Aplikacja do oceny ryzyka dla ochrony danych

1) Dlaczego mam przeprowadzić ocenę ryzyka dla ochrony danych osobowych?

Dane osobowe funkcjonują dziś w świecie jak odrębna waluta. Jednak w odróżnieniu od tradycyjnych walut są one bardzo powiązane z podmiotami danych i dostarczają nam różnych informacji na ich temat. W złych rękach mogą posłużyć do wyrządzenia szkody osobie, której dane dotyczą.

Do niedawna tylko wąska grupa ekspertów zajmowała się tym tematem. Wszystko zmieniło RODO. Od czasu jego wejścia w życie, temat ochrony danych osobowych jest powszechnie znany. Każdy podmiot, który chce prowadzić swoją działalność w Europie lub we współpracy z partnerami z UE, powinien wdrożyć kluczowe rozwiązania pozwalające na uzyskanie poziomu ochrony wymaganego rozporządzeniem.

Wdrożenie sytemu zarządzania ryzykiem w ochronie danych osobowych jest fundamentalnym elementem rozwiązań promowanych tym rozporządzeniem. Logika RODO opiera się na szacowaniu ryzyka i dobieraniu adekwatnych do niego rozwiązań.

2) Dlaczego rozwiązanie proponowane przez DAPR?

Realizowane przez nas podejście pozwala na skuteczne zidentyfikowanie najistotniejszych zagrożeń dla ochrony danych osobowych w organizacji oraz sprawne przeprowadzenie inwentaryzacji aktywów i procesów przetwarzania. Przejrzyste uporządkowanie tych kwestii znacząco ułatwia późniejsze postępowanie z ryzykiem.

Na rynku istnieje wiele rozwiązań, jednak rzadko które spełniają minimalne wymogi postawione przez prawodawcę europejskiego. Nasze rozwiązanie uwzględnia pełne spektrum oceny ryzyka wskazane w RODO, a także uwzględnia metodykę przedstawianą przez normy ISO z rodziny 27 000. Dzięki temu, po przeprowadzeniu oceny ryzyka naszą metodą bardzo łatwo jest przejść do certyfikacji zgodności systemu zarządzania bezpieczeństwem informacji z wymaganiami w/w normy.

Zadbaliśmy również o funkcjonalność i wygodę przy dalszej aktualizacji arkusza oceny ryzyka. Dzięki temu, przeszkolona osoba odpowiedzialna za ochronę danych osobowych będzie mogła szybko i wygodnie spełniać obowiązek systematycznej aktualizacji oceny ryzyka.

Nasze rozwiązanie zostało pozytywnie ocenione przez klientów. Z zadowoleniem stwierdzamy, że okazało się ono bardzo skuteczne w identyfikowaniu kluczowych zagrożeń dla ochrony danych osobowych, a jego zastosowanie przyczyniło się do wzrostu poziomu bezpieczeństwa aktywów informacyjnych naszych klientów.

3) Co będzie owocem pracy w aplikacji?

Obecnie w aplikacji końcowym efektem będzie:

  1. Uzupełniony Rejestr Czynności Przetwarzania Danych Osobowych (RCP).
  2. Przeprowadzona Ogólna ocena ryzyka pozwalająca na dostosowanie posiadanych zabezpieczeń do poziomu ryzyka.
  3. Przeprowadzona Ocena skutków dla ochrony danych w myśl artykułu 35 RODO.
  4. Upoważnienia dla pracowników.

4) W jaki sposób wyglądała praca?

W pierwszej kolejności, w ramach opracowywania RCP należy przeprowadzić inwentaryzację wszystkich aktywów wspierających, uczestniczących w procesach przetwarzania danych osobowych. Oznacza to, że w Państwa organizacji zostanie dokonany przegląd m.in. infrastruktury IT. Równolegle należy określić i opisać wszystkie procesy przetwarzania danych osobowych w organizacji.

Następnie z wykorzystaniem Państwa wiedzy o organizacji, opracowany zostanie katalog potencjalnych zagrożeń oraz wskazane zostaną aktywa, na które zagrożenia te mogą oddziaływać. Pozwoli to, przy wykorzystaniu uzupełnionych już rejestrów finalnie oszacować ryzyko dla podmiotów danych, czyli osób, których dane dotyczą.

Dla czynności przetwarzania  o dużym prawdopodobieństwie wystąpienia wysokiego ryzyka zostanie przeprowadzona ocena skutków dla ochrony danych (tzw. DPIA). Dzięki niej, Państwa organizacja będzie miała pełną wiedzę na temat procesów wiążących się
z największym ryzykiem, co pozwoli na podjęcie możliwie najskuteczniejszych działań.

Poniżej zaprezentowaliśmy ogólny schemat usługi oceny ryzyka dla Państwa organizacji.

5) Jak działa nasza aplikacja?

Nasza aplikacja działa w oparciu o program Microsoft Excel. Przechodząc przez poszczególne arkusze skoroszytu, w pierwszej kolejności uzupełniane są aneks oraz rejestr czynności, a następnie dokonywana jest ogólna ocena ryzyka oraz DPIA, jeśli okaże się to konieczne. Na samym końcu tej analizy aplikacja umożliwia podjęcie decyzji co do zidentyfikowanego ryzyka oraz przygotowanie planów postępowania z ryzykiem. Ponadto aplikacja umożliwia wygenerowanie upoważnień do przetwarzania danych osobowych poprzez przypisanie pracowników do procesów, w które są zaangażowani.

Aplikacja pozwala na przeprowadzenie szczegółowej oceny procesu poprzez określenie jakie zagrożenia oddziałują na aktywa, które są w danym procesie wykorzystywane. Takie połączenie tych trzech aspektów: zagrożenia, aktywa i procesu, pozwala na określenie ryzyka  naruszenia praw i wolności osób, których dane dotyczą w związku ze ziszczeniem się określonego zagrożenia.

Przygotowane przez nas narzędzia automatyzują powtarzalne czynności. Dzięki temu zadania wymagającej żmudnej pracy wykonuje za nas aplikacja. Wykorzystując funkcję filtrowania można przeglądać wyniki według aktywów wspierających, zagrożeń, osób odpowiedzialnych, procesów i wielu innych kategorii, zgodnie z naszymi potrzebami.

W ramach aplikacji przygotowaliśmy moduł raportów, które automatycznie wskazują kluczowe aktywa oraz najbardziej istotne zagrożenia.

6) Wymagania sprzętowe

Dla poprawnego działania aplikacja wymaga środowiska Windows oraz Microsoft Excel 2016 i nowsze.

 

W celu korzystania z aplikacji należy wykupić licencję okresową. W przypadku zainteresowani naszą ofertą uprzejmie prosimy o kontakt. Oczywiście jesteśmy gotowi wspierać Państwa na każdym etapie prac związanych z analizą ryzyka w organizacji.

Proszę o kontakt!

Mikołaj Otmianowski

605 884 408 albo m.otmianowski@dapr.pl