10 mar

Pytanie: Czy analizę ryzyka należy przeprowadzać ogólnie dla całego systemu ochrony danych, czy lepiej dla poszczególnych czynności na danych?

Kolejne pytanie z cyklu analizy ryzyka, dotycząca tego, czy należy analizę ryzyka przeprowadzać dla całego systemu ochrony danych osobowych w naszej organizacji czy dla poszczególnych procesów przetwarzania. W zasadzie prepisy nie narzucają tutaj konkretnych wymagań na adminstratora. Z zastrzeżeniem, że jego obowiązkiem jest „regularne” testowanie zastosowanych środków technicznycz oraz organizacyjnych.

Możecie zatem właściwie zrobić jak chcecie, chociaż jeżeli się już za to zabierzecie (myślę że to pytanie zadał ktoś kto nie robił nigdy analizy), to okaże się że w zasadzie dla całego systemu ochrony danych osobowych nie da się zrobić analizy za „jedynym zamachem”. W zasadzie musiałaby to być organizacja/firma/działalność w której nie ma wielu procesów przetwarzania lub są bardzo proste, np. przetwarzanie tylko w formie papierowej.

Uważam że najlepiej jest jednak oprzeć się na czynnościach przetwarzania lub procesach przetwarzania, czyli albo na naszym rejestrze czynności przetwarzania albo po prostu na działaniach biznesowych, które są dla nas bardzo istotne. Są na tyle ważne, że gdyby doszło do naruszenia to wiemy, że to wiązałoby się nie tylko z negatywnymi skutkami dla osób, których dane dotyczą, ale także dla nas z dużym problemem biznesowym. W związku z tym uważam, że lepiej jest analizę ryzyka robić właśnie taką rozbitą, na czynności czy na procesy, a nie dla całości ochrony danych. Jak weźmiecie się za analizę, to zapewne stwierdzicie, gdyście próbowali dokonać analizy ryzyk i zagrożeń dla wszystkich procesów na raz, to jest duża szansa, że się na tym wyłożycie, bo nie wiadomo od której strony to ugryźć.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 10 marca 2021