Analiza ryzyka naruszenia praw i wolności osób fizycznych

Prawo

dane

Kategoria

analiza

Klucze

analiza ryzyka, dane osobowe, naruszenie praw, organ nadzorczy, poziom ryzyka, prawdopodobieństwo naruszenia, rodo, szacowanie skutków, wolności osób, zgłoszenie

Analiza ryzyka naruszenia praw i wolności osób fizycznych ma na celu identyfikację potencjalnych zagrożeń i nieprawidłowości, które mogą prowadzić do naruszenia przepisów ochrony danych osobowych. Proces ten obejmuje identyfikację wszystkich obszarów, gdzie istnieje ryzyko naruszenia praw i wolności osób fizycznych oraz analizę prawdopodobieństwa i skutków takich zdarzeń. W ramach analizy ryzyka zostaną wskazane działania pozwalające zminimalizować ryzyko i zapobiec ewentualnym naruszeniom.

Analiza prawdopodobieństwa zaistnienia ryzyka naruszenia praw i wolności osób fizycznych

Analizę ryzyka należy podzielić na etapy:

1. Identyfikacja naruszenia - ustalenie czego dotyczyło naruszenie, jaki był jego charakter, jakich i czyich danych dotyczyło, czy naruszenie trwa. Wstępne pytania pozwalają ocenić, czy naruszenie ze względu na swój charakter niesie wysokie ryzyko dla praw i wolności osób.

2. Szacowanie skutków - należy ocenić, możliwość wystąpienia negatywnych skutków naruszenia dla praw i wolności osób. Ocenę zaleca się przeprowadzić poprzez udzielenie odpowiedzi, czy zmaterializowanie danego skutku w związku z danym naruszeniem jest możliwe: 0 - niemożliwe, 1- możliwe.

3. Szacowanie prawdopodobieństwa naruszenia - należy ocenić szansę na to, że dany skutek związany z naruszeniem faktycznie się zmaterializuje. Dokonując oceny należy uwzględnić czynniki takie jak: informacje historyczne o podobnych zdarzeniach (można uwzględniać informacje dotyczące znanych naruszeń u innych administratorów); na ile nieuprawnionemu odbiorcy może zależeć na tym, aby otrzymać dostęp do danych; rodzaj podatności; zastosowane zabezpieczenia. W celu ułatwienia szacowania i uzyskania jednoznacznych wyników należy zastosować prostą skalę: 1 - niskie, 2 - średnie, 3 - wysokie.

4. Określenie poziomu ryzyka (R) - poprzez pomnożenie określonej wartości możliwego skutku naruszenia (S) oraz prawdopodobieństwo wystąpienia skutku (P), tzn. R=S*P. Skala poziomu ryzyka dla uzyskanych wyników: 0 - mało prawdopodobne, 1- niskie, 2- średnie, 3- wysokie.

Szacowanie ryzyka – ocena charakteru naruszenia

Czy naruszenie dotyczy: Tak /Nie

danych ujawniających: pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych biometrycznych, genetycznych, dotyczących zdrowia lub życia seksualnego Nie

danych z wykorzystaniem których oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się - w celu tworzenia lub wykorzystywania profili osobistych Tak

danych o wyrokach skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa Nie

danych osób wymagających szczególnej opieki, w tym dzieci Nie

dużej ilości danych osobowych i wpływu na dużą liczbę osób, których dane dotyczą Tak

danych osobowych prawnie chronionych, np. tajemnicą ustawową lub zawodową Nie

danych, które uległy nieuprawnionemu odwróceniu pseudonimizacji lub odszyfrowaniu Nie

dużej ilości danych osobowych i/lub wpływu na dużą liczbę osób, których dane dotyczą Tak

Jeżeli w przynajmniej jedynym przypadku odpowiedź jest twierdząca, należy uznać, że zachodzi wysokie ryzyko naruszenia i niezbędne jest zarówno zgłoszenie do organu nadzorczego, jak i zawiadomienie osób, których dane dotyczą. W przeciwnym przypadku można przejść do dalszej oceny ryzyka.

Szacowanie ryzyka w odniesieniu do możliwych negatywnych skutków (wykonywane tylko, jeżeli charakter naruszenia nie wskazuje na wysokie ryzyko)

Prawdopodobieństwo Poziom ryzyka Skala: Możliwe następstwa/skutki naruszenia możliwe - 1, wystąpienia R=S*P niemożliwe w skali -0 od 1 do 3

Naruszenie dobrego imienia 1 2 2

Dyskryminacja 0 1 0

Utrata kontroli nad własnymi danymi osobowymi 1 3 3

Kradzież tożsamości lub oszustwo dotyczące tożsamości 1 2 2

Straty finansowe dla osoby fizycznej 1 1 1

Ograniczenie praw i wolności 1 3 3

Możliwość pozbawienia przysługujących praw i wolności 1 2 2

Inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej 0 1 0

Poziom ryzyka (należy przyjąć najwyższą z oszacowanych wartości) 3

Zgodnie z art. 33 RODO, zgłoszeniu do organu nadzorczego nie podlega naruszenie, dla którego naruszenie praw i wolności osób jest mało prawdopodobne (każde z oszacowany ryzyk R=0).

Zgodnie z art. 34 RODO, jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób, należy zawiadomić osoby, których dane dotyczą (najwyższe oszacowane ryzyko R=3 lub charakter naruszenia wskazuje na wysokie ryzyko).

................................................................................................(Lipiec 2024 i podpis Specjalista ds. Ochrony Danych)

Podsumowując, analiza ryzyka naruszenia praw i wolności osób fizycznych pozwala na skuteczne zidentyfikowanie potencjalnych zagrożeń związanych z przetwarzaniem danych osobowych. Dzięki tej analizie można odpowiednio zabezpieczyć dane przed ewentualnymi naruszeniami oraz zminimalizować ryzyko wystąpienia incydentów. Regularne aktualizacje analizy ryzyka pozwolą utrzymać wysoki poziom ochrony danych osobowych.