Od dnia 25 maja 2018, roku czyli od początku obowiązywania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO, Rozporządzenie) na każdym administratorze danych osobowych ciąży obowiązek przeprowadzania analizy ryzyka.
Definicja analizy ryzyka nie została ujęta w RODO, które także nie wyjaśnia jakimi metodami należy przeprowadzać analizę i w jaki sposób szacować ryzyko. To między innymi z tego powodu prawidłowe przeprowadzenie analizy ryzyka sprawia administratorom problemy. Aby ułatwić jej wykonywanie i dokumentowanie jej wyników, stworzono aplikacje dające możliwość jej przeprowadzenia w sposób częściowo zautomatyzowany, o czym niżej.
Wskazać należy, iż przepisy zawarte w RODO formułują ogólną zasadę podejścia opartego na ryzyku. Aby wyjaśnić ją w najprostszy sposób należy wyjść od tego, iż obowiązkiem każdego administratora jest zapewniane, by przetwarzanie danych było zgodne z przepisami. Normy RODO nie wskazują jednak, jakie środki organizacyjne i techniczne należy zastosować, aby dane były należycie zabezpieczone i przetwarzane zgodnie z Rozporządzeniem. Tym samym na każdym administratorze spoczywa ciężar decydowania o sposobie przetwarzania, a w szczególności o stosowanych zabezpieczeniach.
Każdy administrator przetwarzający dane osobowe powinien zatem przeanalizować czy sposób w jaki je przetwarza może powodować ryzyko naruszenia praw i wolności osób, których dane dotyczą i na podstawie rezultatów tej analizy dobrać odpowiednie środki techniczne i organizacyjne, które zapobiegną ziszczeniu się ryzyka albo ryzyko to zminimalizują. Przeprowadzając analizę administrator musi badać ryzyko mogące wpływać na prawa i wolności podmiotów danych oraz wiążące się z tym skutki (m. in. utratę kontroli nad danymi, szkody niemajątkowe i majątkowe związane z kradzieżą tożsamości czy dyskryminacją). Uszczerbek dotykający osoby fizyczne może zatem być wywołany takimi zagrożeniami jak zniszczenie lub utrata danych, ich modyfikacja, ujawnienie lub nieuprawniony dostęp do danych.
Kryteria niezbędne dla analizy
Przepisy RODO nie podają prostego rozwiązania na przeprowadzenie prawidłowej analizy ryzyka, jednakże udzielają administratorom pewnych wskazówek. Z całą pewnością ocenie powinien podlegać cel, charakter i kontekst przetwarzania. Dla wyników analizy znaczenie ma również zakres przetwarzanych danych oraz liczba osób, których dane są przetwarzane. Im więcej danych znajduje się w posiadaniu administratora, tym większe ryzyko wystąpienia naruszenia. Nie bez znaczenia pozostaje również to, jakie kategorie danych są przetwarzane. Przetwarzanie danych szczególnych kategorii, np. danych o stanie zdrowia lub poglądach politycznych, może bowiem spowodować gwałtowny wzrost ryzyka naruszenia praw i wolności podmiotów danych. Administrator powinien wziąć także pod uwagę wszelkie operacje, które wykonuje na danych. Do wzrostu ryzyka może dojść w szczególności w przypadku udostępniania lub przekazywania danych podmiotom zewnętrznym, zwłaszcza jeśli mają one swoje siedziby poza Unią Europejską i Europejskim Obszarem Gospodarczym.
Metody analizy ryzyka
Jednym z ciążących na administratorze powinności jest wybór takiej metody przeprowadzenia analizy, która pozwoli najdokładniej oszacować poziom ryzyka i dobrać przeciwdziałające mu środki bezpieczeństwa. W niektórych przypadkach stopień ryzyka może okazać się jednak tak wysoki, że zapobieżenie naruszeniu będzie niemożliwe. Wówczas do decyzji administratora będzie należało, czy podejmie ryzyko i będzie przetwarzał dane z narażeniem podmiotów danych, czy zrezygnuje z zamierzonego przedsięwzięcia. Katalog metod do analizy jest szeroki (m.in. metody jakościowe, ilościowe i mieszane, metody opisowe czy obliczeniowe). Wybierając jednak metodę warto pamiętać by uwzględniała wszystkie kryteria przetwarzania, które mogą wpływać na ryzyko przetwarzania danych, aby pozwalała na udokumentowanie analizy i jej wniosków oraz by odpowiadała możliwościom organizacyjnym i finansowym administratora. Pamiętać także należy, że administrator, zobowiązany jest do udokumentowania i wykazania nie tylko przeprowadzonej analizy, ale także adekwatności wyboru metody analitycznej oraz prawidłowości wniosków, stąd też bardzo ważne jest utrwalenie przeprowadzonego procesu.
Narzędzia do analizy ryzyka
W celu ułatwienia przeprowadzenia analizy ryzyka i tym samym wsparcia administratorów w realizacji ich obowiązków wprowadzone zostały narzędzia, wspomagające przeprowadzenie zautomatyzowanej analizy. Przykładem takiej analityczne aplikacji może być PIA (privacyimpactassessment) opracowana przez francuski organ nadzorczy CNIL opierająca się głównie na metodzie jakościowej analizy oraz aplikacja ekspercka GDPR RiskTracker opracowana przez zespół Kancelarii Lubasz i Wspólnicy - opierająca się w głównej mierze na metodzie ilościowej. Aplikacja GDPR RiskTracker przeznaczona jest dla administratorów i inspektorów ochrony danych i umożliwia wykonanie analizy ryzyka w prosty i zrozumiały sposób. Efektem każdej analizy jest raport, w którym zawarte są informacje dostarczone przez administratora i wnioski z analizy. Tym samym w prosty i intuicyjny sposób możliwe jest udokumentowanie analizy oraz odtworzenie kryteriów i aspektów, które zostały wzięte pod uwagę przy ocenie ryzyka.
Wnioski z analizy ryzyka
Po wykonaniu analizy i oszacowaniu poziomu ryzyka administrator podejmuje decyzję, czy ustalone ryzyko akceptuje, czy też nie, a jeżeli nie - wówczas albo zaprzestaje przetwarzania danych albo dostosowuje odpowiednie środki techniczne i organizacyjne, które zabezpieczą dane i samym zminimalizują ryzyko.
Na koniec należy zaznaczyć, że analiza ryzyka nie może być traktowana jako czynność jednorazowa i powinna być wykonywana systematycznie zwłaszcza wtedy, gdy zmieniają się zasady lub warunki przetwarzania danych, co z kolei może wpływać na ich bezpieczeństwo.
Przeczytaj także:
Adw. Kinga Majczak-Górecka