Jak określić poziom ryzyka dla bezpieczeństwa danych osobowych w firmie?

RODO miało wyzwolić administratorów z obowiązku nadmiernej ilości dokumentacji. Jednak liczba koniecznych do wdrożenia środków organizacyjnych, służących ochronie danych osobowych, w zatrważający sposób rośnie.

Jedną z fundamentalnych zasad ogólnego rozporządzenia o ochronie danych osobowych (RODO) jest tzw. podejście oparte na ryzyku. W dużym uproszczeniu obliguje ona administratorów danych (czyli każdego przedsiębiorcę bez względu na wielkość firmy) do wdrażania technicznych i organizacyjnych zabezpieczeń dla danych osobowych. Zabezpieczenia te muszą być adekwatne do zakresu danych oraz ich charakteru i kontekstu przetwarzania. Wszystko to z uwzględnieniem poziomu ryzyka, które to określić musi sam przedsiębiorca. I tu wszystko zaczyna się komplikować.

Klęska urodzaju

RODO miało być swoistą rewolucją i zagwarantować administratorom wyzwolenie z okowy nadmiernej ilości dokumentacji. Jak pokazało ostatnie 5 lat funkcjonowania rozporządzenia w Polsce, liczba koniecznych do wdrożenia środków organizacyjnych (polityk, procedur, regulaminów, rejestrów) nie tylko nie maleje, ale w zatrważający sposób rośnie. Za wszystko odpowiedzialna jest wprowadzona w RODO zasada rozliczalności.

W teorii zasada ta miała sprawiać, że przedsiębiorca – sam najlepiej znając swoją organizację – będzie dobierał takie procedury, które uzna za narzędzia adekwatne do niebezpieczeństw i wyzwań, które napotyka w swojej działalności. Odejście od sztywnej listy dokumentów miało stanowić swoisty powiew świeżości i ożywić nieco podejście do ochrony danych...