Rizikový profil pre prevádzkovateľov osobných údajov

Pre koho je vypracovanie rizikového profilu dôležité 

V ére GDPR je zodpovedné spracúvanie osobných údajov kľúčové pre každého prevádzkovateľa. Hoci konzultácie  s poradcom alebo s DPO poskytujú cenné usmernenia, vypracovanie podrobného rizikového profilu spracovateľských operácií predstavuje zásadný krok k skutočnému pochopeniu a riadeniu rizík spojených s ochranou osobných údajov. Nejde ale o náhradu auditu. Môže však ísť o jeho doplnok. Rizikový profil je lacnejší ako audit a môže byť jeho dočasnou náhradou.

Zásady vypracovania rizikového profilu z pohľadu GDPR sú úplne rovnaké ako pri platforme ISO 27001 a TISAX. Osobné údaje sú v tomto význame totiž podmnožinou ochrany aktív (aj dát ako celok), ktoré ISO 27001 a TISAX pokrýva.

Vypracovanie rizikového profilu nie je priamo nariadením GDPR požadované. Podobne ako nie je priamo požadovaná ani RACI matica. Ale osobne si neviem dobre urobenú GDPR agendu bez RACI matice ani predstaviť. Podobne mi rizikový profil chýba teda aj pri internej GDPR agende prevádzkovateľa. Jej potreba  aj nepriamo z nariadenia GDPR vyplýva.

Rizikový profil môže byť zaujímavý pre rôzne typy prevádzkovateľov osobných údajov, ktorí si uvedomujú, že svoju internú GDPR agendu, procesy a dokumentáciu:

• nemajú urobenú vôbec, ale pre svoje interné potreby by radi vedeli, ako veľmi sú na tom zle. Výsledok spracovania ich však pred prípadnými sankciami nijako nechráni a stále platí, že osobné údaje spracovávajú nezákonne (nie sú v súlade s nariadením GDPR). Ich obchodní partneri by s nimi za týchto okolností nemali vôbec spolupracovať. Môže to však byť impulzom k tomu, aby si GDPR agendu nechali urobiť profesionálom, dostali sa do súladu a nechali sa aj dokonale zaškoliť;
• majú urobenú (aj GDPR procesy a aj dokumentáciu), ale je zastaralá a neodzrkadľuje rôzne doplňujúce metodické pokyny či usmernenia vydané od 5/2018. Investície do updatu by aj zvážili, ak by ale vedeli, ako veľmi sa už vzdialili od súladu s nariadením GDPR a či by zdokumentované riziko vedeli akceptovať alebo nie. Ich obchodní partneri by za týchto okolností tiež nemali s nimi spolupracovať, ale realita je taká, že často ani obchodní partneri nevedia posúdiť, či druhá strana je ešte v súlade s nariadením alebo nie. Postačuje im ako dôkaz súladu formálne pripravená informačná povinnosť na web stránke druhej strany a podpísaná DPA (Data Protection Agreement) zmluva. Podpísanie tejto DPA zmluvy medzi Prevádzkovateľom a Sprostredkovateľom je mimochodom zákonnou povinnosťou;
• majú urobenú (aj GDPR procesy a aj dokumentáciu) v súlade s nariadením, ale ide o tak komplexný a zložitý proces, že sa v problematike strácajú a nepoznajú svoju celkovú situáciu. O to skôr, ak sa tejto téme nikto v organizácii nevenuje profesionálne.

Prečo je dobré mať spracovaný GDPR rizikový profil 

Tu sú presvedčivé dôvody, prečo by mal každý prevádzkovateľ investovať do vytvorenia takéhoto profilu:

• Proaktívne riadenie rizík a prevencia incidentov
• Právna ochrana a demonštrácia zodpovednosti
• Optimalizácia investícií do bezpečnosti
• Zvýšenie dôvery zákazníkov a partnerov
• Uľahčenie súladu s princípom zodpovednosti
• Podpora kontinuálneho zlepšovania
• Uľahčenie posúdenia vplyvu na ochranu údajov (DPIA) 
• Zlepšenie internej komunikácie a povedomia 
• Konkurenčná výhoda v tendroch a obchodných vzťahoch 

Rizikový profil je konkurenčnou výhodou!

Vypracovanie podrobného rizikového profilu spracovateľských operácií nie je len ďalšou byrokraciou, ale strategickou investíciou do budúcnosti vašej organizácie. Poskytuje komplexný pohľad na spracovanie osobných údajov, umožňuje informované rozhodovanie, znižuje riziká a posilňuje vašu pozíciu na trhu. V ére, kedy je ochrana osobných údajov kľúčovou konkurenčnou výhodou, si prevádzkovatelia jednoducho nemôžu dovoliť tento zásadný nástroj riadenia rizík ignorovať.

Plné znění článku naleznete na GDPR.cz