Dyrektor Departamentu Zarządzania Danymi w MC i krajowy koordynator reformy ochronych danych osobowych mówił o tym podczas zorganizowanego niedawno przez Wolters Kluwer Polska Kongresu RODO.

Czytaj:
Ustawa o ochronie danych idzie do Sejmu>>
Urzędy muszą oszacować ryzyka dla ochrony danych>>
Kto nie uniknie oceny skutków dla ochrony danych>>

Jak zauważył, w wielu firmach i instytucjach zadawane jest obecnie pytanie, jak przeprowadzić ocenę ryzyka związanego z przetwarzaniem danych osobowych, by było to realizowane zgodnie z nowym unijnym (RODO) i krajowym prawem, a także by zostało to uznane podczas ewentulanej kontroli organu mającego po 25 maja nadzorować stosowanie tych przepisów. - Wiele osób odpowiedzialnych za tę problematykę zastanawia się, jak udowodnić przed organem kontrolującym, że dokonaliśmy rzeczywiście oceny ryzyka. I jak taką czynność przeprowadzić. My w Ministerstwie Cyfryzacji wdrożyliśmy taką praktykę, że łączymy ocenę ryzyka z rejestrem czynności przetwarzania danych osobowych - mówił dr Kawecki.

Jak przypomniał, jest to nowy obowiązek wynikajacy z RODO, który zastąpi rejestr zbiorów danych osobowych. Rejestr polega na wyodrębnieniu czynności i każdej z nich należy przyporządkować określone operacje przetwarzania danych osobowych, czyli to, co jest robione z tymi danymi. Jeżeli czynnością jest prowadzenie rekrutacji, to operacją będzie gromadzenie danych osobowych, usuwanie, aktualizowanie.



Dr Kawecki zwrócił uwagę, że ostatnią rubryką w każdej pozycji rejestru jest ocena ryzyka. - Należy wyodrębnić w naszej organizacji środki zabezpieczające, ktore jesteśmy w stanie zapewnić w naszym przetwarzaniu danych osobowych. Następnie trzeba dokonać skalowania i stworzyć skalę np. od 1 do 10, gdzie jeden to są sytuacje, w których rejestr czy zbiór wogóle nie przetwarza danych osobowych, albo przetwarza je anonimowo, a 10 to jest sytuacja, w której przetwarzamy wyłącznie dane osobowe wrażliwe w dużych ilościach. Jeśli już stworzyliśmy taką skalę, to każdej z tych pozycji na skali przyporządkowujemy określone zabezpieczenie - tłumaczył ekspert.

Jak zaznaczył, te zabezpieczenia mają czasem tylko charakter organizacyjny, nie zawsze dotyczą infrastuktury teleinformatycznej. Ale jak mówił, w przypadku najwyższego stopnia w skali konieczne jest zaplanowanie zabezpieczenia w postaci szczególnej kontroli dokonywanej przez inspektora ochrony danych osobowych na przykład co miesiąc. Stwierdził też, że formą zabezpieczenia może być ograniczony krąg osób uzyskujących dostęp do określonych baz danych. - I każdej czynności uwidocznionej w rejestrze przypisujemy odpowiedni "numerek" ze skali. A w ten sposób wykazujemy, że przypisując zabezpieczenia do każdej czynności przetwarzania danych osobowych dostosowujemy je do ryzyka, które oceniliśmy - mówił dr Kawecki.

Jak przyznał, przy tworzeniu takiego sytemu stosowane są subiektywne kryteria. - Ale ocena ryzyka zawsze jest w pewien sposób oceną subiektywną, która potem jest weryfikowana podczas ewentualnego postępowania kontrolnego przez Urząd Ochrony Danych Osobowych - stwierdził dr Maciej Kawecki.