Uproszczona metodyka analizy ryzyka przetwarzania danych osobowych

Prawo: dane
Kategoria: instrukcja
Instrukcja: Należy rozpocząć od uzupełnienia tytułu dokumentu. W uwagach należy określić typy organizacji, dla których metodyka jest odpowiednia, oraz te, dla których nie jest. W postanowieniach ogólnych należy wskazać dokument, do którego niniejsza metodyka stanowi załącznik, oraz nazwę metodyki. Należy zdefiniować pojęcia używane w dokumencie, podając ich definicje. W sekcji dotyczącej ryzyka przetwarzania danych należy określić rodzaj danych osobowych, rodzaje naruszeń i rodzaje ryzyka. Należy również wskazać kryteria brane pod uwagę przy szacowaniu ryzyka oraz odpowiedni przepis. W założeniach metodyki należy wymienić czynniki brane pod uwagę przy ustalaniu poziomów ryzyka oraz opisać sposób ich uwzględniania. Należy określić rezultat zestawienia czynników i kryteriów. Należy opisać metodykę ustalania poziomów ryzyka dla różnych czynności, podając przykłady. Należy określić wpływ kryteriów na rezultat, podając przykłady. W kolejnych sekcjach należy opisać wpływ poszczególnych kryteriów na rezultat, podając przykłady i uwzględniając specyficzne warunki. W sekcji sposobu ustalania poziomów bezpieczeństwa należy krok po kroku opisać proces, określając parametry, tabele i przykłady dla każdego kroku. Na końcu należy sformułować pytanie i podać tabelę z odpowiedziami oraz określić rezultat w zależności od warunków.
Dane: czynnik, czynności, dane, definicja, dokument, działanie, kryteria, kryterium, nazwa metodyki, określenie, parametr, pojęcie, przepis, przykład, pytanie, rezultat, rodzaj naruszenia, rodzaj ryzyka, sposób, stanowisko, tabela, typy organizacji, tytuł dokumentu, warunek

Dokument pt. 'Uproszczona metodyka analizy ryzyka przetwarzania danych osobowych' stanowi szczegółowy opis procedury określania poziomów ryzyka związanych z przetwarzaniem danych osobowych. Metodyka zakłada uwzględnienie różnorodnych czynników i kryteriów w celu zapewnienia odpowiedniego poziomu bezpieczeństwa danych.

[TYTUŁ DOKUMENTU]

Uwaga 1. Metodyka wymaga uprzedniego określenia minimum trzech poziomów bezpieczeństwa danych i środków składających się na te poziomy.

Uwaga 2. Metodyka nadaje się do [TYPY ORGANIZACJI]. Nie nadaje się do [TYPY ORGANIZACJI].

1. Postanowienia ogólne

1.1. Niniejsza metodyka stanowi załącznik do [DOKUMENT]. W celu określenia rekomendowanych minimalnych poziomów bezpieczeństwa danych posługujemy się niżej przedstawioną [NAZWA METODYKI].

1.2. Z zastrzeżeniem pojęć zdefiniowanych w treści niniejszego dokumentu, pojęcia pisane z dużej litery mają znaczenie nadane im w [DOKUMENT].

1.3. Definicje:

1.3.1. Metodyka – oznacza niniejszy dokument stanowiący podstawę do przeprowadzenia [NAZWA METODYKI].

1.3.2. [POJĘCIE] – oznacza przyjętą w organizacji [DEFINICJA].

2. Ryzyko przetwarzania [DANE]

2.1. Na potrzeby Metodyki ryzyko przetwarzania [DANE] jest rozumiane jako ryzyko naruszenia praw lub wolności osób fizycznych przy przetwarzaniu [DANE]. Przyjmuje się, że ryzyko przetwarzania [DANE] ma dwa wymiary:

2.1.1. ryzyko [RODZAJ NARUSZENIA] (ryzyko [RODZAJ RYZYKA]), oraz

2.1.2. ryzyko [RODZAJ NARUSZENIA] (ryzyko [RODZAJ RYZYKA]).

2.2. Przy szacowaniu ryzyka przetwarzania [DANE] bierze się pod uwagę [KRYTERIA], zgodnie z [PRZEPIS]. Kwestia [KRYTERIA] jest uwzględniana w dalszej kolejności w sposób [SPOSÓB] – tzn. w oparciu o [KRYTERIA], zgodnie z logiką [PRZEPIS].

3. Założenia Metodyki

3.1. Na potrzeby ustalenia poziomów ryzyka oraz zastosowania Metodyki brane są pod uwagę następujące czynniki:

3.1.1. [CZYNNIK];

3.1.2. [CZYNNIK];

3.1.3. [CZYNNIK] oraz dodatkowo:

3.1.4. [CZYNNIK].

3.2. Łącznie czynniki [CZYNNIK] i [CZYNNIK] wskazują na [REZULTAT]. W tym celu, w pierwszej kolejności jest określane [SPOSÓB] [CZYNNIK] oraz analogicznie [CZYNNIK], przyjmując skalę od 1 do 3. Następnie wyniki tej punktacji są sumowane i wskazują one na [REZULTAT].

3.3. W dalszej kolejności [REZULTAT] jest zestawiany ze [KRYTERIA], dając [REZULTAT], który dodatkowo przez [STANOWISKO] przeszacowany jest [SPOSÓB] w przypadku [WARUNEK].

3.4. Metodyka ustalania poziomów ryzyka jest określana dla [CZYNNOŚCI] stanowiących [KRYTERIUM] np. dla [PRZYKŁAD] - są to czynności [CZYNNOŚCI] (obszar czynności wskazany dla [PRZYKŁAD] w [DOKUMENT]), tj. [CZYNNOŚĆ], [CZYNNOŚĆ]; dla podmiotów [PRZYKŁAD] (obszar czynności wskazany dla [PRZYKŁAD] w [DOKUMENT]) - są to czynności [CZYNNOŚĆ], [CZYNNOŚĆ] lub inne wskazane dla tego obszaru.

3.5. Przyjmuje się, że [REZULTAT] (niestanowiących [KRYTERIUM], tzw. [OKREŚLENIE]), tj. czynności [CZYNNOŚCI] z obszaru [PRZYKŁAD], [PRZYKŁAD] lub [PRZYKŁAD], jest [REZULTAT] i zostało ono zakwalifikowane do Poziomu I. Oznacza to, że Metodyka powinna znaleźć zastosowanie do czynności [CZYNNOŚCI], które są wykonywane jako czynności związane z [KRYTERIUM]. Oczywiście według tego samego schematu można przeprowadzić bardziej uszczegółowioną analizę ryzyka, gdyby [WARUNEK].

3.6. Jeżeli [WARUNEK], to [REZULTAT].

4. [KRYTERIUM]

4.1. Przyjmuje się, że [KRYTERIUM], ma wpływ na [REZULTAT]. Dla przykładu, [PRZYKŁAD] ma [REZULTAT] niż [PRZYKŁAD]. [PRZYKŁAD] ma [REZULTAT] niż [PRZYKŁAD]. Przyjmujemy zatem, że [REZULTAT]. W przypadku [WARUNEK], należy [DZIAŁANIE]. Gdy [WARUNEK], należy [DZIAŁANIE].

4.2. Jeśli [WARUNEK], należy [DZIAŁANIE]. Należy ocenić [KRYTERIA]. Dla przykładu, [PRZYKŁAD] ma [REZULTAT] niż [PRZYKŁAD], choć [WARUNEK]. [PRZYKŁAD] ma [REZULTAT] niż [PRZYKŁAD] lub [PRZYKŁAD]. Również w tym miejscu uwzględniamy [KRYTERIUM].

5. [KRYTERIUM]

5.1. [KRYTERIUM], także wpływa na [REZULTAT]. Określa ona [SPOSÓB] (gdy [WARUNEK]) lub [SPOSÓB] (gdy [WARUNEK]). Należy więc zwrócić uwagę na [KRYTERIUM]. W tym miejscu uwzględniamy [KRYTERIUM], gdy [WARUNEK]. Szczególnie istotne jest to w przypadku [PRZYKŁAD]. Dla przykładu, [PRZYKŁAD], a [REZULTAT], w odróżnieniu od [PRZYKŁAD], który [REZULTAT]. Różne jest zatem [REZULTAT] dla [PRZYKŁAD]. [REZULTAT] niż [PRZYKŁAD].

6. [KRYTERIUM]

6.1. [KRYTERIUM], czyli [DANE], bezpośrednio przekłada się na [REZULTAT]. Im [WARUNEK], tym [REZULTAT] oraz [REZULTAT]. [REZULTAT] wraz ze wzrostem [KRYTERIUM].

7. [KRYTERIUM]

7.1. Możliwe, że [REZULTAT]. Uważamy jednak, że [REZULTAT], a co więcej, że [REZULTAT]. Ponadto [KRYTERIUM] jest pochodną [KRYTERIUM], a potencjalnie [REZULTAT]. Dlatego [KRYTERIUM] uznajemy za czynnik mający wpływ na [REZULTAT].

8. Sposób ustalenia poziomów bezpieczeństwa

Krok 1 – [KRYTERIUM]

Określ [PARAMETR] w skali 1–3

[TABELA]

Przykład: [PRZYKŁAD]

Krok 2 - [KRYTERIUM]

Określ [PARAMETR], mnożąc jego dwa wymiary – [KRYTERIUM] i [KRYTERIUM]

[TABELA]

Przykład: [PRZYKŁAD]

Krok 3 - [KRYTERIUM]

Określ [PARAMETR] mnożąc jego dwa wymiary ustalone w krokach 1 i 2 – [KRYTERIUM] i [KRYTERIUM]

[TABELA]

Przykład: [PRZYKŁAD]

Krok 4 - [KRYTERIUM]

Określ [PARAMETR], mnożąc jego dwa wymiary – [KRYTERIUM] i [KRYTERIUM]

[TABELA]

Przykład: [PRZYKŁAD]

Krok 5 - [KRYTERIUM]

Określ [PARAMETR], mnożąc jego dwa wymiary ustalone w krokach 3 i 4 – [KRYTERIUM] i [KRYTERIUM]

[TABELA]

Przykład: [PRZYKŁAD]

Krok 6 – [KRYTERIUM]

Na końcu proszę odpowiedzieć sobie na pytanie

[PYTANIE]

[TABELA]

Jeżeli [WARUNEK], to [REZULTAT].

Jeżeli [WARUNEK], należy [DZIAŁANIE].

Przykład: [PRZYKŁAD]

Metodyka analizy ryzyka przetwarzania danych osobowych definiuje kompleksową procedurę określania minimalnych poziomów bezpieczeństwa danych. Dokument uwzględnia konieczność zapewnienia ochrony danych osobowych oraz zaleca metody postępowania w sytuacjach potencjalnego naruszenia prawa.