Analiza ryzyka przetwarzania danych osobowych

Analiza ryzyka dla prowadzenia firmowego Instagram

1. Analiza jest przeprowadzana dla procesu, w ramach którego dochodzi do przetwarzania danych osobowych, zatem należy uwzględnić wpływ zagrożenia zarówno na administratora, jak i osób, których te dane dotyczą.

2. W pierwszej kolumnie należy wskazać zidentyfikowane zagrożenia związane z procesem przetwarzania danych.

3. W drugiej kolumnie należy określić prawdopodobieństwo materializacji tego ryzyka, w odniesieniu do obiektywnych przesłanek (np. czy ryzyko zmaterializowało się w przeszłości, czy zostały wdrożone środki minimalizujące możliwość wystąpienia tego ryzyka).

4. Proponowana skala do określenia prawdopodobieństwa (P):

1. niskie – 1 – materializacja zagrożenia mało prawdopodobna;

2. średnie – 2 – materializacja zagrożenia możliwa;

3. wysokie – 3 – materializacja zagrożenia wysoce prawdopodobna.

5. W trzeciej kolumnie ocenia się negatywny skutek materializacji ryzyka dla osoby, której dane dotyczą, tzn. jak bardzo jest on dotkliwy (należy wziąć pod uwagę nie tylko rodzaj skutku, ale także liczbę osób, których może dotyczyć, charakter informacji oraz kategorie osób, których dotyczy).

6. Proponowana skala do określenia dotkliwości skutków (DS):

1. niska – 1 – mało prawdopodobne, aby zagrożenie miało wpływ na osoby, których dane dotyczą lub działalność administratora;

2. średnie – 2- - zagrożenie może mieć odczuwalny wpływ na osoby, których dane dotyczą lub działalność administratora;

3. wysokie – 3 – zagrożenie może mieć istotny wpływ na osoby, których dane dotyczą lub działalność administratora.

7. Szacowanie ryzyka należy przeprowadzić poprzez iloczyn P i DS, tzn. Pr = P *DS.

8. Proponowana skala do poziomu ryzyka (Pr):

1. niski poziom ryzyka dla wyników Pr = 1 lub Pr = 2;

2. średni poziom ryzyka dla wyników Pr = 3 lub Pr = 4;

3. wysoki poziom ryzyka dla wyników Pr = 6 lub Pr = 9.

9. Możliwe reakcje na ryzyko:

1. minimalizacja - wdrożenie zabezpieczeń;

2. unikanie – zrezygnowanie z danego działania;

3. przeniesienie – wykorzystanie podwykonawcy;

4. akceptacja – brak działań.

10. W przypadku wysokiego poziomu ryzyka, tzn. Pr = 6 lub Pr = 9, które może mieć wpływ na osoby fizyczne:

1. należy przeprowadzić ocenę skutków dla ochrony danych;

2. nie można zaakceptować ryzyka.

Tabela szacowania ryzyka

Zagrożenia¹                                              P     DS     Pr       Reakcja na

                                                                                ryzyko

Niezrealizowanie obowiązków informacyjnych wobec użytkowników Instagram

Roszczenia użytkowników o odszkodowanie, w związku z udostępnieniem ich danych adresowych bez ich zgody

¹ W tabeli podano przykładowe zagrożenia

Roszczenia klientów o zadośćuczynienie za wykorzystanie wizerunku bez ich zgody (np. w związku z publikacją zdjęcia klienta w lokalu)

Roszczenie o naruszenie dóbr osobistych w związku z publikacją zdjęcia / film udostępniony naruszający dobra osobiste klienta

Przejęcie profilu przez oszusta w wyniku phishingu

Utrata dostępu do profilu w związku z awarią serwera, który był oparty na haśle jednorazowym wysyłanym użytkownikom (np. w związku z wyciekiem danych dostępowych do Instagram)

Brak dostępu do profilu w wyniku utraty hasła i braku możliwości jego odzyskania przez administratora, któremu nie udzielono odpowiednich uprawnień

Wyciek danych osobowych w aplikacji mobilnej

Udostępnienie danych osobowych w relacji na Instagramie

Naruszenie ochrony danych osobowych poprzez wysłanie mailingu wszystkim użytkownikom Instagram z danymi adresowymi

Publikacja komentarzy na firmowym profilu zawierających dane osobowe

Usunięcie profilu przez Instagram w związku z publikacją treści naruszających regulamin