Ocena ryzyka i skutków dla ochrony danych

Prawo

dane

Kategoria

formularz

Instrukcja

W części I należy uzupełnić dane identyfikacyjne organizacji, takie jak nazwa firmy, imię i nazwisko osoby odpowiedzialnej za ocenę oraz imię i nazwisko inspektora ochrony danych. W części II należy opisać kontekst oceny ryzyka, odpowiadając na pytania dotyczące charakteru czynności, grup pracowników, lokalizacji, sposobu przetwarzania danych, używanego sprzętu, metod dostępu i uwierzytelniania, sposobów potwierdzania obecności, wykorzystywanych systemów IT i ich dostawców, miejsca przechowywania danych, osób przeprowadzających kontrolę, metod kontroli, danych pozyskiwanych w trakcie kontroli, metod weryfikacji uprawnień osób kontrolujących oraz monitoringu czynności. Należy również uwzględnić inne istotne elementy kontekstu. W części III należy wypełnić tabelę, określając, czy w ramach ocenianego procesu występują kryteria, dla których wymagane jest przeprowadzenie oceny skutków. W części IV należy opisać planowane lub wdrożone środki techniczne i organizacyjne, wskazując, jakiego wymogu RODO dotyczą. W części V należy dokonać szacowania ryzyka, uzupełniając tabelę z informacjami o źródle ryzyka, skutku, wdrożonych lub planowanych środkach obniżających ryzyko, wadze ryzyka, prawdopodobieństwie wystąpienia ryzyka, poziomie ryzyka oraz decyzji co do konieczności wdrożenia dodatkowych zabezpieczeń. W części VI należy wskazać, z czego wynikał obowiązek przeprowadzenia oceny skutków dla ochrony danych, zaznaczając odpowiednią opcję. Jeśli zaznaczono opcję o wysokim poziomie ryzyka lub spełnieniu dwóch kryteriów z części III, należy dodatkowo wypełnić część VII. W części VII należy uzupełnić systematyczny opis planowanych operacji przetwarzania i ich celów, ocenić niezbędność i proporcjonalność operacji przetwarzania, opisać planowane środki zaradcze oraz uwzględnić opinie osób, których dane dotyczą, jeśli ma to zastosowanie.

Dane

dane, dostawca, firma, imię, lokalizacja, metoda, miejsce, monitoring, nazwisko, ocena, opinia, opis, opis czynności, organ, przepis, regulacja, sposób, sprzęt, stanowisko, systemy, środki

Dokument "Ocena ryzyka i skutków dla ochrony danych" zawiera wzór oceny ryzyka i skutków, skupiając się na szczegółach organizacji dokonującej oceny oraz kryteriach oceny skutków. Przedstawia planowane środki techniczne oraz organizacyjne oraz systematyczny opis operacji przetwarzania danych zgodnie z obowiązującymi regulacjami.

Wzór oceny ryzyka i oceny skutków

Część I. Szczegóły dotyczące organizacji dokonującej oceny

Oznaczenie administratora: [FIRMA]

Osoba odpowiedzialna za dokonanie oceny: [IMIĘ] [NAZWISKO]

IOD: [IMIĘ] [NAZWISKO]

Część II. Tło oceny ryzyka: charakter/zakres/kontekst/cele

1. Jakich grup pracowników będzie dotyczyła [OPIS CZYNNOŚCI]? (np. pracownicy rekrutacji, HR itd.)?

Odpowiedź: [OPIS]

2. Skąd może być wykonywana [CZYNNOŚĆ]? Czy także spoza EOG?

Odpowiedź: [LOKALIZACJA]

3. Czy [STANOWISKO] będzie przetwarzał dane w sposób tradycyjny czy wyłącznie elektroniczny?

Odpowiedź: [SPOSÓB]

4. Czy [CZYNNOŚĆ] będzie wykonywana na sprzęcie pracownika czy sprzęcie służbowym?

Odpowiedź: [SPRZĘT]

5. W jaki sposób [STANOWISKO] będzie uzyskiwał dostęp do zasobów organizacji? W jaki sposób będzie potwierdzana tożsamość [STANOWISKA]?

Odpowiedź: [METODA]

6. W jaki sposób [STANOWISKO] będzie potwierdzał obecność?

Odpowiedź: [METODA]

7. Jakie systemy IT będą wspierały [CZYNNOŚĆ] (m.in. będą wykorzystywane do komunikacji)? Kto będzie dostarczał te narzędzia?

Odpowiedź: [SYSTEMY] [DOSTAWCA]

8. Gdzie [STANOWISKO] będzie przechowywał dane przetwarzane elektronicznie? Tradycyjnie?

Odpowiedź: [MIEJSCE]

9. Kto będzie przeprowadzał kontrolę [STANOWISKA] w ramach [CZYNNOŚCI]?

Odpowiedź: [OSOBA]

10. Jak będzie przeprowadzana kontrola?

Odpowiedź: [METODA]

11. Jakie dane będą pozyskiwane w toku tej kontroli? Gdzie będą przechowywane?

Odpowiedź: [DANE] [MIEJSCE]

12. Kto będzie przeprowadzał kontrolę i jak [STANOWISKO] będzie weryfikować, czy kontaktująca się osoba jest uprawniona do kontroli?

Odpowiedź: [OSOBA] [METODA]

13. Czy [CZYNNOŚĆ] [STANOWISKA] będzie monitorowana (monitoring poczty elektronicznej i inne formy monitorowania)? Jeżeli tak, to w jaki sposób?

Odpowiedź: [MONITORING]

14. Inne elementy kontekstu istotne dla oceny ryzyka

[OPIS]

Część III. Kryteria oceny skutków według [ORGAN] a [CZYNNOŚĆ] i monitoring

Rodzaje/kryteria dla operacji przetwarzania, dla których wymagane jest Czy w ramach ocenianego procesu kryterium występuje?

przeprowadzenie oceny Tak/Nie

[TABELA] - bez zmian

Część IV. Szacowanie ryzyka

Planowane lub wdrożone środki techniczne lub organizacyjne

Zob. rozdział VI pkt 2.2.2.

Środek techniczny lub organizacyjny Jakiego wymogu [REGULACJA] dotyczy?

[TABELA] - bez zmian

Część V. Szacowanie ryzyka

Nr Źródło Skutek Wdrożone/planowane Waga Prawdopodobieństwo Poziom Decyzja co Dodatkowe Poziom

ryzyka (wpływ) środki obniżające ryzyka ryzyka ryzyka do zabezpieczenia ryzyka

(zagrożenia) na ryzyko konieczności wdroż

prawa i wdrożenia dodat

wolności dodatkowych zabez

zabezpieczeń

[TABELA] - bez zmian

Część VI. Jeżeli jedna z poniższych odpowiedzi będzie prawdziwa, należy dodatkowo dokonać oceny wskazanej w części VII.

Z czego wynikał obowiązek przeprowadzenia oceny skutków dla ochrony danych?

(pole jednokrotnego wyboru)

⃝ Poziom ryzyka został określony jako wysoki w wyniku jego szacowania przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania.

⃝ Rodzaj przetwarzania został wskazany w przepisie prawa.

Przykładem takiego przepisu jest [PRZEPIS], zgodnie z którym przeprowadzenie oceny skutków dla ochrony danych jest wymagane w przypadku: - bez zmian

⃝ Spełnione są dwa kryteria wskazane w części III.

Część VII. Uzupełnienie elementów oceny skutków

1. Systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym gdy ma to zastosowanie - prawnie uzasadnione interesy realizowane przez administratora.

[OPIS]

2. Ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów.

[OCENA]

3. Środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie [REGULACJA], z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

[ŚRODKI]

4. W stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

[OPINIA]

Dokument "Ocena ryzyka i skutków dla ochrony danych" to kompleksowe narzędzie pomocne w identyfikacji i zarządzaniu ryzykiem związanym z przetwarzaniem danych. Poprzez szacowanie ryzyka i analizę skutków, umożliwia skuteczne podejmowanie decyzji mających na celu ochronę danych osobowych.