Pytanie: Czy analizę ryzyka należy przeprowadzać ogólnie dla całego systemu ochrony danych, czy lepiej dla poszczególnych czynności na danych?
Kolejne pytanie z cyklu analizy ryzyka, dotycząca tego, czy należy analizę ryzyka przeprowadzać dla całego systemu ochrony danych osobowych w naszej organizacji czy dla poszczególnych procesów przetwarzania. W zasadzie prepisy nie narzucają tutaj konkretnych wymagań na adminstratora. Z zastrzeżeniem, że jego obowiązkiem jest „regularne” testowanie zastosowanych środków technicznycz oraz organizacyjnych.
Możecie zatem właściwie zrobić jak chcecie, chociaż jeżeli się już za to zabierzecie (myślę że to pytanie zadał ktoś kto nie robił nigdy analizy), to okaże się że w zasadzie dla całego systemu ochrony danych osobowych nie da się zrobić analizy za „jedynym zamachem”. W zasadzie musiałaby to być organizacja/firma/działalność w której nie ma wielu procesów przetwarzania lub są bardzo proste, np. przetwarzanie tylko w formie papierowej.
Uważam że najlepiej jest jednak oprzeć się na czynnościach przetwarzania lub procesach przetwarzania, czyli albo na naszym rejestrze czynności przetwarzania albo po prostu na działaniach biznesowych, które są dla nas bardzo istotne. Są na tyle ważne, że gdyby doszło do naruszenia to wiemy, że to wiązałoby się nie tylko z negatywnymi skutkami dla osób, których dane dotyczą, ale także dla nas z dużym problemem biznesowym. W związku z tym uważam, że lepiej jest analizę ryzyka robić właśnie taką rozbitą, na czynności czy na procesy, a nie dla całości ochrony danych. Jak weźmiecie się za analizę, to zapewne stwierdzicie, gdyście próbowali dokonać analizy ryzyk i zagrożeń dla wszystkich procesów na raz, to jest duża szansa, że się na tym wyłożycie, bo nie wiadomo od której strony to ugryźć.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
