Informujemy, że używamy informacji zapisywanych za pomocą plików cookies i podobnych technologii, a także uzyskujemy dostęp do tych informacji w celach statystycznych oraz zapewnienia prawidłowego działania strony www, a w szczególności utrzymania sesji po zalogowaniu. Korzystanie z naszej strony www bez zmiany standardowych ustawień przeglądarki internetowej oznacza, że wyrażasz zgodę na zapisanie plików cookies w pamięci urządzenia końcowego oraz uzyskanie dostępu do informacji zapisanych w tych plikach.

Więcej szczegółów, w tym na temat  zmiany ustawień przeglądarki internetowej znajdziesz w naszej Polityce Prywatności.

OCHRONA DANYCH OSOBOWYCH
PROWADZONY PRZEZ:

Analiza ryzyka - kilka uwag wstępnych - cz.1
Dodano: 27-01-2014 w kategorii: Zasady przetwarzania danych osobowych, Obowiązki ADO i ABI. Dodane przez: Piotr Kawczyński.

System zarządzania bezpieczeństwem informacji
Odpowiedni poziom ochrony danych osobowych można uzyskać poprzez wprowadzenie rozwiązania systemowego, jakim jest system zarządzania bezpieczeństwem informacji (SZBI). Wymagania dla tego systemu zostały określone w normie PN-ISO/IEC 27001. Należy przy tym zauważyć, że wskazana norma nie jest dokumentem obowiązkowym do stosowania w podmiotach, lecz korzystanie z niej ułatwia organizację bezpieczeństwa informacji w tym organizację ochrony danych osobowych. Przystępując do rozważań nt. analizy ryzyka, należy rozpocząć od określenia kilku podstawowych definicji.

Podstawowe definicje
Zgodnie z art. 6 ust. 1 Ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można określić drogą bezpośrednią lub pośrednią wykorzystując do tego celu jeden lub kilka czynników specyficznych określających cechy fizyczne, fizjologiczne, społeczne, kulturowe lub ekonomiczne. W ostatnich latach, szczególnie uwzględniając szybki rozwój technologii, powyższy katalog został rozszerzony o takie informacje jak adres email, numer telefonu komórkowego, adres IP komputera czy Nick i login. Te dane są powszechnie uznane, jako dane zwykłe.

Istnieje druga grupa tzw. danych wrażliwych, nazywanych również danymi sensytywnymi, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową. Są to również informacje określające nałogi, orientację seksualną, stan zdrowia, kod genetyczny oraz kwestie związane ze skazaniami, mandatami karnymi i orzeczeniami o ukaraniu.

Zbiorem danych w rozumieniu art. 7 pkt 1 Ustawy z dnia 29 sierpnia o ochronie danych osobowych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych wg. określonych kryteriów, niezależnie od tego, czy ten zestaw jest rozproszony lub podzielony funkcjonalnie.

Zarówno dane zwykłe jak i dane wrażliwe są informacjami, które muszą być odpowiednio sklasyfikowane pod kątem priorytetów, wrażliwości, wartości dla organizacji oraz poziomu ochrony.
Na podstawie powyższych definicji trzeba uznać, że dane osobowe cechuje różny stopień wrażliwości, co wymaga stosowania wielu poziomów ochrony w tym opierania się o wytyczne takich aktów jak m.in.: norma PN-ISO/IEC 27001. Podczas wdrażania systemu ochrony danych osobowych jednym z ważnych elementów jest identyfikowanie zbiorów danych osobowych a następnie szacowanie ryzyka.

Norma PN-ISO/IEC 27001 wprowadza ważną definicję aktywów, czyli wszystkiego, co ma wartość dla organizacji. Zbiory danych osobowych należy traktować właśnie, jako jedno z aktywów podstawowych (informacje) tuż obok procesów i działań biznesowych.
Istnieją aktywa wspierające tzn. takie, na których opierają się aktywa podstawowe, zaliczamy do nich sprzęt, oprogramowanie, personel, strukturę organizacyjną, siedzibę, wyposażenie oraz systemy i sieci.

Proces zarządzenia ryzykiem
Kolejnym ważnym działaniem jest proces zarządzania ryzykiem w organizacji. Najważniejsze etapy zarządzania ryzykiem to:
a. identyfikacja ryzyka,
b. oszacowanie wpływu na działalność,
c. oszacowanie słabych punktów i zagrożeń,
d. wdrożenie planu zarządzania ryzykiem,
e. pomiary zgodności,
f. pomiary wpływu na działalność,
g. przegląd i monitorowanie.
Bardzo często zarządzanie ryzykiem jest rozumiane jako całkowity proces identyfikacji, kontrolowania i postępowania z ryzykiem, który ma wpływ na bezpieczeństwo organizacji.

Metody szacowania ryzyka
Wśród dostępnych metod szacowania ryzyka, występują trzy grupy, które można podzielić na:
a. metody ilościowe,
b. metody jakościowe,
c. metody mieszane.

Najczęściej stosowane i znane metody to te, które wprost wynikają z norm np.: ISO/IEC TR 13335-3, metoda Cobra, Cramm, Mehari, Marion i Octave.

Kolejną część poświęcimy na charakterystykę metod szacowania ryzykiem oraz ich zestawienie pod kątem zalet i wad. Trzecia część będzie dotyczyła zasad postępowania z ryzykiem.

Piotr Kawczyński

e-mail:

dane osobowe , dane wrażliwe , zbiór danych

Linkedin
comments powered by Disqus

Polecamy również…

Ogólne rozporządzenie o ochronie danych osobowych opublikowane

Czas zacząć odliczanie. Zmiany są bardzo duże, dlatego lepiej nie czekać aż dwóch lat na wejście w życie rozporządzenia.
Dodano: 04-05-2016

Czy zasada terytorialności w ochronie danych osobowych ma jeszcze sens?

Europejski Trybunał Sprawiedliwości w sprawach dotyczących ochrony danych co raz częściej odchodzi od jurysdykcji opartej na zasadzie terytorialności....
Dodano: 19-04-2016

Monitoring osiedla a dane osobowe

Zamykanie osiedli i stosowanie na ich obszarze monitoringu jest coraz bardziej powszechne. Działaniom takim przyświecają przede wszystkim względy bezp...
Dodano: 12-04-2016

Alerty prawno-podatkowe

Kategorie

Dla kogo

Tagi

ABI, ADO, akta osobowe, aplikacje mobilne, atak hakerów, bezpieczeństwo danych, chmura obliczeniowa, cloud computing, compliance, dane biometryczne, dane osobowe, dane telekomunikacyjne, dane wrażliwe, decyzje GIODO, działalność prasowa, instrukcja zarządzania systemem informatycznym, inteligentne liczniki, klauzula prasowa, kontrola GIODO, monitoring, ochrona danych, polityka bezpieczeństwa, powierzenie, pozew zbiorowy, pracodawca, pracownik, procesor, prywatność, przesłanki przetwarzania, przetwarzanie danych, reforma ochrony danych, regulamin, rejestracja zbiorów, retencja danych, rozporządzenie unijne, smart metering, sprawdzenie, sprawozdanie, udostępnienie, upoważnienie, wizerunek, wyciek danych, zbiór danych, zgoda, zmarły

Polub nas

Newsletter

Zapisz się już teraz do naszego newslettera.

Informujemy, że podanie adresu e-mail jest dobrowolne, przy czym niezbędne do korzystania z Newslettera. Osobie wypełniającej formularz przysługuje prawo dostępu do treści jej danych osobowych oraz ich poprawiania. Administratorem danych osobowych jest Lubasz i Wspólnicy Kancelaria Radców Prawnych sp.k. z siedzibą w Łodzi, ul. Żwirki 17, 90-539 Łódź, zarejestrowana w rejestrze przedsiębiorców KRS pod numerem 465886, której akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, NIP 725-20-68-627, e-mail: Dane osobowe zawarte w powyższym formularzu będą przetwarzane w celu realizacji usługi Newsletter oraz w celach marketingowych. Szczegółowe informacje znajdują się w Polityce prywatności.

Wydawca

[email protected]
2024 © portalodo.com Wszelkie prawa są chronione

Made by Webstyler