• Audyt zgodności z RODO

    Czy twoja organizacja jest przygotowana na kontrolę Prezesa UODO lub kontrahenta? Czy posiadasz dowody skutecznego wdrożenia RODO w twojej organizacji? System ochrony danych osobowych musi być okresowo weryfikowany, bo każda organizacja się zmienia. Skorzystaj z usługi audytu i przekonaj się jakie niezgodności są w twojej organizacji.
  • Dokumentacja zgodności z RODO

    Czy twoja organizacja posiada opisane wszelkie procedury wymagane przez RODO? Czy dokumentacja jest na tyle przejrzysta i spójna, że da się ją faktycznie wdrożyć? Dokumentacja zgodności z RODO musi odzwierciedlać nie tylko przepisy prawa ale musi być wdrożona tj. działać w organizacji. Skorzystaj z usługi opracowania dedykowanej dokumentacji dopasowanej do twojej organizacji.
  • Szkolenia z RODO

    Czy twoi pracownicy są w stanie zidentyfikować, które informacje to dana osobowa? Czy wiedzą jak skutecznie chronić dane osobowe przed zagrożeniami? Bezpieczeństwo danych osobowych jest na tyle wysokie na ile pracownicy wiedzą jak je chronić.
  • Przejęcie funkcji IOD

    Czy twoja organizacja powołała IOD z dniem 31 lipca 2018r.? Pamiętaj, że zgodnie z RODO za nie powołanie IOD, grozi kara administracyjna do 10 mln € lub 2% światowego obrotu za rok ubiegły. Outsourcing IOD to rozwiązanie bardziej korzystne niż dodatkowy etat. Pełnienie nadzoru przez IOD w wielu organizacjach mimo, że jest wymagane przez RODO to wcale nie wymaga codziennej pracy, a jedynie gotowości do działania.
  • Aplikacja PDPS

    Oferujemy aplikację do zarządzania systemem ochrony danych osobowych w organizacji. PDPS pozwala samodzielnie wdrożyć i nadzorować system ochrony danych osobowych inspektorom ochrony danych osobowych. Korzystanie z oprogramowania możliwe w trzech wariantach dopasowanych do potrzeb każdej organizacji.

Analiza ryzyka w 4 krokach dla mikro podmiotu.

Małe podmioty często mają problem z przeprowadzaniem analizy ryzyka. Z jednej strony nie wiedzą jak się do niej zabrać, a z drugiej nie są pewne czy jest im ona potrzebna. RODO przecież nie nakazuję żadnej konkretnej metody. Teoretycznie właściciel jednoosobowej działalności gospodarczej zawsze może powiedzieć, że przeanalizował zagrożenia i stwierdził, że istniejące zabezpieczenia są adekwatne do zagrożeń.

Wymóg RODO

W jakim celu przeprowadza się bardziej udokumentowaną analizę ryzyka? Przede wszystkim by spełnić wymóg RODO jakim jest rozliczalność.

 

Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Art. 5 ust. 2 RODO

1. Zasoby mikro przedsiębiorcy

Pierwszym krokiem w dokumentowaniu analizy ryzyka jest inwentaryzacja zasobów. W dużym uproszczeniu należy sporządzić spis wszystkich aktywów biorących udział w procesach przetwarzania danych osobowych. Przykładowo: budynki, personel, podmioty zewnętrzne, komputery, laptopy, smartfony, etc.

2. Identyfikacja zagrożeń

Kolejnym krokiem jest przypisanie zagrożeń wobec każdego z zasobów. W praktyce wystarczające będzie określenie po kilka zagrożeń które mogą wystąpić wobec zasobu. Przykładowo: pożar pomieszczenia, kradzież laptopa, awarii komputera, choroba pracownika.

3. Określenie prawdopodobieństwa

W celu określenia ryzyka dla każdego z zasobów potrzebna jest skala prawdopodobieństwa. Najprościej jest określić trzy poziomy prawdopodobieństwa: małe, średnie i wysokie. Kolejno definiujemy każdy z poziomów, np. małe prawdopodobieństwo oznacza że do zagrożenia nie doszło nigdy lub jest ono bardzo mało prawdopodobne.

Posiadając zdefiniowana skalę prawdopodobieństwa, możemy przejść do oceny jego wystąpienia wobec zagrożeń. Innymi słowy przypisujemy do każdego zasobu zagrożenie oraz prawdopodobieństwo jego wystąpienia.

4. Określenie skutków

W następnym kroku odpowiadamy na pytanie – Co się stanie jeżeli jednak zagrożenie się spełni ? tzn. dojdzie do np. kradzieży laptopa. Tu również powinniśmy posłużyć się skalą. Przykładowo: mały, średni i wysoki. Określamy że mały skutek oznacza że mikro przedsiębiorca jest nadal w stanie funkcjonować normalnie jednak praca jest nieco utrudniona. Gdy już opracujemy skalę skutków możemy przejść do przypisania wartości skutku do zagrożenia wobec konkretnego zasobu. Warto pamiętać, że czym innym jest analiza ryzyka z oceny skutków przetwarzania (DPIA), a czym innym analiza ryzyka wobec zasobów.

proces przeprowadzania analizy ryzyka
Analiza ryzyka - metodyka uproszczona

Wzór na ryzyko

Najprostszym wzorem określającym wartość ryzyka jest iloczyn prawdopodobieństwa i skutku. Innymi słowy mnożymy wartość prawdopodobieństwa przez wartość skutku i otrzymujemy wartość ryzyka. Wartość ryzyka sortujemy od największych do najmniejszych. Jedyne co musimy określić to tzw. “apetyt na ryzyko”, czyli które wartości ryzyka są akceptowalne, a które już nie. Przykładowo możemy określić że będziemy zajmowali się tylko ryzykami o wartości wysokiej i bardzo wysokiej, a pozostałe zostaną zaakceptowane (zachowane). Więcej o analizie ryzyka można doczytać tutaj:

https://mfiles.pl/pl/index.php/Arkusz_analizy_ryzyka

maryca prawdopodobieństwa i skutku
Matryca ryzyka

Postępowanie z ryzykiem

Ostatnim krokiem jest określenie metody postępowania z ryzykiem. Musimy zdecydować co będziemy robili z ryzykiem by obniżyć je do poziomu akceptowalnego. Istnieją trzy standardowe my postępowania z ryzykiem.

1) Redukcja ryzyka, czyli np. zastosowanie silniejszych zabezpieczeń tak by obniżyć jedną z wartości wpływających na wartość ryzyka.
2) Transfer ryzyka, czyli najczęściej przeniesienie ryzyka na inny podmiot np. skorzystanie z outsourcingu.
3) Unikanie ryzyka, czyli zmiana polegająca na odstąpieniu od działań powodujących ryzyko.

Korzystając z powyższych propozycji przygotowujemy i planujemy w czasie konkretne działania, które mają na celu obniżenie ryzyka.

Mikro przedsiębiorca powinien przeprowadzić analizę ryzyka, gdyż rozliczalność jest ważnym wymogiem RODO. Jak wynika z powyższego opisu nie jest to działanie bardzo skomplikowane, a pozwoli mikro przedsiębiorcy uniknąć negatywnego wyniku kontroli organu nadzorczego. Jednak największą wartością przeprowadzenia analizy ryzyka jest uniknięcie rzeczywistych zagrożeń, które mogą spotkać każdą organizacje.

Secured By miniOrange