Chroń dane osobowe

Dowiedz się jak zgodnie z prawem chronić dane osobowe.

OCENA SKUTKÓW PRZETWARZANIA DANYCH OSOBOWYCH (DPIA)

Zgodnie z RODO każda organizacja powinna co najmniej raz przeprowadzić ocenę skutków przetwarzania danych osobowych (DPIA). Co więcej proces ten musi być powielany za każdym razem, gdy zamierzamy w sposób istotny zmienić proces przetwarzania danych osobowych lub gdy pojawi się nowy proces w organizacji. Oczywiście przed przeprowadzeniem DPIA należy zweryfikować, czy wobec konkretnego procesu jest ono wymagane. Jednak już na chwilę obecną wiemy już, że monitorowanie aktywności pracowników w sieci powoduje obowiązek przeprowadzenia DPIA.

OCEŃ SKUTKI PRZETWARZANIA DANYCH OSOBOWYCH

Czy twoja organizacja przeprowadził ocenę skutków przetwarzania danych osobowych? Czy analizując ryzyko naruszenia prawa do prywatności osób uwzględniono prawdopodobieństwo i skutek wystąpienia zagrożeń? Procesy przetwarzania danych osobowych muszą być odporne na istniejące zagrożenia, a każda organizacja musi okresowo weryfikować czy ryzyko wystąpienia zagrożeń nie wzrasta. Sprawdź czy procesy w twojej organizacji nie naruszają prawa do prywatności.

ZAKRES USŁUGI

1. IDENTYFIKACJA PROCESÓW

Identyfikacja procesów odbywa się poprzez określenie kontekstu wewnętrznego i zewnętrznego organizacji. Do poszczególnych procesów przypisywani są ich właściciele biznesowi. Wynikiem tego etapu usługi jest kompletna lista procesów przetwarzania danych osobowych.

2. IDENTYFIKACJA ZAGROŻEŃ

Identyfikacja zagrożeń wobec poszczególnych procesów takich jak przetwarzanie nieprawidłowych lub niepełnych danych, nieuprawniony dostęp do danych osobowych, kradzieży tożsamości lub oszustwo dotyczące tożsamości, naruszenie zakazu dyskryminacji czy szkoda finansowa dla osób, których dane dotyczą.

3. OCENA PRAWDOPODOBIEŃSTWA

Ocena prawdopodobieństwo wystąpienia zagrożeń wobec osób, których dane dotyczą biorących udział w procesach np. w kategoriach dużego, średniego, małego prawdopodobieństwa.

4. OCENA SKUTKÓW

Ocena skutków wystąpienia zagrożeń wobec osób, których dane dotyczą biorących udział w procesach np. w kategoriach dużego, średniego, małego skutku dla osoby.

5. OCENA RYZYKA

Przeprowadzenie identyfikacji ryzyka dla poszczególnych kategorii osób przez pryzmat wybranego punktu odcięcia takiego jak metoda Pareto (80/20) lub innego w zależności od tzw. apetytu na ryzyko. Dobór sposobów postępowania z ryzykiem w kategoriach takich jak redukcja ryzyka do poziomu akceptowalnego, transfer ryzyka w celu jego obniżenia, unikanie ryzyka, tak by nie występowało, akceptacja ryzyka, które nie przekracza wybranego progu akceptowalności.

OPIS REALIZACJI USŁUGI

IDENTYFIKACJA PROCESÓW

W pierwszej kolejności w ramach usługi na podstawie struktury organizacyjnej oraz indywidualnych konsultacji identyfikowane są procesy przetwarzania danych osobowych. Identyfikacja odbywa się poprzez określenie kontekstu wewnętrznego i zewnętrznego organizacji. Kolejno do poszczególnych procesów przypisywani są ich właściciele biznesowi, tak by wewnątrz organizacji była osoba odpowiedzialna za zgodność procesu z RODO. Najczęściej jest to osoba, która posiada największą wiedzę o procesie oraz kompetencje do jego zmiany. Wynikiem tego etapu usługi jest kompletna lista procesów przetwarzania danych osobowych wraz z opisem wynikającym z rejestru czynności przetwarzania danych osobowych.

IDENTYFIKACJI ZAGROŻEŃ WOBEC OSÓB

W kolejnym kroku wspólnie z właścicielami procesów identyfikowane są zagrożenia naruszenia praw i wolności osób, które są określone w RODO. Do typowych zagrożeń w tym obszarze należą przetwarzanie nie prawidłowych lub niepełnych danych, gdy może dojść do pomylenia osoby z kimś innym lub wprowadzenia w błąd osoby, której dane dotyczą. Innym zagrożeniem może być nieuprawniony dostęp do danych osoby, przykładowo poprzez ujawnienie danych w obecności osób trzecich. Nieco innym przykładem zagrożeń może być przypadkowe zniszczenie jedynej kopii danych, które powinny być zabezpieczone i przechowywane zgodnie z okresem retencji. Ostatecznie weryfikuje się czy w procesie może dojść naruszenia zakazu dyskryminacji lub szkody wizerunkowej dla osoby, której dane dotyczą. W skrajanych przypadkach zagrożeniem może być kradzież tożsamości lub inne oszustwa dotyczące tożsamości, które mogą poważnie zagrozić osobie.

OCENIE PRAWDOPODOBIEŃSTWA WYSTĄPIENIA ZAGROŻEŃ

W tym kroku każde zidentyfikowane zagrożenie jest oceniane przez pryzmat prawdopodobieństwa jego wystąpienia. analizując dane historyczne oraz istniejące zabezpieczenia, jak również zasoby z wykorzystaniem, których przetwarza się dane osobowe ocenia się jak bardzo jest prawdopodobne, że zagrożenie się ziści. Najczęściej przyjmuje się metodę ilościowo-jakościową do oceny prawdopodobieństwa wystąpienia zagrożeń. Metoda ta z jednej strony uwzględnia liczbę zdarzeń, które mogły spowodować zagrożenie, a z drugiej strony realną szansę na to że do niego dojdzie przy uwzględnieniu adekwatności zastosowanych zabezpieczeń. Wynikiem tego etapu działania jest lista zidentyfikowanych zagrożeń w procesie wraz z poziomem prawdopodobieństwa ich wystąpienia. Do klasyfikacji prawdopodobieństwa najczęściej wykorzystuje się skalę 3 lub 5 stopniową określającą prawdopodobieństwa jako bardzo małe, małe, średnie, wysokie i bardzo wysokie.

OCENIE SKUTKÓW WYSTĄPIENIA ZAGROŻEŃ

W tym kroku uwzględniany jest skutek wystąpienia zagrożenia wobec osoby, czyli w jaki sposób zagrożenie wpłynie na prawa i wolności osoby, której dane dotyczą. Przykładowo pobieranie zbyt szerokiego zakresu danych od osoby w proście rekrutacji może powodować negatywne konsekwencje dla osoby w razie ich przypadkowego udostępnienia. Prowadzenie monitoringu wizyjnego obejmującego swoim zasięgiem przestrzeń publiczną może stawać ryzyko naruszenia prywatności osób, które się tam znajdują w razie ujawnienie miejsca i czasu ich pobytu. Wynikiem tego etapu DPIA jest lista procesów wraz z zagrożeniami oraz prawdopodobieństwem i ewentualnym skutkiem wystąpienia zagrożeń. Do klasyfikacji skutku najczęściej wykorzystuje się skalę 3 lub 5 stopniową określającą skutek jako bardzo mały, mały, średni, wysoki i bardzo wysoki.

OCENIE POZIOMU RYZYKA WOBEC OSÓB

Ostatnim krokiem w ramach świadczonej usługi jest przeprowadzenie działania matematycznego zgodnie z przyjętym wzorem na ryzyko. W wyniku działania część zagrożeń może powodować wysokie ryzyko naruszenia praw i wolności osoby, a część będzie stwarzała jedynie tzw. zwykłe (akceptowalne) ryzyko. Każde wysokie ryzyko zostanie opatrzone rekomendacją dotyczącą obniżenia poziomu ryzyka do tzw. zwykłego ryzyka. Rekomendacje są kształtowane w oparciu o np. redukcję ryzyka, czyli obniżenie prawdopodobieństwa lub skutku wystąpienia zagrożenia poprzez zastosowania dodatkowych zabezpieczeń. Transfer ryzyka, gdy okazuje się, że zastosowanie dodatkowych zabezpieczeń będzie nieopłacalne z ekonomicznego punktu widzenia. Unikanie ryzyka, czyli taką modyfikację procesu przetwarzania danych osobowych by do ryzyko wystąpienia zagrożenia się nie pojawiło. Jeżeli rekomendowane metody postepowania z ryzykiem nie przyniosą oczekiwanego rezultatu to przedstawiana jest rekomendacja (wraz z uzasadnieniem) zwrócenia się z organu nadzorczego o konsultacje, gdyż w procesie akceptacja ryzyka naruszenia praw i wolności osób, których dane dotyczą jest niedopuszczalna.

Narzędzia do DPIA

SAMODZIELNA ANALIZA RYZYKA
dokumentacja
od 99 zł
  • arkusz inwentaryzacji procesów
  • arkusz oceny skutków
  • arkusz analizy ryzyka
  • plan postępowania z ryzykiem

Wsparcie w DPIA

ZDALNA POMOC PRZY ANALIZE RYZYKA
zdalna pomoc
od 299 zł
  • ocena planu postępowania z ryzykiem
  • pomoc przy inwentaryzacji procesów
  • pomoc przy identyfikacji zagrożeń
  • pomoc przy ocenie ryzyka

Wspólne przeprowadzenie DPIA

ANALIZA RYZYKA KROK PO KROKU
analiza ryzyka
od 499 zł
  • plan postępowania z ryzykiem
  • inwentaryzacja procesów
  • identyfikacja zagrożeń
  • raport z oceny skutków przetwarzania

OPINIE KLIENTÓW

87%
Umiejętność przekazywania wiedzy
76%
Znajomość zagrożeń wobec zasobów
90%
Przystępność prezentowanych narzędzi
83%
Przejrzystość raportowania wyników
moje-crop

Konrad Gałaj-Emiliańczyk

Prawnik, inspektor ochrony danych, audytor wiodący systemu zarządzania ciągłością działania wg normy PN-EN ISO 22301. Wykładowca biorący udział w licznych konferencjach i seminariach, samodzielnie przeprowadził ponad 700 otwartych szkoleń i warsztatów dla administratorów bezpieczeństwa informacji. Zawodowo zajmuje się m.in. kontrolą i audytem w zakresie bezpieczeństwa informacji, tworzeniem wewnętrznych procedur i dokumentacji oraz sporządzaniem opinii prawnych. Odpowiedzialny za bezpieczeństwo informacji w kilkunastu podmiotach. Koordynator projektów wdrażania RODO w szeregu organizacji sektora prywatnego.

KONTAKT

Oferujemy kompleksowe usługi w zakresie dostosowania organizacji do RODO.

Close Menu