Jak oceniać w przypadku identyfikacji wysokiego ryzyka?
Zasada jest prosta, jeżeli oceniane przez nas ryzyko wskazuje prawdopodobne skutki utraty jednego z atrybutów

• poufności,
• integralności,
• dostępności.

Ocenę należy odnieść do typów danych osobowych, które mogą zostać narażone, przykładowo:

• wizerunek – ryzyko wykorzystania zdjęć w celu udostępnienia złośliwych memów,
• e-mail – zwiększona ilość spamu, phishing,
• PESEL, adres, imię i nazwisko – kradzież tożsamości, utrata środków finansowych, nieuprawnione zawarcie umów.

Co dalej?
Dodatkowo należy przeanalizować proces, w którym wykorzystywane są dane osobowe.

Przykładowo:

Ryzyko: modyfikacja bazy pacjentów szpitala, w której przechowywana jest informacja o lekach i dawkowaniu.

Negatywny skutek: pogorszenie stanu zdrowia, śmierć.

Czy to koniec?
Nie, musimy pamiętać, że ocena DPIA może pomimo zastosowanych mechanizmów zabezpieczających nadal wykazywać poziom nieakceptowalny.

W takim przypadku niezbędne są konsultacje z UODO.

Jednak zanim napiszesz do UODO, skontaktuj się z nami, może już mamy pomysł jak u Ciebie obniżyć ryzyko.