Baza wiedzy

Analiza ryzyka RODO w JST

19.11.2025

Dlaczego nie jest to papier „do szuflady”?

Jednostki Samorządu Terytorialnego (JST) codziennie stają przed koniecznością zapewnienia bezpieczeństwa danych mieszkańców, w tym informacji wrażliwych. Jednocześnie ich zadaniem jest utrzymanie ciągłości świadczenia usług. Z tego powodu brak rzetelnie przeprowadzonej i udokumentowanej analizy ryzyka oznacza, że Administrator Danych (AD) traci możliwość wykazania zasady rozliczalności – kluczowej podwaliny RODO (Art. 5 ust. 2). W konsekwencji jest to prosta droga do poważnych problemów: paraliżu pracy po incydencie cybernetycznym, wysokich kar finansowych oraz negatywnej opinii przy kontrolach Prezesa UODO lub NIK.

Analiza ryzyka w JST

Podstawy prawne i wymagania

Obowiązek analizy ryzyka wypływa bezpośrednio z Art. 32 RODO, który wymaga wdrożenia środków technicznych i organizacyjnych odpowiednich do ryzyka. RODO nie narzuca jednej metodyki, ale zobowiązuje Urząd do przyjęcia podejścia opartego na ryzyku (risk-based approach). Oznacza to, że analiza musi być adekwatna do charakteru przetwarzania danych, udokumentowana, aktualna i powiązana z realnymi procesami Urzędu.

Wiele JST popełnia błąd, ponieważ traktują ten obowiązek tylko „papierowo”. Takie analizy, które są sporządzone na szybko lub na podstawie gotowych szablonów z Internetu, są ryzykiem i mogą zostać łatwo zakwestionowane przy ewentualnej kontroli.

Kiedy analiza ryzyka jest konieczna?

Analiza ryzyka powinna być ciągłym procesem, a nie jednorazowym działaniem. Jest niezbędna:

  • Cyklicznie: co najmniej raz w roku lub po z góry ustalonym cyklu audytowym.
  • Przed nowymi procesami/projektami: np. przed wdrożeniem nowego EZD (Elektroniczny Zarządzanie Dokumentacją), monitoringu miejskiego, systemu do obsługi świadczeń czy wdrożeniem pracy zdalnej na stałe.
  • Przy zmianach: po zmianach organizacyjnych, kadrowych lub po każdym poważnym incydencie bezpieczeństwa.

Kto odpowiada za analizę ryzyka?

Analiza ryzyka to zadanie zespołowe, a nie tylko IT.

  • Administrator Danych (AD): odpowiada formalnie (Starosta, Wójt, Burmistrz). Podejmuje decyzje o akceptacji ryzyka.
  • Inspektor Ochrony Danych (IOD): doradza, nadzoruje i monitoruje – zgodnie z Art. 39 RODO. Nie wykonuje analizy „za” AD, a jedynie wskazuje niezgodności i proponuje rozwiązania.
  • Pełnomocnik ds. Bezpieczeństwa Informacji / Dział IT: współtworzą analizę, identyfikują zagrożenia i podatności techniczne (serwery, sieci, ePUAP).
  • Kierownicy Komórek Organizacyjnych: kluczowi pracownicy, którzy dostarczają danych o rzeczywistym przebiegu procesów (np. obsługa kancelarii, e-usług). Bez ich udziału analiza jest „martwa”.

Chcesz mieć pewność, że Twoja analiza ryzyka spełnia wszystkie wymogi RODO i nie jest tylko papierem do segregatora?

Umów się na konsultację

Powrót

Zobacz również

Kształtujemy przyszłość e-administracji. ZETO Lublin w centrum konsultacji strategicznych Ministerstwa Cyfryzacji

10.12.2025

Dynamicznie zmieniające się otoczenie prawne oraz rosnące wymagania w zakresie cyfryzacji to codzienność, z którą mierzą się Jednostki Samorządu Terytorialnego. Włodarze oraz kierownicy wydziałów IT często stają...

Czytaj

DPIA i analiza ryzyka – jaka jest różnica

05.12.2025

Często mylne przekonanie, że DPIA (Ocena Skutków dla Ochrony Danych) jest po prostu „większą analizą ryzyka IT”. Nie jest to jednak tożsame. Nierozumienie różnicy między tymi dwoma...

Czytaj