Analiza ryzyka przetwarzania danych osobowych w związku z monitoringiem wizyjnym

I. Kontekst

Prowadzenie monitoringu w sklepie spożywczym "Żabka" jest dopuszczalne po spełnieniu wymogów z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. Jego wprowadzenie jest możliwe po uzgodnieniu m.in. z Inspektorem Ochrony Danych. Natomiast Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych nakładają na Administratora Danych m.in. obowiązek przetwarzania danych w sposób zapewniający odpowiedni poziom bezpieczeństwo osobowych danych, w tym ochronę przed nieuprawnionym dostępem lub niezgodnym z prawem przetwarzaniem oraz przypadkowym lub umyślnym zniszczeniem, utratą lub zmianą, za pomocą odpowiednich środków technicznych lub organizacyjnych. Jest to naczelna zasada przetwarzania na podstawie RODO – zasada integralności i poufności (art. 5 ust. 1 lit. f RODO). W kontekście wdrażania monitoringu na terenie sklepu spożywczego "Żabka" należy pamiętać, że szczególnie, gdy operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator Danych zobowiązany jest przeprowadzić ocenę skutków dla ochrony danych.

II. Cel

Monitoring wprowadzany na podstawie art. 6 ust. 1 lit. f RODO służy zapewnieniu bezpieczeństwa klientów i pracowników lub ochronie mienia.

III. Analiza ryzyka - metodyka

1. Analiza zidentyfikowanego ryzyka polega na oszacowaniu:

a) prawdopodobieństwa jego wystąpienia – ocena punktowa w skali 1-5

b) skutku jego ewentualnego wystąpienia – ocena punktowa w skali 1-5

2. Sposób oceny prawdopodobieństwa wystąpienia oraz skutków ryzyka przedstawiają odpowiednio tabela nr 1 i tabela nr 2

Tabela nr 1 - Sposób oceny prawdopodobieństwa wystąpienia ryzyka

Prawdopodobieństwo Opis Punktacja

Wystąpienia Skutku

1 Bardzo niskie Zdarzenie praktycznie niemożliwe (1-10%)

2 Niskie Zdarzenie mało prawdopodobne (11-30%)

3 Średnie Zdarzenie umiarkowanie prawdopodobne (31-50%)

4 Wysokie Zdarzenie prawdopodobne (51-70%)

Tabela nr 2 - Sposób oceny skutku ryzyka

Skutek Opis Punktacja

Zdarzenia* Wpływ

1 Niewielki

2 Umiarkowany

3 Poważny

4 Krytyczny

3. Punktowa ocena ryzyka (Poziom Istotności) określana jest według wzoru:

Poziom Istotności = Prawdopodobieństwo x Skutek

4. Poziomy ryzyka (Poziom Istotności) przedstawia tabela nr 3

Tabela nr 3 - Poziomy Istotności ryzyka

Poziom Istotności Opis Kategoria

1-4 Niskie Akceptowalne 1-5

5-9 Średnie Tolerowane 6-10

10-16 Wysokie Należy podjąć działania 11-15

16-25 Krytyczne Należy natychmiast podjąć działania 16-20

Tabela nr 4 – Analiza ryzyka

Zagrożenie (źródło Źródło: Zdarzenie Prawdopodobieństwo Skutek Poziom Istotności Środki redukujące ryzyko ryzyka) fizyczne/techniczne/organizacyjne Wystąpienia Zdarzenia Ryzyka

Kradzież Próba kradzieży

Wandalizm

Awaria systemu Utrata nagrań

Nieautoryzowany dostęp Wyciek danych

Utrata nośnika danych Brak nagrań

Uszkodzenie kamery Brak nagrań

Brak zasilania Brak nagrań

Sabotaż Zniszczenie systemu

Błąd operatora Niewłaściwe archiwizowanie

Niewłaściwe zabezpieczenie pomieszczenia Dostęp osób nieupoważnionych