Ocena ryzyka i skutków dla ochrony danych

Wzór oceny ryzyka i oceny skutków

Część I. Szczegóły dotyczące organizacji dokonującej oceny

Oznaczenie administratora: Cybernetyczne Rozwiązania Sp. z o.o.

Osoba odpowiedzialna za dokonanie oceny: Anna Nowak

IOD: Jan Kowalski

Część II. Tło oceny ryzyka: charakter/zakres/kontekst/cele

1. Jakich grup pracowników będzie dotyczyła praca zdalna (np. pracownicy rekrutacji, HR itd.)?

Odpowiedź: Pracowników działów IT, marketingu oraz obsługi klienta.

2. Skąd może być wykonywana praca zdalna? Czy także spoza EOG?

Odpowiedź: Z terytorium Polski, sporadycznie z innych krajów EOG.

3. Czy pracownik będzie przetwarzał dane w sposób tradycyjny czy wyłącznie elektroniczny?

Odpowiedź: Wyłącznie elektroniczny.

4. Czy praca zdalna będzie wykonywana na sprzęcie pracownika czy sprzęcie służbowym?

Odpowiedź: Na sprzęcie służbowym - laptopach dostarczonych przez firmę.

5. W jaki sposób pracownik będzie uzyskiwał dostęp do zasobów organizacji? W jaki sposób będzie potwierdzana tożsamość pracownika?

Odpowiedź: Poprzez sieć VPN z wykorzystaniem dwuskładnikowego uwierzytelniania (hasło i token sprzętowy).

6. W jaki sposób pracownik będzie potwierdzał obecność?

Odpowiedź: Poprzez logowanie się do systemu firmowego oraz raportowanie zadań w systemie Jira.

7. Jakie systemy IT będą wspierały pracę zdalną (m.in. będą wykorzystywane do komunikacji)? Kto będzie dostarczał te narzędzia?

Odpowiedź: Microsoft Teams, Jira, system CRM. Narzędzia dostarcza firma Microsoft oraz wewnętrzny dział IT.

8. Gdzie pracownik będzie przechowywał dane przetwarzane elektronicznie? Tradycyjnie?

Odpowiedź: Dane przetwarzane elektronicznie będą przechowywane na serwerach firmowych. Dane w formie tradycyjnej nie będą przetwarzane.

9. Kto będzie przeprowadzał kontrolę pracownika w ramach pracy zdalnej?

Odpowiedź: Bezpośredni przełożony.

10. Jak będzie przeprowadzana kontrola?

Odpowiedź: Poprzez weryfikację realizacji zadań w systemie Jira oraz okresowe rozmowy online.

11. Jakie dane będą pozyskiwane w toku tej kontroli? Gdzie będą przechowywane?

Odpowiedź: Dane dotyczące realizacji zadań, czasu pracy. Dane będą przechowywane w systemie Jira oraz w dokumentacji kadrowej.

12. Kto będzie przeprowadzał kontrolę i jak pracownik będzie weryfikować, czy kontaktująca się osoba jest uprawniona do kontroli?

Odpowiedź: Kontrolę będzie przeprowadzał bezpośredni przełożony. Pracownik może zweryfikować tożsamość przełożonego poprzez kontakt telefoniczny lub mailowy z działem HR.

13. Czy praca zdalna pracownika będzie monitorowana (monitoring poczty elektronicznej i inne formy monitorowania)? Jeżeli tak, to w jaki sposób?

Odpowiedź: Nie przewiduje się monitorowania poczty elektronicznej ani innych form monitorowania.

14. Inne elementy kontekstu istotne dla oceny ryzyka

Pracownicy zostali przeszkoleni z zakresu bezpieczeństwa danych osobowych w kontekście pracy zdalnej.

Część III. Kryteria oceny skutków według Prezesa UODO a praca zdalna i monitoring pracowniczy

Rodzaje/kryteria dla operacji przetwarzania, dla których wymagane jest Czy w ramach przeprowadzenie oceny ocenianego procesu kryterium występuje?

Tak/Nie

[TABELA] - bez zmian

Część IV. Szacowanie ryzyka

Planowane lub wdrożone środki techniczne lub organizacyjne

Zob. rozdział VI pkt 2.2.2.

Środek techniczny lub organizacyjny Jakiego wymogu RODO dotyczy?

[TABELA] - bez zmian

Część V. Szacowanie ryzyka

Nr Źródło Skutek Wdrożone/planowane Waga Prawdopodobieństwo Poziom Decyzja co Dodatkowe Poziom ryzyka (wpływ) środki obniżające ryzyka ryzyka ryzyka do zabezpieczenia ryzyka (zagrożenia) na ryzyko konieczności wdroż prawa i wdrożenia dodat wolności dodatkowych zabez zabezpieczeń

[TABELA] - bez zmian

Część VI. Jeżeli jedna z poniższych odpowiedzi będzie prawdziwa, należy dodatkowo dokonać oceny wskazanej w części VII.

Z czego wynikał obowiązek przeprowadzenia oceny skutków dla ochrony danych? (pole jednokrotnego wyboru)

⃝ Poziom ryzyka został określony jako wysoki w wyniku jego szacowania przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania.

⃝ Rodzaj przetwarzania został wskazany w przepisie prawa.

Przykładem takiego przepisu jest art. 35 ust. 3 RODO, zgodnie z którym przeprowadzenie oceny skutków dla ochrony danych jest wymagane w przypadku: - bez zmian

⃝ Spełnione są dwa kryteria wskazane w części III.

Część VII. Uzupełnienie elementów oceny skutków

1. Systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym gdy ma to zastosowanie - prawnie uzasadnione interesy realizowane przez administratora.

Przetwarzanie danych osobowych klientów w celu świadczenia usług drogą elektroniczną. Prawnie uzasadnionym interesem administratora jest realizacja umów z klientami.

2. Ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów.

Operacje przetwarzania są niezbędne do realizacji umów z klientami i proporcjonalne do zakładanych celów.

3. Środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Szyfrowanie danych, dwuskładnikowe uwierzytelnianie, szkolenia dla pracowników.

4. W stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

Nie dotyczy.