Analiza ryzyka to kluczowy element ochrony danych osobowych. Samo pojęcie „ryzyka” nie zostało wprost zdefiniowane w RODO, lecz jest podstawą m.in. wdrażania odpowiednich środków technicznych i organizacyjnych. Kluczowym elementem ochrony danych pozostaje również regularne testowanie stosowanych zabezpieczeń.
Artykuł 24 ust. 1 RODO zobowiązuje administratorów danych do uwzględniania ryzyka naruszenia praw i wolności osób fizycznych, kierując się przy tym prawdopodobieństwem oraz wagą zagrożenia. W rozporządzeniu stwierdzono również konieczność przeglądu i uaktualniania wykorzystywanych środków ochrony danych osobowych.
Elementy konieczne analizy ryzyka
W poradniku UODO „Jak stosować podejście oparte na ryzyku?” z 2018 roku wyróżniono cztery etapy szacowania ryzyka, którymi są:
- ustalenie kontekstu – zakres przetwarzania, odpowiedzialność, koszty związane z przetwarzaniem oraz ew. naruszeniem, identyfikacja stosowanych zabezpieczeń, określenie akceptowalnych poziomów ryzyka;
- mechanizmy kontrolne – analiza zgodności procesów przetwarzania danych z przepisami (w tym określenie podstawy prawnej przetwarzania), określenie wymagań dot. zabezpieczeń w organizacji pod kątem integralności, poufności i dostępności;
- szacowanie ryzyka – identyfikacja zagrożeń oraz podatności (technicznych, fizycznych oraz organizacyjnych), określenie prawdopodobieństwa wystąpienia określonego zagrożenia (np. naruszenia ochrony danych, strat finansowych lub kary od regulatora);
- decyzja dot. podejmowanego ryzyka – redukcja, akceptacja, unikanie, przeniesienie.
Analiza ryzyka dotyczy nie tylko bezpieczeństwa systemów informatycznych, lecz również m.in. zabezpieczeń fizycznych (np. dostępu do pomieszczeń), czynników naturalnych (np. powodzi) czy błędów ludzkich.
Praktyczna analiza ryzyka
W celu sporządzenia odpowiedniej analizy ryzyka zaleca się zlecenie audytu zewnętrznemu podmiotowi, co pozwoli na obiektywne określenie stosowanych praktyk oraz inwentaryzację posiadanych zasobów.
Analiza ryzyka zazwyczaj opiera się na ocenie prawdopodobieństwa oraz skutków wystąpienia danego zdarzenia. Obydwu parametrom nadawane są określone wartości liczbowe, co pozwala na sporządzenie macierzy ryzyka.
W jednym z przykładów od UODO możemy znaleźć poniższy sposób szacowania skutków oraz prawdopodobieństwa:
- prawdopodobieństwo – rzadkie, mało prawdopodobne, możliwe, prawdopodobne, prawie pewne;
- skutki – bardzo niskie, niskie, średnie, wysokie, bardzo wysokie.
Poszczególnym parametrom nadawane są kolejne wartości liczbowe – w tym przypadku od 1 do 5.
Wartości liczbowe skutków oraz prawdopodobieństw różnią się w zależności od danej organizacji. Należy również podkreślić, że skutki dzielą się na materialne i niematerialne.
Macierz ryzyka
Podczas analizy ryzyka często wykorzystuje się tzw. macierz ryzyka, która pozwala skorelować ze sobą skutki oraz prawdopodobieństwo wystąpienia danego zdarzenia.
Przypisanie wartości liczbowej do określonego skutku może opierać się na kosztach finansowych oraz wpływie na reputację. W przypadku prawdopodobieństwa zaleca się m.in. określenie przedziałów czasowych możliwości wystąpienia danego incydentu (np. nie częściej niż raz na rok/miesiąc/tydzień) na podstawie stosowanych zabezpieczeń.
Przykład 1.
Przedsiębiorstwo uwzględniło w analizie ryzyka kradzież laptopa służbowego, który zawiera nieszyfrowane dane osobowe. Prawdopodobieństwo takiego zdarzenia zostało określone jako „możliwe”, lecz skutki jako „wysokie”. Ryzyko zostało uznane za wysokie, co spowodowało wdrożenie szyfrowania partycji (np. za pomocą Bitlockera, systemowego rozwiązania w Windowsie).
Przykład 2.
Firma posiada kopie zapasowe w formule 3-2-1 (trzy kopie, dwa nośniki, jedna w innej lokalizacji). Prawdopodobieństwo pożaru zostało ocenione na „rzadkie”, a skutki na „niskie” (z racji na możliwość odtworzenia danych). Poziom ryzyka został wyceniony liczbowo na 2 (2 × 1), który został uznany za akceptowalny.
Przykład 3.
Przedsiębiorstwo z sektora energetycznego oceniło prawdopodobieństwo ataku ransomware na „możliwe”, a skutki na „bardzo wysokie”. W celu zapobiegania wystąpienia takiego incydentu utworzono SOC (Security Operation Center).
Przykład 4.
Fragment analizy ryzyka
Rodzaj przetwarzania | Zidentyfikowane zagrożenia | Skutki | Prawdopodobieństwo | Poziom ryzyka | Decyzja |
Niszczenie papierowych dokumentów (retencja danych) | Niepoprawne niszczenie dokumentów, pozwalające na odczyt informacji nieuprawnionym osobom | Średnie (wartość: 3) | Możliwe (wartość: 2) | 6 | Inwentaryzacja niszczarek, wyeliminowanie nieodpowiedniego sprzętu, protokoły zniszczenia |
Analiza ryzyka jako proces
Należy pamiętać o tym, że art. 32 RODO zobowiązuje administratora do regularnego testowania, mierzenia i oceny skuteczności środków technicznych i organizacyjnych. Ustęp 2. artykułu podkreśla, że do oceny stopnia bezpieczeństwa wykorzystuje się przede wszystkim ryzyko związane z potencjalnymi naruszeniami ochrony.
Oznacza to, że analiza ryzyka nie może być jednorazowym dokumentem, lecz powinna być regularnie aktualizowana.
W artykule „Rzetelna analiza ryzyka i procedury kontrolne ustrzegłyby przed incydentem. Kara dla GOPS” UODO z czerwca 2025 roku opisano incydent polegający na tymczasowej utracie dostępu do danych 1500 osób. Urząd stwierdził, że pomimo uwzględnienia ryzyka wystąpienia ataku ransomware, podmiot zbagatelizował je poprzez brak stosowania „wystarczających zabezpieczających środków technicznych”. Doszło również do zaszyfrowania kopii zapasowej.
W komunikacie UODO dot. kary dla spółki Morele.net z 2024 roku przekazano, że wspomniana firma:
- nie przeprowadziła analizy ryzyka,
- nie szyfrowała części danych,
- niewystarczająco monitorowała ruch sieciowy.
Jednocześnie stosowanie środków technicznych bez sporządzenia analizy ryzyka również może skutkować karą od organu nadzorczego, co pokazuje orzeczenie UODO (DKN.5131.26.2023). „[…] koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że zastosowane rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka oraz uwzględniają charakter danej organizacji i wykorzystywanych mechanizmów przetwarzania danych” – stwierdzono w dokumencie. Organ nadzorczy ocenił, że SGH nie mogło wdrożyć odpowiednich zabezpieczeń z racji braku możliwości wykazania przeprowadzenia analizy ryzyka.
W decyzji Prezesa UODO z kwietnia 2024 roku (DKN.5131.32.2022) ponownie stwierdzono, że analiza ryzyka jest podstawą wdrożenia odpowiednich środków technicznych.
