RODO ocena ryzyka

Ocena ryzyka i skutków dla ochrony danych

W art. 35 RODO wprowadzono pojęcie oceny skutków dla ochrony danych. Przeprowadzenie oceny skutków dla ochrony danych wymaga się wyłącznie w przypadku, gdy przetwarzanie „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”  W przypadku stron internetowych dotyczy to głównie stron, które zbierają dane osobowe (sklepy internetowe, czaty, formularze kontaktowe czy rejestrowania) lub dokonują profilowania (remarketing, zaawansowana analityka, powiązanie z sieciami społecznościowymi).

RODO nakłada na administratorów danych obowiązek przygotowania dokumentacji, która dotyczy oceny ryzyka. Zazwyczaj  odpowiedzialne są za to osoby / specjaliści w danej dziedzinie, w której dochodzi do przetwarzania danych, w tym również danych osobowych.


Procesy przetwarzania danych na stronie internetowej

Każdy kto ma stronę internetową powinien zwrócić uwagę na procesy, które określają sposób przetwarzania danych osobowych. Ocena ryzyka strony internetowej to może zawierać następujące przykładowe dane, na które warto zwrócić uwagę:

  • opis – kto oraz jaki ma dostęp do danych związanych ze stroną internetową
  • dane dotyczące hostingu – kto i kiedy dostał dostęp i jakie pełni role
  • dane dotyczące bazy danych i strony internetowej – kto i kiedy otrzymał dostęp
  • dane określające kto i kiedy ma dostęp do panela administracyjnego
  • kto i kiedy dostał uprawnienia do obsługi redagowania strony internetowej
  • zawarte skrypty oraz kiedy zostały zainstalowane na stronie internetowej?
  • kto i od kiedy ma dostęp do statystyk?
  • jakich dokonano ustawień statystyk i czy pozwalają na remarketing?
  • czy są skrypty remarketingowe Facebooka lub AdWords, czy innych firm które ustawiają ciasteczka na stronie www?
  • w jaki sposób zarządza mailami pracowników?
  • czy jest opisana polityka informacyjna wskazująca na to jakie dane są zbierane na stronie internetowej?
  • czy na stronie internetowej są informacje o tym, jakie zgody musi wyrazić użytkownik?
  • czy strona internetowa umożliwia wycofanie zgód na przetwarzanie danych oraz na profilowanie?
  • kto ma dostęp do kont w świecie Social Media (LinkedIn, Facebook, Twitter, Instagram)
  • jakie role osób w Social Mediach?
  • kto ma dostęp do danych kampanii reklamowej i kto przygotowuje takie kampanie?
  • kto prowadzi politykę pozycjonowania strony internetowej?

Są to rzeczy, które powinien wiedzieć każdy, kto prowadzi stronę internetową. Agencje reklamowe, powinny szczegółowo informować i udzielać konsultacji, w ocenie ryzyka swoim klientom, szczególnie tym którzy prowadzą działalność w internecie, i posiadają kampanie reklamowe, które wpływają na decyzje.

Obowiązek sporządzenia szczegółowej oceny ryzyka zachodzi wtedy, gdy biznes może zbierać informacje i profilować pod kątem reklamy, o czym napisane jest w RODO: “zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną


Kryteria kiedy trzeba przeprowadzać ocenę ryzyka

Analizując procesy związane ze stroną internetową trzeba zwrócić uwagę na to czy:

  • dochodzi do oceny czy profilowania i wobec tego treść jest przedstawiona na stronie tak, że jest zależna od spełnienia warunków na przykład testów A/B i optymalizacyjnych, innymi słowy czy stosujemy personalizację treści
  • dochodzi do profilowania i dynamicznego ustalania kryteriów np: ceny
  • ma się dostęp do informacji prywatnych danej osoby np: niepełnosprawność, poglądy polityczne czy informacje o stanie finansowym
  • dochodzi do łączenia różnych zbiorów danych np: próbujemy powiązać dane z emailingu z danymi z Google Analytics
  • dochodzi do wdrożenia nowej funkcjonalności na stronie internetowej, w której dochodzi do zbierania danych. W tym przypadku zastosowanie zasady design by privacy i privacy by default oznacza, że każde wykorzystanie innowacji na stronie internetowej powinna poprzedzać analiza ryzyka, np. na stronie nie było czatu opartego na Messengerze, wprowadzenie takiego chatu wymaga przeprowadzenia dodatkowych prac nad aktualizacją oceny ryzyka
  • jest prowadzony systematyczny monitoring danych
  • obsługą danych zajmuje się więcej niż odpowiednia liczba osób (poza administratorem) i czy podpisane są umowy o powierzenie danych

Grupa która opracowała wskazówki co do tworzenia oceny ryzyka, uważa że prawdopodobieństwo, że trzeba przygotować ocenę ryzyka zależy od tego, czy wystąpią co najmniej 3 cechy z powyższej listy. Jeżeli występują jedna lub dwie cechy w procesach związanych ze stroną internetową, to nie ma obowiązku robienia dokumentacji z oceny ryzyka. Niemniej jest to zalecane ze względu na to, że brak takiej dokumentacji może powodować ryzyko ponoszenia konsekwencji, z powodu wycieku danych osobowych. W sumie ocena ryzyka pozwala na lepsze przygotowanie w świetle kryzysowych sytuacji.

Jak przygotować się do oceny ryzyka strony internetowej ?

We współpracy z agencją reklamową, software house lub webdeveloperem zaleca się, na etapie projektowania strony internetowej uwzględnić sytuacje związane z bezpieczeństwem: hosting, kody źródłowe, formularze, emaile, analitykę. W każdym przypadku warto też podpisywać umowy o przetwarzanie danych. Jeżeli właściciel strony internetowej powoła inspektora ochrony danych to musi on brać udział w konsultacjach, a wnioski muszą zostać umieszczone w dokumentacji oceny ryzyka. Zalecane jest szukanie dobrych praktyk w danej branży. Jeżeli chodzi o branżę interaktywną, to jest to spore zamieszanie, ze względu na to że ludzie oczekują konkretów w kwestii przystosowania, podczas gdy prawo daje duże pole do interpretacji i wykorzystania danych, a w tym danych osobowych

Dobre praktyki w ocenie ryzyka

W RODO określono minimalne cechy, jakie powinna posiadać ocena skutków dla ochrony danych (art. 35 ust. 7 oraz motywy 84 i 90), a mianowicie:

  • opis planowanych operacji i celów przetwarzania danych strony internetowej
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne na przykładzie strony internetowej
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą wobec osób korzystających ze strony internetowej
  • środki planowane w celu zapobiegania ryzyku czy występowaniu sytuacji kryzysowych
  • środki planowane w celu wykazania przestrzegania niniejszego rozporządzenia

Ponieważ dokumentacja oceny ryzyka i przetwarzania danych jest procesem ciągłym to efekty będą z korzyścią dla wszystkich

Źródło informacji https://giodo.gov.pl/pl/1520285/10078

Jak bardzo podoba Ci się ten wpis?

Średnia ocena: 0 / 5. Ilość głosów: 0

Rozwiń z nami swój biznes on-line

Zapytaj o bezpłatną wycenę.

bezpłatna wycena