RODO w swojej treści nie definiuje wprost pojęcia ryzyka, jednak niewątpliwie wskazać należy na wartości, na które RODO kładzie szczególny nacisk w zakresie szacowania ryzyka. Wartościami tymi są prawa i wolności osób, których dane dotyczą (w tym prawo do ochrony danych osobowych). To właśnie przez ich pryzmat należy patrzeć, oceniając ryzyko związane z przetwarzaniem danych osobowych. Sprawdźmy więc, jak powinna wyglądać analiza ryzyka według RODO.
Analiza ryzyka według RODO – jakie są obowiązki administratora i podmiotu przetwarzającego?
Kluczowym zobowiązaniem nałożonym na administratora i podmiot przetwarzający, wynikającym z podejścia opartego na ryzyku, jest przeprowadzenie przez te podmioty samodzielnej analizy prowadzonych procesów przetwarzania danych oraz dokonywanie samodzielnej oceny ryzyka, na jakie przetwarzanie danych jest narażone. We wskazanych wyżej obszarach RODO nie przewiduje stosowania żadnych konkretnych, wyrażonych wprost rozwiązań lub procedur. Zgodnie z nowymi regulacjami, co do zasady, nie będzie żadnego wykazu dokumentów obligatoryjnych wymaganych do przeprowadzenia takiej oceny.
Z treści rozporządzenia wnioskować można, że mówiąc o ryzyku naruszenia praw i wolności osób fizycznych konieczne jest uwzględnienie:
-
prawdopodobieństwa wystąpienia określonego zdarzenia, które jest ryzykiem oraz
-
rozmiarów skutków wystąpienia takiego zdarzenia, tj. wielkości szkody (powagi zdarzenia), jaką takie zdarzenie może spowodować w stosunku do osoby, której dane dotyczą.
Zgodnie z motywem 76 RODO prawdopodobieństwo i powagę ryzyka należy określić, mając na uwadze:
-
charakter przetwarzanych danych,
-
zakres przetwarzanych danych,
-
kontekst przetwarzanych danych,
-
cel przetwarzanych danych.
Obiektywnie przeprowadzona analiza powinna dać obraz wielkości ryzyka związanego z operacjami przetwarzania, tzn. czy z przetwarzaniem danych wiąże się np. ryzyko lub ryzyko wysokie.
Jak szacować wielkość ryzyka w RODO?
Aby oszacować wielkość ryzyka, słusznym wydaje się przyjęcie określonej skali takiego ryzyka.
Skala ta może być wyrażona np. za pomocą słów określających skutki zdarzenia (rozumianego jako naruszenie praw i wolności osób fizycznych), takich jak:
-
znikome,
-
niskie,
-
średnie,
-
wysokie,
-
bardzo wysokie,
-
krytyczne
lub (i) za pomocą liczb wprowadzając stopniowanie, np. od 1 do 6, gdzie 1 będzie odpowiadało znikomemu ryzyku, a 6 krytycznemu.
Podobnie można postąpić w odniesieniu do prawdopodobieństwa wystąpienia zdarzenia. Użyć wówczas można określeń takich jak:
-
nieprawdopodobne,
-
niemalże nieprawdopodobne,
-
mało prawdopodobne,
-
wysoce nieprawdopodobne,
-
niemalże pewne.
lub (i) za pomocą liczb wprowadzając stopniowanie, np. od 1 do 6, gdzie np. 1 będzie odpowiadało zdarzeniu nieprawdopodobnemu, a 6 niemalże pewnemu. Ostatecznie więc wyrażenie poziomu ryzyka dokonuje się poprzez przemnożenie prawdopodobieństwa wystąpienia zdarzenia i jego skutku.
Kryterium pomocnym do zakreślenia stopnia prawdopodobieństwa wystąpienia ryzyka może być np. krotność wystąpienia danego zdarzenia w określonym czasie, omówiona w poniższym przykładzie.
Przykład 1.
Przyjmijmy np. okres ostatnich 3 lat. Jeżeli w ciągu tego czasu doszło do jednej sytuacji, w której naruszono dane osobowe (np. w ostatnich 36 miesiącach doszło do jednej sytuacji, w której utracono zapisane na pendrivie dane osobowe), to możemy przyjąć, że prawdopodobieństwo wystąpienia zdarzenia jest mało prawdopodobne. Jeśli natomiast podobne zdarzenie polegające na utracie danych albo ich nieuprawnionym ujawnieniu miało miejsce każdego miesiąca, wówczas przyjąć możemy 6 (szósty) stopień prawdopodobieństwa wystąpienia ryzyka, tj. zdarzenie takie jest niemalże pewne.
PRZYKŁADOWA MACIERZ (TABELA) OBRAZUJĄCA SZACOWANIE POZIOMU RYZYKA
| SKUTEK | ||||
| znikomy | niski | średni | wysoki | krytyczny |
| 1 | 2 | 3 | 4 | 5 |
| PRAWDOPODOBIEŃSTWO | niemalże pewne | 5 | 5 | 10 | 15 | 20 | 25 |
| wysoce prawdopodobne | 4 | 4 | 8 | 12 | 16 | 20 | |
| mało prawdopodobne | 3 | 3 | 6 | 9 | 12 | 15 | |
| niemalże nieprawdopodobne | 2 | 2 | 4 | 6 | 8 | 10 | |
| nieprawdopodobne | 1 | 1 | 2 | 3 | 4 | 5 |
Legenda:
| POZIOM RYZYKA | OPIS DZIAŁANIA |
| ZNIKOMY (Z) (1-5) | Ten poziom ryzyka akceptowalny. |
| NISKI (N) (6-10) | Wymagane jest działanie, ale może zostać przesunięte w czasie. Monitorowanie powinno się odbywać kontrolnie, w zależności od zapotrzebowania. |
| ŚREDNI (Ś) (11-15) | Ten poziom ryzyka wymaga podjęcia działania, ale działanie może zostać przesunięte w czasie. Wymagane jest okresowe monitorowanie. |
| WYSOKI (W) (16-20) | Ten poziom ryzyka wymaga podjęcia działania, ale działanie może zostać przesunięte w czasie. Wymagane jest stałe monitorowanie. |
| KRYTYCZNY (K) (21-25) | Ten poziom ryzyka wymaga natychmiastowego działania |
Jakie są możliwe przyczyny wysokiego ryzyka?
W kontekście powyższego należy zdać sobie sprawę, że do przeważającej większości naruszeń praw i wolności na skutek przetwarzania danych osobowych, dochodzi najczęściej z powodu niewłaściwych (nieadekwatnie lub niewystarczająco dobranych i stworzonych) procedur przetwarzania, w tym niewłaściwego ich stosowania lub zabezpieczenia przed zdarzeniami, takimi jak m.in. nieuprawnione ujawnienie, zniszczenie czy nieuprawniona modyfikacja danych. Celem zminimalizowania powyższych ryzyk należy więc opracować i podjąć odpowiednie procedury.
Co można zrobić, aby zminimalizować ryzyko?
Uzasadnionym wydaje się także wdrożenie procesu zarządzania ryzykiem. W procesie takim niemałą rolę odgrywają pracownicy administratora i podmiotu przetwarzającego. Oni bowiem w praktyce najczęściej obserwują czy doszło lub mogło dojść do sytuacji związanych z naruszeniami danych osobowych, w jakich okolicznościach, na skutek jakich zaniedbań, działań. Pracownicy i współpracownicy są więc bardziej wrażliwi na zauważenie źródeł ewentualnego ryzyka. Warto więc regularnie szkolić ich, pouczać o trybach zgłaszania takich zdarzeń (komu mają dokonywać takich zgłoszeń, w jakim czasie). Aby w większym jeszcze stopniu zagwarantować bezpieczeństwo i stworzyć z podejścia opartego na ryzyku nie tylko założenia teoretyczne, lecz właściwie funkcjonujące, szczelne procedury, do osób takich powinna też wracać informacja zwrotna o tym, jakie działania opracowano, podjęto czy wdrożono na skutek ich zawiadomienia i analizy ryzyka.
Analiza ryzyka – jakie są konsekwencje jej niewykonania?
Analiza ryzyka jest ważnym wymaganiem nałożonym na administratorów i podmioty przetwarzające. W razie kontroli organu nadzorczego administrator i podmiot przetwarzający zobowiązani są bowiem do wykazania przed tym organem, że czynności przetwarzania danych osobowych są skuteczne i zgodne z rozporządzeniem. Z powyższego wynika tzw. zasada rozliczalności (art. 5 ust. 2 RODO). Właśnie ta zasada wymaga, aby proces szacowania ryzyka był przeprowadzony i udokumentowany – w celu wykazania, że ryzyko zostało oszacowane i wprowadzono odpowiednie środki obrony. Należy więc wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią zgodność przetwarzania z RODO.
Jakie działania mogę wprowadzić, aby zminimalizować ryzyko, o którym mowa w RODO?
Po raz kolejny podkreśla się, że RODO nie wskazuje katalogu środków czy rozwiązań, które należy stosować w celu minimalizowania ryzyka naruszenia ochrony praw i wolności osób, których dane są przetwarzane. W RODO (art. 32 ust. 1) jako przykład jedynie podano, że w kontekście zapewnienia bezpieczeństwa przetwarzania danych przed utratą poufności, zniszczeniem czy nieuprawnioną modyfikacją można wprowadzić takie rozwiązania jak:
-
pseudonimizajcja i szyfrowanie danych osobowych;
-
zarządzanie systemem w sposób zapewniający ciągłość, poufność, integralność i dostępność;
-
zarządzanie systemem w sposób zapewniający zdolność do szybkiego przywrócenia dostępu do danych osobowych w razie wystąpienia incydentu fizycznego i technicznego;
-
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Na koniec, w kontekście rozważań nad prawidłowością wykonania procesu analizy ryzyka warto wskazać, że prawidłowo przebiegająca analiza ryzyka nie jest jednorazowym działaniem, lecz regularnie i ciągle monitorowanym procesem.
