Szacowanie ryzyka i identyfikacja potencjalnego ryzyka

Szacowanie ryzyka wiążącego się z przetwarzaniem danych osobowych rozpoczyna się od identyfikacji ryzyka, czyli ustalenia, jakie niepożądane zdarzenia mogą wystąpić i na jakie zasoby i aktywa mogą one oddziaływać, powodując tym samym negatywne skutki.

Proces identyfikacji ryzyk rozpoczyna się od:

  1. określenia aktywów (zasobów) oraz ich wzajemnych powiązań:
    • jakie posiada się zasoby informacyjne zawierające dane osobowe,
    • jakie posiada się środki służące do przetwarzania danych osobowych,
    • kto uczestniczy w przetwarzaniu danych osobowych,
    • w jakich obszarach (pomieszczeniach, budynkach) dane są przetwarzane;
  2. zidentyfikowania i sporządzenia listy zagrożeń odnoszących się do danych osobowych oraz aktywów uczestniczących w procesie przetwarzania oraz ich źródeł; zagrożenia powinny być podzielone na typy (naturalne, społeczne, techniczne itp.);
  3. określenia listy istniejących zabezpieczeń oraz planowania dodatkowych zabezpieczeń, jeżeli te posiadane w jednostce nie są wystarczające; zasoby zabezpiecza się m.in. stosując zabezpieczenia techniczne, budowlane, organizacyjne oraz informatyczne;
  4. określenia podatności zasobów na poszczególne zagrożenia z uwzględnieniem zastosowanych zabezpieczeń;
  5. określenia incydentów, których zaistnienie może prowadzić do naruszenia praw osób fizycznych, których dane są przetwarzane, lub może prowadzić do zniszczenia, utraty, zmodyfikowania, nieuprawnionego dostępu oraz szeregu innych negatywnych następstw.