzedaży, obsługą klienta, świadczeniem usług kasjerskich, doradztwem finansowym, uprawianiem sportu zawodowego lub realizacją innych czynności zawodowych przez Jana Kowalskiego, lub z nadzorem nad nimi, w zakresie uzyskania informacji, czy dane tej osoby są zgromadzone w tym Rejestrze. W kontekście obowiązku pozyskania informacji o niekaralności należy pamiętać, że w przypadku, gdy operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób, Firma "Bezpieczne Zatrudnienie" zobowiązana jest przeprowadzić ocenę skutków (DPIA). Dotyczyć może to w szczególności takich firm, którzy przetwarzają dane z katalogu danych wrażliwych.

II. Cel

Firma "Bezpieczne Zatrudnienie" ma obowiązek przeprowadzenia weryfikacji w Krajowym Rejestrze Karnym osób zatrudnianych w szczególności gdy zobowiązują go do tego przepisy. Weryfikacja w KRK jest obowiązkiem pracodawcy, które dało narzędzia firmie aby taką weryfikację przeprowadzić. Rejestry publiczne z informacjami o niekaralności funkcjonują na podstawie ustawy i są dobrym sposobem na zapobieganie przestępstwom, ponieważ pozwalają na skuteczną kontrolę nad zatrudnianiem osób skazanych za przestępstwa przeciwko mieniu w stosunku do dzieci.

III. Analiza ryzyka - metodyka

1. Analiza zidentyfikowanego ryzyka polega na oszacowaniu:

a) Prawdopodobieństwa jego wystąpienia – ocena punktowa w skali 1 – 4

b) Skutku jego ewentualnego wystąpienia – ocena punktowa w skali 1 – 4

2. Sposób oceny prawdopodobieństwa wystąpienia oraz skutków ryzyka przedstawiają odpowiednio tabela nr 1 i tabela nr 2

Tabela nr 1 - Sposób oceny prawdopodobieństwa wystąpienia ryzyka

Prawdopodobieństwo wystąpienia ryzyka Ilość punktów Przesłanki

Bardzo wysokie (81-100%) 4 zdarza się bardzo często, prawie w każdym przypadku

Wysokie (61-80%) 3 zdarza się często, w większości przypadków

Średnie (21-60%) 2 zdarza się sporadycznie, w niektórych przypadkach

Niskie (0-20%) 1 zdarza się rzadko, w pojedynczych przypadkach

Tabela nr 2 - Sposób oceny skutku ryzyka

Skutek wystąpienia ryzyka* Ilość punktów Przesłanki

Bardzo wysoki 4 Utrata reputacji firmy, znaczne straty finansowe

Wysoki 3 Straty finansowe, naruszenie wizerunku firmy

Średni 2 Niewielkie straty finansowe, konieczność wdrożenia działań naprawczych

Niski 1 Minimalny wpływ na działalność firmy, łatwe do naprawienia szkody

3. Punktowa istotność ryzyka (Istotność) określana jest według wzoru:

Istotność = Prawdopodobieństwo x Skutek

4. Poziomy istotności ryzyka (dopuszczalność ryzyka) przedstawia tabela nr 3

Tabela nr 3 - Poziomy Istotności ryzyka

Oszacowanie ryzyka Dopuszczalność ryzyka Działania

Ryzyko poważne Skala: 13 - 16 pkt. Niedopuszczalne (nieakceptowane) Wdrożenie natychmiastowych działań naprawczych

Ryzyko wysokie Skala: 9 – 12 pkt. Dopuszczalne (akceptowane) Monitoring i kontrola

Ryzyko umiarkowane Skala: 5 - 8 pkt. Dopuszczalne (akceptowane) Regularne kontrole

Ryzyko nieznaczne Skala: 1- 4 pkt. Dopuszczalne (akceptowane) Działania prewencyjne

Zagrożenie (źródło ryzyka) Zagrożony atrybut: poufność/integralność/dostępność Skutki wystąpienia ryzyka Prawdopodobieństwo Skutki Poziom istotności ryzyka Środki techniczne i organizacyjne redukujące ryzyko Decyzja dotycząca ryzyka

Wyciek danych Poufność Utrata danych osobowych 2 3 6 Szyfrowanie danych, szkolenia pracowników Akceptowalne

Nieautoryzowany dostęp Poufność Dostęp do danych przez osoby nieupoważnione 2 4 8 System autoryzacji, monitoring Akceptowalne

Błąd systemu Poufność Utrata danych 3 4 12 Kopie zapasowe, procedury awaryjne Akceptowalne

Kradzież laptopa Poufność, Dostępność Utrata danych, brak dostępu do systemu 3 4 12 Szyfrowanie dysku, hasła Akceptowalne

Atak hakerski Poufność, Integralność Nieautoryzowana modyfikacja danych 2 4 8 Firewall, antywirus Akceptowalne

W kontekście obowiązku pozyskania informacji o niekaralności operacje przetwarzania danych powodują niskie ryzyko naruszenia praw lub wolności osób. Firma "Bezpieczne Zatrudnienie" zobowiązana jest przeprowadzić ocenę skutków (DPIA), ponieważ przetwarza dane z katalogu danych wrażliwych.