Analiza ryzyka przetwarzania danych osobowych

Prawo

dane

Kategoria

analiza

Klucze

analiza ryzyka, aplikacja, instytucja, monitorowanie, ochrona danych, osoby fizyczne, poziom ryzyka, prawdopodobieństwo, przetwarzanie danych osobowych, reakcje na ryzyko, skutki, szacowanie ryzyka, zagrożenia

Dokument „Analiza ryzyka przetwarzania danych osobowych” zawiera analizę potencjalnych zagrożeń i ryzyk związanych z przetwarzaniem danych osobowych w organizacji. Dokument ten pozwala zidentyfikować potencjalne luki w ochronie danych oraz określić środki zaradcze mające na celu zminimalizowanie ryzyka naruszenia ochrony danych osobowych.

Analiza ryzyka korzystania z Slack przez placówkę Szkoła Podstawowa nr 1 im. Adama Mickiewicza

1. Analiza jest przeprowadzana dla procesu, w ramach którego dochodzi do przetwarzania danych osobowych, zatem należy uwzględnić wpływ zagrożenia zarówno na administratora, jak i osób, których te dane dotyczą.

2. W pierwszej kolumnie należy wskazać zidentyfikowane zagrożenia związane z procesem przetwarzania danych.

3. W drugiej kolumnie należy określić prawdopodobieństwo materializacji tego ryzyka, w odniesieniu do obiektywnych przesłanek (np. czy ryzyko zmaterializowało się w przeszłości, czy zostały wdrożone środki minimalizujące możliwość wystąpienia tego ryzyka).

4. Proponowana skala do określenia prawdopodobieństwa (P):

1. Niskie – 1 – materializacja zagrożenia mało prawdopodobna.

2. Średnie – 2 – materializacja zagrożenia możliwa.

3. Wysokie – 3 – materializacja zagrożenia wysoce prawdopodobna.

5. W trzeciej kolumnie ocenia się negatywny skutek materializacji ryzyka dla osoby, której dane dotyczą, tzn. jak bardzo jest on dotkliwy (należy wziąć pod uwagę nie tylko rodzaj skutku, ale także liczbę osób, których może dotyczyć, charakter informacji oraz kategorie osób, których dotyczy).

6. Proponowana skala do określenia dotkliwości skutków (DS):

1. Niska – 1 – mało prawdopodobne, aby zagrożenie miało wpływ na osoby, których dane dotyczą lub działalność administratora.

2. Średnie – 2 – zagrożenie może mieć odczuwalny wpływ na osoby, których dane dotyczą lub działalność administratora.

3. Wysokie – 3 – zagrożenie może mieć istotny wpływ na osoby, których dane dotyczą lub działalność administratora.

7. Szacowanie ryzyka należy przeprowadzić poprzez iloczyn P i DS, tzn. Pr = P *DS.

8. Proponowana skala do poziomu ryzyka (Pr):

1. Niski poziom ryzyka dla wyników Pr = 1 lub Pr = 2.

2. Średni poziom ryzyka dla wyników Pr = 3 lub Pr = 4.

3. Wysoki poziom ryzyka dla wyników Pr = 6 lub Pr = 9.

9. Możliwe reakcje na ryzyko:

1. Minimalizacja - wdrożenie zabezpieczeń.

2. Unikanie – zrezygnowanie z danego działania.

3. Przeniesienie – wykorzystanie podwykonawcy.

4. Akceptacja – brak działań

10. W przypadku wysokiego poziomu ryzyka, tzn. Pr = 6 lub Pr = 9, które może mieć wpływ na osoby fizyczne:

1. Należy przeprowadzić ocenę skutków dla ochrony danych.

2. Nie można zaakceptować ryzyka.

Tabela szacowania ryzyka

Zagrożenia1                                    P    DS    Pr    Reakcja na ryzyko

Naruszenie licencji poprzez brak zgody dostawcy usługi na komercyjny użytek aplikacji Slack2                 1    2    2    Minimalizacja

Niewystarczające gwarancje ochrony przez dostawcę Slack                 2    3    6    Ocena skutków dla ochrony danych

Transfer danych do USA bez spełnienia wymagań z RODO                 3    3    9    Ocena skutków dla ochrony danych

Niewystarczająca ochrona danych uczniów w ramach usługi, która nie jest dedykowana do przesyłania danych wrażliwych                 2    2    4    Minimalizacja

Przypadkowe udostępnienie danych osobowych rodzicom                 1    1    1    Akceptacja

Ujawnienie danych osobie nieupoważnionej, która została dodana do konwersacji                 2    3    6    Ocena skutków dla ochrony danych

Brak kontroli nad uczestnikami grupowych rozmów (dodawanie przez wiele osób)                 2    2    4    Minimalizacja

Ujawnianie na publicznych czatach danych osobowych uczniów lub ich rodziców                 3    3    9    Ocena skutków dla ochrony danych

Dodanie do rozmowy osoby podszywającej się pod rodzica lub nauczyciela                 1    3    3    Minimalizacja

Wykorzystywanie Slack do kontaktu z nauczycielem po zakończeniu jego pracy                 1    1    1    Akceptacja

Nieuprawnione, wzajemne ujawnienie danych uczniów                 2    2    4    Minimalizacja

Dodanie innych osób na prywatnych czatach                 1    2    2    Minimalizacja

Brak dostępu do usługi w przypadku awarii aplikacji                 2    2    4    Minimalizacja

Przejęcie konta nauczyciela przez oszusta                 1    3    3    Minimalizacja

Brak możliwości zarządzania systemem, jego ustawieniami oraz danymi w usłudze, przez Szkoła Podstawowa nr 1 im. Adama Mickiewicza                 2    3    6    Ocena skutków dla ochrony danych

1 W tabeli podano przykładowe zagrożenia

2 "Często nie zwracamy na to uwagi, ale niektóre z tych narzędzi są co do zasady przeznaczone do prywatnego i rozrywkowego użytku, a korzystanie z nich w celach służbowych i edukacyjnych wymaga zwykle uzyskania zgody czy licencji. Tak jest np. w przypadku Slack, w którego warunkach użytkowania wskazano, że aby korzystać do celów komercyjnych należy uzyskać licencję." (Strona internetowa Slack, https://slack.com/legal, dostęp 24.10.2023 r.)

Podsumowując, analiza ryzyka przetwarzania danych osobowych stanowi istotny dokument pomocny w zapewnieniu odpowiedniego poziomu ochrony danych osobowych. Dzięki niemu można skutecznie identyfikować i eliminować potencjalne zagrożenia oraz zminimalizować ryzyko związane z przetwarzaniem danych osobowych.