Podejście oparte na ryzyku czyli Risk Based Approach

Rozporządzenie unijne w sprawie ochrony danych osobowych osób fizycznych weszło w fazę trilogu, co oznacza, że doszło do ostatniego etapu legislacyjnego, który lada moment powinien zakończyć się przyjęciem ostatecznego tekstu.

Przyjęcie rozporządzenia rozpocznie dyskusję nad nim, gdyż część wprowadzanych rozwiązań nie występuje w dotychczasowym systemie prawa ochrony danych osobowych.

Dzisiaj chciałabym wspomnieć o podejściu opartym na ryzyku. Aktualnie polska ustawa o ochronie danych osobowych nie zna takiego podejścia i wszystkich administratorów danych osobowych traktuje równo to znaczy nakłada na nich takie same obowiązki. Większość małych administratorów danych osobowych uważa, iż obowiązki te są przesadą w stosunku do skali ich działalności.

Każdy administrator danych osobowych powinien przetwarzać dane z poszanowaniem wszystkich zasad ustalonych w przepisach prawa, zapewnić odpowiednie środki techniczne oraz organizacyjne w celu zabezpieczenia danych przed nieupoważnionym dostępem, prowadzić szczegółową dokumentację przetwarzania danych osobowych.

Obowiązków jest sporo, dodatkowo realizacja tych wszystkich obowiązków w sposób zgodny z prawem nie jest zadaniem łatwym, jeśli nie posiada się specjalistycznej wiedzy w zakresie ochrony danych osobowych. Wszystko to oraz dodatkowo brak właściwie brak sankcji za niestosowanie zasad powoduje, iż większość małych administratorów w swojej działalności w zasadzie nie uwzględnia prawa ochrony danych osobowych.

Rozporządzenie ustanawia mechanizmy mające na celu różnicowanie ryzyka związanego z przetwarzaniem danych osobowych przez poszczególnych administratorów danych osobowych. Jednym z takich mechanizmów jest podejście oparte na ryzyku czyli risc based approach.

Koncepcja risk based approach sprowadza się do uzależnienia zakresu obowiązków nałożonych na administratora danych od specyfiki przetwarzania danych w organizacji tego administratora oraz od ryzyka, jakie może wiązać się z ewentualnym naruszeniem bezpieczeństwa danych.

Koncepcja, która ma być ułatwieniem dla małych i średnich administratorów danych osobowych jednocześnie jest obowiązkiem dla tych właśnie administratorów przeprowadzenia takiej wstępnej analizy ryzyka. Biorąc jednak pod uwagę, że przeprowadzenie takiej analizy wymaga specjalistycznej wiedzy,  wykonanie tego obowiązku bez wsparcia specjalistów, może być po prostu niemożliwe.

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Poprzedni wpis:

Następny wpis: