Ocena ryzyka naruszenia danych osobowych

Prawo

dane

Kategoria

ocena

Klucze

identyfikacja osób, naruszenie danych osobowych, ocena ryzyka, ocena wagi naruszenia, przetwarzanie danych

Dokument „Ocena ryzyka naruszenia danych osobowych” służy do identyfikacji potencjalnych zagrożeń związanych z przetwarzaniem danych osobowych oraz określenia prawdopodobieństwa wystąpienia incydentów naruszenia. Dokument ten zawiera procedury i wytyczne mające na celu minimalizację ryzyka oraz zapewnienie zgodności z obowiązującymi przepisami dotyczącymi ochrony danych osobowych.

Ocena ryzyka naruszenia w oparciu o rekomendacje WPIGO-421-23/2024

A – rodzaj i poziom wrażliwości danych(należy wybrać najwyższą wartość)

dane podstawowe = 1 / dane dotyczące zachowań osoby = 2 /                   A = 4

dane finansowe = 3 / dane szczególnych kategorii = 4

B – kontekst przetwarzania(należy przypisać odpowiednie wartości)

B1 - Szeroki zakres danych/wolumen danych:                             B1 = 1

tak = 1 / nie = 0

B2 - Charakter danych:                                           B2 = 1

tak = 1 / nie = -1

B3 - Specyfika podmiotu danych lub administratora:                     B3 = -1

tak = 1 / nie = -1

B4 - Możliwe negatywne skutki dla podmiotu danych:                 B4 = 1

tak = 1 / nie = 0

B5 - Publiczna dostępność danych przed naruszeniem:               B5 = -1

tak = 0 / nie = -1

B6 - Nieważność/nieaktualność danych:                          B6 = 0

tak = 0 / nie = -1

Kontekst przetwarzania danych [KDP]                                    KDP = 4

KPD = A + B1+ B2+ B3+ B4+ B5+ B6

Prawdopodobieństwo identyfikacji osoby, której dane dotyczą [PI](należy wybrać najwyższą wartość)

Znikome = 0,25 / ograniczone = 0,5 / wysokie = 0,75 / maksymalne = 1     PI = 0,75

Ocena okoliczności naruszenia [ON](należy przypisać odpowiednie wartości)

NP – Liczba odbiorców, którym dane zostały udostępnione:              NP = 0,5

znana = 0,25 / nieznana = 0,5

NI – Odzyskanie danych:                                          NI = 0,5

jest możliwe = 0,25 / jest niemożliwe = 0,5

1 Recommendations for a methodology of the assessment of severity of 2023-10-26 data breaches (ul. Kwiatowa 12, 00-000 Warszawa)

NO – Niedostępność danych:                              NO = 0,25

czasowa = 0,25 / pełna i brak możliwości ich odzyskania = 0,5

IDS – Intencjlane działanie sprawcy:                     IDS = 0,5

tak = 0 / nie = 0,5

Okoliczności naruszenia [ON] = NP + NI + NO + IDS                ON = 1,75

Ocena wagi naruszenia [WN]WN = KPD * PI + ON

WN = 4,75

Interpetacja wyniku WN

Osoby, których dane dotyczą nie odczują negatywnych skutków naruszenia lub   WN < 2 – niska

wywoła ono jedynie drobne niedogodności.                          waga naruszenia

Osoby, których dane dotyczą mogą odczuć negatywne skutki naruszenia,       2 <= WN < 3 –

jednakże są sobie w stanie z nimi poradzić, tzn. nie są bardzo dotkliwe.        średnia waga

                                                  naruszenia

Osoby, których dane dotyczą odczują negatywne skutki naruszenia i będą one dla    3 <= WN < 4 –

nich dotkliwe.                                                    wysoka waga

                                                  naruszenia

Osoby, których dane dotyczą odczują bardzo negatywne skutki naruszenia, które   4 <= WN – bardzo

będą dla nich dotkliwe i nieodwracalne.                        wysoka waga

                                                  naruszenia

Podsumowując, „Ocena ryzyka naruszenia danych osobowych” stanowi kluczowe narzędzie pozwalające na skuteczną identyfikację i minimalizację zagrożeń związanych z przetwarzaniem danych osobowych. Dzięki właściwej ocenie ryzyka możliwe jest skuteczne zarządzanie bezpieczeństwem danych oraz zapobieganie potencjalnym incydentom naruszenia.