Szukając ryzyk

Artykuł 32 RODO wprost zobowiązuje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewnią właściwy poziom bezpieczeństwa odpowiadający ryzyku wystąpienia naruszenia praw i wolności osób, których dane dotyczą. Co więcej, art. 35 RODO wskazuje, że jeśli dany rodzaj przetwarzania (ze względu na swój charakter, cele, zakres) może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw i wolności osób, administrator powinien przed rozpoczęciem przetwarzania dokonać oceny skutków dla ochrony danych osobowych (tzw. DPIA).

Analiza ryzyka to w gruncie rzeczy przewidywanie co może stać się z danymi osobowymi przy konkretnych procesach ich przetwarzania, a następnie ocena, jak bardzo jest to prawdopodobne i jak wiele szkód (i dla kogo) może wywołać. Te informacje są następnie odpowiednio ważone (wg wybranej przez administratora / IOD-a metody analizy ryzyka). Administrator ustala granice tolerancji ryzyka i na tej podstawie ocenia jaki poziom zabezpieczeń jest konieczny, uwzględniając przy tym swoje możliwości finansowe ich wdrożenia.

Warto dodać, że po analizę ryzyka na pewno sięgnie także organ nadzorczy w przypadku prowadzenia kontroli u administratora.

Audyt jak diagnoza lekarska

Innym procesem, który wymaga kompleksowego podejścia, jest audyt zgodności z RODO. Rzetelnie przeprowadzony audyt pokazuje słabe i silne strony całego systemu ochrony danych osobowych u administratora. Pozwala jednocześnie na sformułowanie zaleceń naprawczych. Należy pamiętać, że zgodność z RODO jest procesem ciągłym, ulegającym zmianom (na skutek działań wewnętrznych u administratora, np. zmian personalnych czy organizacyjnych, jak i na skutek działań zewnętrznych np. zmian prawa). Audyt jest zazwyczaj przeprowadzany przez inspektora ochrony danych, jednak w ścisłej współpracy z administratorem i zatrudnionymi u niego pracownikami.

Pierwszym krokiem w procesie audytowania powinno być stworzenie szczegółowego planu audytu ze wskazaniem jego obszarów oraz czasu zakończenia poszczególnych etapów. Kolejnym krokiem jest przeprowadzenie czynności audytorskich z wykorzystaniem dostępnych narzędzi (takich jak ankiety, rozmowy z pracownikami, wgląd do systemów, itp).

Właściwie przeprowadzony audyt kończy się przygotowaniem przez IOD-a sprawozdania z audytu wraz zaleceniami naprawczymi, dzięki którym administrator może osiągnąć wyższy poziom zgodności z RODO.

LEX Ochrona Danych Osobowych
Umów się na bezpłatną prezentację produktu.