Analiza ryzyka przetwarzania danych osobowych

Prawo

dane

Kategoria

analiza

Instrukcja

Na początku należy określić proces lub działanie, dla którego przeprowadzana jest analiza ryzyka, wpisując go w miejscu [PROCES/DZIAŁANIE]. Następnie w kolumnie "Zagrożenia" należy wymienić wszystkie zidentyfikowane zagrożenia związane z przetwarzaniem danych osobowych w ramach analizowanego procesu. Dla każdego zagrożenia należy określić prawdopodobieństwo jego materializacji, wybierając wartość 1, 2 lub 3 zgodnie z podaną skalą i wpisując ją w kolumnie "P". W kolumnie "DS" należy ocenić dotkliwość skutków materializacji danego zagrożenia dla osoby, której dane dotyczą, również wybierając wartość 1, 2 lub 3 zgodnie z podaną skalą. W kolumnie "Pr" należy obliczyć poziom ryzyka, mnożąc wartość z kolumny "P" przez wartość z kolumny "DS". W kolumnie "Reakcja na ryzyko" należy określić, jakie działania zostaną podjęte w związku z danym zagrożeniem, wybierając spośród: minimalizacji, unikania, przeniesienia lub akceptacji. W przypadku wysokiego poziomu ryzyka (6 lub 9) należy przeprowadzić ocenę skutków dla ochrony danych i nie można zaakceptować ryzyka. Opcjonalnie można dodać dodatkowe informacje lub uzasadnienia w sekcji [DODATKOWE INFORMACJE/UZASADNIENIA] oraz decyzje i podpisy w sekcji [DECYZJE/PODPISY].

Dane

decyzje/podpisy, dodatkowe informacje/uzasadnienia, ds, p, pr, proces/działanie, reakcja na ryzyko, zagrożenie 1, zagrożenie 10, zagrożenie 2, zagrożenie 3, zagrożenie 4, zagrożenie 5, zagrożenie 6, zagrożenie 7, zagrożenie 8, zagrożenie 9

Dokument 'Analiza ryzyka przetwarzania danych osobowych' służy identyfikacji i ocenie zagrożeń związanych z procesem przetwarzania danych osobowych. W oparciu o ustalone prawdopodobieństwo i dotkliwość skutków możliwe jest określenie poziomu oraz reakcji na ryzyko. Analiza ta ma na celu minimalizację potencjalnych negatywnych konsekwencji dla osób, których dane są przetwarzane.

Analiza ryzyka dla [PROCES/DZIAŁANIE]

1. Analiza jest przeprowadzana dla procesu, w ramach którego dochodzi do przetwarzania danych osobowych, zatem należy uwzględnić wpływ zagrożenia zarówno na administratora, jak i osób, których te dane dotyczą.

2. W pierwszej kolumnie należy wskazać zidentyfikowane zagrożenia związane z procesem przetwarzania danych.

3. W drugiej kolumnie należy określić prawdopodobieństwo materializacji tego ryzyka, w odniesieniu do obiektywnych przesłanek (np. czy ryzyko zmaterializowało się w przeszłości, czy zostały wdrożone środki minimalizujące możliwość wystąpienia tego ryzyka).

4. Proponowana skala do określenia prawdopodobieństwa (P):

1. niskie – 1 – materializacja zagrożenia mało prawdopodobna;

2. średnie – 2 – materializacja zagrożenia możliwa;

3. wysokie – 3 – materializacja zagrożenia wysoce prawdopodobna.

5. W trzeciej kolumnie ocenia się negatywny skutek materializacji ryzyka dla osoby, której dane dotyczą, tzn. jak bardzo jest on dotkliwy (należy wziąć pod uwagę nie tylko rodzaj skutku, ale także liczbę osób, których może dotyczyć, charakter informacji oraz kategorie osób, których dotyczy).

6. Proponowana skala do określenia dotkliwości skutków (DS):

1. niska – 1 – mało prawdopodobne, aby zagrożenie miało wpływ na osoby, których dane dotyczą lub działalność administratora;

2. średnie – 2 - zagrożenie może mieć odczuwalny wpływ na osoby, których dane dotyczą lub działalność administratora;

3. wysokie – 3 – zagrożenie może mieć istotny wpływ na osoby, których dane dotyczą lub działalność administratora.

7. Szacowanie ryzyka należy przeprowadzić poprzez iloczyn P i DS, tzn. Pr = P * DS.

8. Proponowana skala do poziomu ryzyka (Pr):

1. niski poziom ryzyka dla wyników Pr = 1 lub Pr = 2;

2. średni poziom ryzyka dla wyników Pr = 3 lub Pr = 4;

3. wysoki poziom ryzyka dla wyników Pr = 6 lub Pr = 9.

9. Możliwe reakcje na ryzyko:

1. minimalizacja - wdrożenie zabezpieczeń;

2. unikanie – zrezygnowanie z danego działania;

3. przeniesienie – wykorzystanie podwykonawcy;

4. akceptacja – brak działań.

10. W przypadku wysokiego poziomu ryzyka, tzn. Pr = 6 lub Pr = 9, które może mieć wpływ na osoby fizyczne:

1. należy przeprowadzić ocenę skutków dla ochrony danych;

2. nie można zaakceptować ryzyka.

Tabela szacowania ryzyka

Zagrożenia1 P    DS   Pr   Reakcja na ryzyko

[ZAGROŻENIE 1]

[ZAGROŻENIE 2]

[ZAGROŻENIE 3]

[ZAGROŻENIE 4]

[ZAGROŻENIE 5]

[ZAGROŻENIE 6]

[ZAGROŻENIE 7]

[ZAGROŻENIE 8]

[ZAGROŻENIE 9]

[ZAGROŻENIE 10]

1 W tabeli podano przykładowe zagrożenia.

[DODATKOWE INFORMACJE/UZASADNIENIA - OPCJONALNE]

[DECYZJE/PODPISY - OPCJONALNE]

Szacowanie ryzyka oraz określanie reakcji na zagrożenia są kluczowe dla zapewnienia ochrony danych osobowych i minimalizacji wystąpienia incydentów. Poprzez analizę prawdopodobieństwa i dotkliwości skutków, możliwe jest skuteczne zarządzanie ryzykiem związanym z przetwarzaniem danych osobowych.