Poradnik Przedsiębiorcy

Ocena ryzyka w RODO - czy naprawdę taka straszna?

Organizacja przetwarzająca dane osobowe powinna opracować i wdrożyć odpowiednie procedury zapewniające ochronę danych osobowych. Każdy pracownik danej organizacji powinien zostać przeszkolony i dobrze znać swoje zadania w zakresie ochrony danych osobowych. Tylko świadomi swoich obowiązków pracownicy będą mogli prawidłowo stosować obowiązujące ich procedury. Aby móc wdrożyć odpowiednie środki zabezpieczenia danych osobowych, z pewnością pomoże ocena i analiza ryzyka. Jak wygląda ocena ryzyka w RODO?

Podejście oparte na ryzyku według RODO

Podejście oparte na ryzyku to uwzględnienie ryzyka na każdym etapie działania (planowanie, wykonanie, wdrożenie, ulepszanie).

Ważne!

W przypadku RODO ryzykiem są wszelkie zdarzenia, które naruszają bezpieczeństwo danych osobowych.

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Aby  zapobiec naruszeniu danych osobowych, firmy powinny przeprowadzić analizę ryzyka. Jest ona dokonywana na podstawie oceny ryzyka.

Czym jest ocena ryzyka w RODO?

Ocena ryzyka w RODO to proces porównywania wyników analizy ryzyka z kryteriami ryzyka (np. istotność ryzyka, częstotliwość jego występowania) w celu stwierdzenia, czy dane ryzyko lub jego wielkość są akceptowalne, czy niedopuszczalne. Efektem oceny ryzyka jest jakościowe jego oszacowanie (np. “znikome”, “niskie”, “wysokie”) lub ilościowy opis jego wielkości (w przyjętej skali progowej, np. 0-2, 3-5, 6-10).

Na podstawie oceny ryzyka firma może przedsięwziąć odpowiednie środki zapobiegawcze lub minimalizujące jego skutki - zgodnie z wielkością i prawdopodobieństwem wystąpienia określonego przez firmę ryzyka związanego z ochroną danych osobowych.

Ocena ryzyka w RODO powinna zostać poprzedzona jego analizą. Jest to oszacowanie wielkości prawdopodobieństwa i skutków wystąpienia zidentyfikowanych uprzednio ryzyk.

Jak wykonać analizę ryzyka?

Ocena ryzyka w RODO to zidentyfikowanie występujących zagrożeń w firmie dla ochrony danych osobowych. Aby przeprowadzić analizę, wystarczy:

  • przeprowadzić inwentaryzację przetwarzanych danych osobowych (zajrzeć do każdego miejsca, czy to w komputerze, czy w szafie, gdzie są zbierane dane osobowe) i określić cel przetwarzania tych danych,

  • dla każdego rodzaju przetwarzania określić, czy dane przetwarzane są zgodnie z prawem oraz określić, na jakiej podstawie prawnej,

  • określić listę zagrożeń, w wyniku których może nastąpić naruszenie ochrony danych osobowych, np. atak hakerski, nieupoważniony dostęp, włamanie do budynku,

  • przypisać prawdopodobieństwo wystąpienia danego ryzyka (opierając się np. na częstotliwości jego wystąpień w przeszłości),

  • przypisać istotę, wagę danego ryzyka - np. wielkość szkody, jakie zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą,

  • opisać skutki wystąpienia danego ryzyka, np. naruszenie prawa do ochrony danych osobowych, naruszenie prawa do prywatności,

  • określić sposoby postępowania (zaradcze), aby do ryzyka nie dopuścić lub, jeśli nie da się go uniknąć, środki minimalizujące ryzyko, np. stosowanie programów antywirusowych, alarm w budynku.

Analiza ryzyka w RODO pozwala na dokładne przyjrzenie się zagrożeniom, które są dla firmy najbardziej zagrażające i wymagające natychmiastowego działania.

Analizę ryzyka można porównać do systemu zarządzania bezpieczeństwem informacji (ZBI) - i w RODO i w ZBI chodzi o zidentyfikowanie ryzyk i zastosowanie odpowiednich środków mających na celu chronić bezpieczeństwo informacji. O tym, jakie zastosować środki bezpieczeństwa, decyduje administrator, np. przedsiębiorca - RODO nie podaje tu konkretnych przykładów, ponieważ co może mieć zastosowanie dla jednoosobowej działalności, nie będzie miało zastosowania dla korporacji. Każda firma to inny profil działalności, w jednej pewne dane mogą być bardziej narażone na ryzyko, a ich naruszenie może mieć krytyczny skutek dla danej osoby, natomiast w innej naruszenie w tym zakresie może być minimalnym zagrożeniem dla podmiotu danych osobowych. Dlatego to przedsiębiorstwa powinny określić rozwiązania adekwatne dla zakresu swej działalności, rodzaju przetwarzania danych, ryzyka wystąpienia danego zagrożenia oraz według swoich możliwości finansowych (np. mała firma nie będzie mogła sobie pozwolić, aby zastosować te same rozwiązania co firma duża). Jedyny wymóg, który stawia RODO w tym zakresie, to aby rozwiązania zaproponowane i stosowane w celu zapewnienia bezpieczeństwa informacji były skuteczne i chroniły osoby, których dane dotyczą.

Analiza i ocena ryzyka w RODO - przykład

Przykładowy arkusz analizy i oceny ryzyka w RODO może wyglądać następująco:

Ocena ryzyka w rodo - przykład

   

Ryzyko - możliwość zaistnienia zdarzenia, które będzie miało wpływ na ryzyko naruszenia ochrony danych osobowych. Ryzyko należy rozpatrywać z uwzględnieniem czynników zewnętrznych (zdarzenia, które mogą się przytrafić, ale nie zależą od działań firmy) oraz czynników wewnętrznych (zdarzenia, na które firma ma wpływ).

Źródła ryzyka - to sytuacje, które mogą być przyczyną wystąpienia danego zagrożenia

Skutek wystąpienia ryzyka - określenie, co się może stać, jeśli dane ryzyko wystąpi, można tu odnotować wielkość szkody, jakie zdarzenie to może spowodować w odniesieniu do osób, których dane dotyczą, jak i skutek dla firmy.

Ocena ryzyka w RODO - to ustalenie, czy dane ryzyko jest akceptowalne, czy nieakceptowalne. Ocena ryzyka jest najczęściej dokonywana w oparciu o ustalone przez firmę kryteria, może to być np. ocenianie pod względem częstotliwości lub prawdopodobieństwa wystąpienia danego ryzyka oraz jego istoty, wagi.

Rekomendowane rozwiązanie - to określenie środków zabezpieczenia, aby do danego ryzyka nie dopuścić.

Skuteczność działań - to ocena, czy zastosowane działania zapobiegawcze okazały się skuteczne.

Aktualizacja planów reakcji na ryzyko - jeśli zastosowane środki bezpieczeństwa nie okazały się skuteczne, w tym polu należy określić inny sposób, który zapobieże lub zminimalizuje ryzyko.

Należy pamiętać, że ryzyka zmieniają się w czasie i wymagają nowych działań naprawczych, dlatego ważny jest regularny przegląd dokumentu (monitorowanie analizy ryzyka) oraz ciągłe dokonywanie analizy i oceny ryzyka. Nie jest wystarczającym jednorazowe sporządzenie dokumentu.

Ocena ryzyka w RODO a zasada rozliczalności

Zasada podejścia opartego na ryzyku jest ściśle powiązana z zasadą rozliczalności. Ta ostatnia wymaga, aby ocena i analiza ryzyka została przeprowadzona i udokumentowana - w celu wykazania, że ryzyko zostało oszacowane i wprowadzono odpowiednie środki ochrony.

Zasada rozliczalności oznacza wdrożenie odpowiednich środków (technicznych i organizacyjnych) zapewniających zgodność przetwarzania z RODO oraz pozostawanie w gotowości do wykazania tej zgodności organowi nadzorczemu lub podmiotom, których dane są przetwarzane.

Ocena ryzyka w RODO a ocena skutków dla ochrony danych

Ogólną ocenę ryzyka w zakresie bezpieczeństwa przetwarzania informacji, w tym danych osobowych, należy przeprowadzić, biorąc pod uwagę potencjalne negatywne skutki (straty materialne i niematerialne) zarówno dla administratora, jak i osób, których dane dotyczą.

Do oceny skutków dla ochrony danych można wykorzystać taki sam schemat postępowania, jak dla ogólnej oceny ryzyka, uwypuklając w poszczególnych etapach te elementy, które mają istotny wpływ na skutki, jakie naruszenie ochrony danych może powodować dla osób, których dane dotyczą.

Ocenę skutków dla ochrony danych osobowych należy przeprowadzić, jeśli na podstawie “zwykłej” analizy i oceny ryzyka widzimy, że istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą.

Nie każdy podmiot jest zobowiązany do przeprowadzenia oceny skutków dla ochrony danych. Ocenę tę należy przeprowadzić, jeśli występują poniższe sytuacje:

  • ocena oraz scoring - profilowanie oraz przewidywanie, w szczególności dotyczących takich danych, jak zdrowie, zainteresowania, lokalizacja,

  • zautomatyzowane podejmowanie decyzji wywołujące skutki prawne,

  • systematyczne monitorowanie mające na celu obserwowanie podmiotu danych osobowych (np. w hotelu, na stacji benzynowej, w restauracji itp.),

  • przetwarzanie wrażliwych danych osobowych,

  • przetwarzanie danych na dużą skalę,

  • wykorzystanie do przetwarzania danych innowacji technologicznych (np. biometria),

  • transfer danych poza Unię Europejską.

Do oceny skutków dla ochrony danych można wykorzystać taki sam schemat postępowania, jak dla ogólnej oceny ryzyka, uwypuklając w poszczególnych etapach te elementy, które mają istotny wpływ na skutki, jakie naruszenie ochrony danych może powodować dla osób, których dane dotyczą.

To administrator danych (np. przedsiębiorca) samodzielnie podejmuje decyzję o konieczności przeprowadzenia oceny skutków dla ochrony danych.

Szczegółowe informacje na temat oceny skutków znajdziemy w artykule: Czym jest ocena skutków dla ochrony danych?