fbpx


RODO ocena ryzyka

Ocena ryzyka i skutków dla ochrony danych

W art. 35 RODO wprowadzono pojęcie oceny skutków dla ochrony danych. Przeprowadzenie oceny skutków dla ochrony danych wymaga się wyłącznie w przypadku, gdy przetwarzanie „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”  W przypadku stron internetowych dotyczy to głównie stron, które zbierają dane osobowe (sklepy internetowe, czaty, formularze kontaktowe czy rejestrowania) lub dokonują profilowania (remarketing, zaawansowana analityka, powiązanie z sieciami społecznościowymi).

RODO nakłada na administratorów danych obowiązek przygotowania dokumentacji, która dotyczy oceny ryzyka. Zazwyczaj  odpowiedzialne są za to osoby / specjaliści w danej dziedzinie, w której dochodzi do przetwarzania danych, w tym również danych osobowych.


Procesy przetwarzania danych na stronie internetowej

Każdy kto ma stronę internetową powinien zwrócić uwagę na procesy, które określają sposób przetwarzania danych osobowych. Ocena ryzyka strony internetowej to może zawierać następujące przykładowe dane, na które warto zwrócić uwagę:

Są to rzeczy, które powinien wiedzieć każdy, kto prowadzi stronę internetową. Agencje reklamowe, powinny szczegółowo informować i udzielać konsultacji, w ocenie ryzyka swoim klientom, szczególnie tym którzy prowadzą działalność w internecie, i posiadają kampanie reklamowe, które wpływają na decyzje.

Obowiązek sporządzenia szczegółowej oceny ryzyka zachodzi wtedy, gdy biznes może zbierać informacje i profilować pod kątem reklamy, o czym napisane jest w RODO: “zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną


Kryteria kiedy trzeba przeprowadzać ocenę ryzyka

Analizując procesy związane ze stroną internetową trzeba zwrócić uwagę na to czy:

Grupa która opracowała wskazówki co do tworzenia oceny ryzyka, uważa że prawdopodobieństwo, że trzeba przygotować ocenę ryzyka zależy od tego, czy wystąpią co najmniej 3 cechy z powyższej listy. Jeżeli występują jedna lub dwie cechy w procesach związanych ze stroną internetową, to nie ma obowiązku robienia dokumentacji z oceny ryzyka. Niemniej jest to zalecane ze względu na to, że brak takiej dokumentacji może powodować ryzyko ponoszenia konsekwencji, z powodu wycieku danych osobowych. W sumie ocena ryzyka pozwala na lepsze przygotowanie w świetle kryzysowych sytuacji.

Jak przygotować się do oceny ryzyka strony internetowej ?

We współpracy z agencją reklamową, software house lub webdeveloperem zaleca się, na etapie projektowania strony internetowej uwzględnić sytuacje związane z bezpieczeństwem: hosting, kody źródłowe, formularze, emaile, analitykę. W każdym przypadku warto też podpisywać umowy o przetwarzanie danych. Jeżeli właściciel strony internetowej powoła inspektora ochrony danych to musi on brać udział w konsultacjach, a wnioski muszą zostać umieszczone w dokumentacji oceny ryzyka. Zalecane jest szukanie dobrych praktyk w danej branży. Jeżeli chodzi o branżę interaktywną, to jest to spore zamieszanie, ze względu na to że ludzie oczekują konkretów w kwestii przystosowania, podczas gdy prawo daje duże pole do interpretacji i wykorzystania danych, a w tym danych osobowych

Dobre praktyki w ocenie ryzyka

W RODO określono minimalne cechy, jakie powinna posiadać ocena skutków dla ochrony danych (art. 35 ust. 7 oraz motywy 84 i 90), a mianowicie:

Ponieważ dokumentacja oceny ryzyka i przetwarzania danych jest procesem ciągłym to efekty będą z korzyścią dla wszystkich

Źródło informacji https://giodo.gov.pl/pl/1520285/10078

RODO ocena ryzyka
5 (100%) 1 głosów]

Dodano 27 kwietnia 2018 przez Michał Małaj