Julia Wawrzyńczak

Julia Wawrzyńczak
Aplikant
julia.wawrzynczak@lubasziwspolnicy.pl

portalgdpr (2)

Nowe narzędzie do analizy ryzyka

Dodano: październik 15, 2019 Kategoria: E-Commerce, Ochrona Danych Osobowych, Odpowiedzialność, Wszystkie wpisy Autor: Julia Wawrzyńczak

Podejście oparte na ryzyku (risk-based approach) stanowi trzon ogólnego rozporządzenia o ochronie danych osobowych. Na jego podstawie prawodawca unijny nałożył na administratora i podmiot przetwarzający liczne obowiązki, których sposób realizacji zależeć będzie od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz ryzyka naruszenia praw i wolności podmiotów danych. Przyjęcie takiego modelu ma na celu zapewnienie administratorom większej swobody w doborze metod przetwarzania i środków bezpieczeństwa danych. Główną ideą nowego rozporządzenia było bowiem odejście od sztywnych ram ochrony na rzecz elastycznego podejścia.

Przedmiotem analizy ryzyka jest ocena możliwości powstania negatywnych skutków dla praw i wolności osób fizycznych, których dane są przetwarzane. Do naruszenia tych wartości najczęściej dochodzi na skutek niewłaściwego wdrożenia procedur przetwarzania danych, a w konsekwencji nieprawidłowo dostosowanych środków ochrony przetwarzania do skali ryzyka.

Proces szacowania ryzyka

W pierwszej kolejności administrator musi samodzielnie przeprowadzić szczegółową analizę procesów przetwarzania danych, na podstawie której następnie oceni ryzyko tego przetwarzania dla praw i wolności osób, których dane są przetwarzane. Gdy będzie już świadomy jaki stopień ryzyka generują dane procesy przetwarzania danych, powinien wdrożyć odpowiednie środki zapobiegające wystąpieniu negatywnych skutków dla podmiotów danych. Administrator wybierając metodę analizy ryzyka powinien uwzględnić związek głównego przedmiotu swojej działalności z przetwarzaniem danych, możliwości finansowe i organizacyjne, jak też osobiste preferencje.

Wyróżnia się dwie główne metody szacowania ryzyka - jakościowe i ilościowe. Pierwsza z nich cechuje się prostotą i dużym stopniem ogólności. Metody ilościowe zaś są dużo bardziej precyzyjne, zamiast bowiem wartości ocennych, atrybutom przypisywane są konkretne wartości liczbowe. Wybór najdogodniejszej i najbardziej adekwatnej metody, jak też narzędzi do przeprowadzenia analizy ryzyka, prawodawca unijny pozostawił administratorowi.

Podczas szacowania ryzyka, istotne znaczenie ma także odpowiednie udokumentowanie każdego etapu procesu, tak aby możliwe było dokonanie oceny pod kątem rzetelności i rozliczalności przez podmiot trzeci, w szczególności przez organ nadzorczy. Ponadto, administrator musi mieć na uwadze, że analiza ryzyka nie jest jednorazową procedurą, bowiem musi być powtarzana za każdym razem kiedy będą wdrażane nowe inicjatywy bądź zmienią się warunki przetwarzania danych.

Szybka i rzetelna analiza ryzyka z Risk Trackerem

Analiza ryzyka z uwagi na swoją złożoność i wieloaspektowość, może wydawać się zawiła i przysparzać administratorom wielu trudności. Aby ułatwić im to zadanie, zespół prawników i informatyków Kancelarii Radców Prawnych – Lubasz i Wspólnicy, opracował aplikację GDPR Risk Tracker, dzięki której administratorzy danych bez specjalistycznej wiedzy mogą samodzielnie przeprowadzić analizę ryzyka zgodną z przepisami RODO. Nowatorska aplikacja pozwala na zautomatyzowane przeprowadzenie i udokumentowanie procesu szacowania ryzyka w sposób obiektywny i jednolity. Aplikacja prowadzi użytkownika przez cały proces analityczny przy wykorzystaniu licznych podpowiedzi i wyjaśnień, czemu towarzyszy przyjazny interfejs i czytelne komunikaty. Aplikacja umożliwia również m.in. prowadzenie rejestru powierzeń, weryfikację transferów danych do państw trzecich oraz ustalenie polityki retencyjnej danych.

Na końcowym etapie analizy generowany jest raport, w którym znajdzie się podsumowanie procesu oraz rekomendacje nakierowane na zmniejszenie ryzyka. Ponadto raport stanowi dokument wykazujący przeprowadzenie przez administratora profesjonalnej i pogłębionej analizy ryzyka oraz oceny skutków przetwarzania dla ochrony danych.

Więcej na temat GDPR Risk Tracker oraz sposobu działania aplikacji można dowiedzieć się z darmowego e-booka dostępnego na stronie https://www.gdprrisktracker.pl/ . Szczegółowa prezentacja aplikacji będzie miała miejsce podczas Konwentu Ochrony Danych i Informacji, który odbędzie się w Łodzi 19 listopada 2019 r. Udział w wydarzeniu jest bezpłatny, a rejestracja możliwa jest na stronie https://www.konwentodo.pl

 

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Julia Wawrzyńczak

Julia Wawrzyńczak
Aplikant
julia.wawrzynczak@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

NULL

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: info@lubasziwspolnicy.plJakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: info@lubasziwspolnicy.plJakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: info@lubasziwspolnicy.plJakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.