Europejskie rozporządzenie o ochronie danych osobowych (RODO lub z ang. General Data Protection Regulation – GDPR) wprowadza zasadę rozliczalności, czyli odpowiedzialność podmiotów przetwarzających dane osobowe do stosowania odpowiednich środków organizacyjnych i technicznych oraz wykonywanie systematycznej analizy ryzyka związanego z zastosowanymi środkami ochrony. Wdrożenie procesu analizy ryzyka w organizacji będzie podstawowym elementem budowy systemu ochronny danych osobowych.
Czynności analizy ryzyka sprowadzają się do przeanalizowania adekwatności stosowanych zabezpieczeń do istniejących zagrożeń, zakresu przetwarzania danych, kategorii danych, które są przetwarzane, z uwzględnieniem specyfiki jednostki oraz jej warunków techniczno-organizacyjnych, w ramach których dochodzi do przetwarzania danych osobowych. Dzięki analizie ryzyka dowiedzą się Państwo, jakie rodzaje zabezpieczeń należy zastosować w organizacji, które z obszarów są kluczowe oraz jakie działania należy wykonać, aby być w pełni zgodnym z wymaganiami RODO.
W ramach procesu analizy ryzyka RODO przeprowadzimy m.in.:
- identyfikacje i inwentaryzacje procesów przetwarzania danych osobowych,
- identyfikację kategorii danych i ich wrażliwości;
- identyfikację zagrożeń dla poszczególnych kategorii;
- identyfikację zasobów informatycznych;
- identyfikację adekwatnych zabezpieczeń do zagrożeń;
- ocenę obecnie stosowanych zabezpieczeń i ich skuteczność;
- ocenę wyników szacowania ryzyka;
- oszacowanie ryzyka wiążące się z procesem przetwarzania danych;
- określenie celów przetwarzania danych osobowych;
- określenie parametrów szacowania i oceny ryzyka;
- przygotowanie planu postępowania z ryzykiem;
- określenie następstw wystąpienia zagrożeń dla ochrony danych osobowych;
- określenie i identyfikacja zagrożeń dla poszczególnych kategorii danych;
W efekcie końcowym klient otrzyma raport z analizy ryzyka wraz z wynikiem przeprowadzonej oceny oraz wytycznymi i rekomendacjami, które muszą być zastosowane w celu uniknięcia negatywnych konsekwencji w stosunku do przetwarzania konkretnej kategorii danych.