Analiza ryzyka nazywana też oceną ryzyka często mylona jest z oceną skutków dla ochrony danych z art. 35 RODO (DPIA). Tymczasem ocena ryzyka w RODO podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach. Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie techniczne i organizacyjne środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Nie bez znaczenia jest także ryzyko naruszenia interesów administratora.
Z tematu tygodnia dowiesz się jak 7 krokach przeanalizować ryzyko w tym:
- jak zidentyfikować procesy przetwarzania danych,
- jak określić zagrożenia i podatności w zakresie naruszeń ochrony danych,
- jakie metody szacowania ryzyka przyjąć,
- jak zareagować w odniesieniu do wyników analizy ryzyka.
Określ kontekst przetwarzania danych
Pierwszym zadaniem administratora w ramach analizy ryzyka jest wyszczególnienie czynników mających wpływ na funkcjonowanie organizacji i przetwarzanie danych osobowych.
| Czynniki wewnętrzne | Czynniki zewnętrzne |
| struktura i wielkość organizacji | środowisko prawne |
| strategia i stosowana polityka, | środowisko społeczne |
| system obiegu informacji, | środowisko polityczne |
| środowisko informatyczne | korzystanie z usług zewnętrznych (np. outsourcing obsługi IT lub kadr) |
| normy i standardy obowiązujące w w jednostce | czynniki lokalne/geograficzne – podmiot z UE lub spoza UE w zakresie sposobu wymiany informacji |
Zidentyfikuj procesy przetwarzania danych osobowych
Analiza ryzyka dotyczy poszczególnych procesów przetwarzania danych osobowych. Nie może więc ona obyć się bez identyfikacji tych procesów.
Identyfikacja ta musi być na tyle szczegółowa, by dawała możliwość ustalenia:
- zakresu przetwarzania,
- charakteru przetwarzania,
- celów przetwarzania,
- potencjalnych zagrożeń związanych z nieuprawnionym ujawnieniem, utratą lub zniszczeniem danych osobowych.
W identyfikacji należy sugerować się treścią rejestru czynności przetwarzania bądź rejestru kategorii czynności przetwarzania, jeżeli taki jest prowadzony.
Dokonaj inwentaryzacji zasobów związanych z ochroną danych osobowych
W kolejnym kroku administrator musi też:
- poddać inwentaryzacji zasoby związanych z przetwarzaniem danych osobowych,
- wskazać osoby odpowiedzialne za poszczególne procesy przetwarzania danych osobowych (w tym ich wpływy na przetwarzanie danych
w organizacji, zagrożenia oraz szanse, które stwarzają).
Osoby odpowiedzialne za przetwarzanie danych to np.:
- kadra kierownicza i pracownicy, np. dyrektorzy poszczególnych działów/komórek organizacyjnych/ samodzielne stanowiska / kierownicy projektów,
- dostawcy (firmy, osoby fizyczne),
- klienci (firmy, osoby fizyczne),
- dostawcy finansujący działalność danego podmiotu (np. banki),
- podmioty pełniące role nadzorcze, np. ministerstwa,
- podmioty przetwarzające (np. dostawcy usług IT).
Zidentyfikuj zagrożenia dla bezpieczeństwa danych osobowych
Analiza ryzyka ma dać odpowiedź na pytanie, jakie środki bezpieczeństwa przetwarzania danych wdrożyć w kontekście poziomu ryzyka. Konieczne jest więc określenie zagrożeń w zakresie ochrony danych osobowych w organizacji. W tym celu warto przyjąć następującą systematykę.
| Kryteria podziału zagrożeń | Źródła zagrożeń |
| Lokalizacja źródła | wywodzące się z otoczenia przedsiębiorstwa (zewnętrzne) |
| powstające w ramach organizacji (wewnętrzne) | |
| Przyczyna zagrożenia | działanie przypadkowe |
| działanie umyślne | |
| działanie losowe |
Identyfikując zagrożenia w odniesieniu do praw i wolności podmiotu danych, należy wziąć pod uwagę zarówno działania celowe użytkownika, jak i te wynikające z jego niewiedzy, które mogą prowadzić do naruszenia przepisów prawa. Konieczne jest uwzględnienie zagrożeń wynikających przetwarzania dla ochrony danych osobowych tak w formie papierowej, jak w systemach informatycznych, np. brak odpowiedniego programu szyfrującego itp.
Przykładowe zagrożenia:
- ujawnienie danych osobowych będące skutkiem umyślnego lub nieumyślnego działania pracownika,
- przetwarzanie danych osobowych w relacji administrator – podmiot przetwarzający bez zawarcia umowy powierzenia przetwarzania danych,
- przekazanie danych osobowych podmiotom lub kontrahentom do tego nieupoważnionym.
Zidentyfikuj podatności
Od zagrożeń należy odróżnić podatności. Są to bowiem cechy sprzyjające urzeczywistnieniu się potencjalnego zagrożenia. Aby te podatności zidentyfikować, należy dokonać analizy zdarzeń, które dotychczas wystąpiły w organizacji.
Przykładowe podatności:
- brak procedury rekrutacji pracowników,
- brak dokumentacji bezpieczeństwa informacji w jednostce,
- wada systemu IT ujawniająca się podczas migracji danych.
Dokonaj oceny ryzyka dla ochrony danych poprzez szacowanie
Kluczowy krok w analizie ryzyka to szacowanie ryzyka. Ma ono na celu określenie potencjalnych strat, które mogą powstać w wyniku wystąpienia określonych zagrożeń. Najpierw jednak należy ustalić organizację całego procesu. W większych organizacjach uzasadnione jest powołanie zespołu odpowiedzialnego za proces zarządzania ryzykiem.
Gdy proces zarządzania ryzykiem realizuje jedna osoba, wówczas raporty oraz pojawiające się nieprawidłowości powinna ona zgłaszać bezpośrednio do administratora danych osobowych lub osoby przez niego wskazanej i koordynującej ten proces.
Aby oszacować ryzyko, najlepiej jednak zaangażować w to personel administratora, który zwykle ma największą wiedzę na temat ryzyka występującego w ich obszarach działania. Oczywiście zalecane jest także korzystanie ze wsparcia inspektora ochrony danych, jeżeli taki został wyznaczony w organizacji.
Wybierz metodykę szacowania ryzyka
Bardzo istotny jest wybór metodyki szacowania ryzyka. Wiemy już, że przepisy RODO nie wprowadzają tutaj żadnych ograniczeń, co oznacza, że administrator może swobodnie wybrać metodykę, najlepiej dostosowaną do jego potrzeb.
Wybrana przez administratora metodyka szacowania ryzyka powinna uwzględniać:
- zakres i cele przetwarzania,
- rodzaj danych,
- wielkość, strukturę oraz możliwości finansowe administratora danych.
Ocena poziomu ryzyka może być wykazana metodą:
- ilościową – przyjmujemy, że najważniejsze jest określenie dwóch podstawowych parametrów: wartości skutku i prawdopodobieństwa wystąpienia danego ryzyka; zaletą jest obiektywność i porównywalność wyników),
- jakościową - korzystamy ze zdefiniowanych już zakresów takich jak np.: niskie, średnie, wysokie; wykorzystujemy subiektywne miary i oceny takie jak wartości opisowe poziomów, zakresy wartości miar liczbowych oraz przyporządkowanie miar podatnościom, zagrożeniom, skutkom itp.; zdefiniowane są także stopnie prawdopodobieństwa urzeczywistnienia się zagrożeń np.: zdarzenie rzadkie (nie odnotowano takiego przypadku w organizacji); zdarzenie możliwe (zjawisko nierozpowszechnione, ale możliwe do wystąpienia); zdarzenie prawdopodobne (prawdopodobnie wystąpi w większości okoliczności); zdarzenie bardzo prawdopodobne (wystąpi w najbliższym czasie).
Często stosowane rozwiązanie to wzór obliczeniowy: (R) = (P) × (NS)
gdzie:
- (R) - poziom ryzyka,
- (P) - prawdopodobieństwo wystąpienia,
- (NS) - negatywny skutek, związany z ochroną praw oraz wolności podmiotów oraz środków i środowisk, w których dane są przetwarzane.
Zorganizuj proces zarządzania ryzykiem
Po oszacowaniu ryzyka administrator powinien ustalić plan postępowania z tym ryzykiem, czyli proces zarządzania ryzykiem. Najczęściej stosowane rozwiązania to:
- redukcja ryzyka – wprowadzamy kontroli w celu zmniejszenia prawdopodobieństwa jego wystąpienia (np. prowadzenie dedykowanych szkoleń dla pracowników, aby zminimalizować ryzyko związane z niewłaściwymi zabezpieczeniami danych osobowych),
- unikanie ryzyka – przerywamy wszelkie działania, które to ryzyko generują (np. polecenie przechowywania dokumentów w szafie zamykanej na klucz zamiast pozostawiania ich na biurku),
- przeniesienie ryzyka - zlecamy określone czynności związane z przetwarzaniem danych podmiotowi zewnętrznemu,
- akceptacja ryzyka – godzimy się z ryzykiem, przyjmując, że koszt postępowania z ryzykiem jest większy niż szkody, które by to spowodowało.
W ramach tego działania administrator powinien zadecydować o wdrożeniu odpowiednich zabezpieczeń w celu ochrony danych osobowych, takich, aby zapewnić stopień bezpieczeństwa adekwatny do stwierdzonego ryzyka (art. 32 RODO).
Przykładowe zabezpieczenia
- organizacyjne (zarządzanie personelem, incydentami, udziałem stron trzecich – podmiotów przetwarzających);
- środki kontroli logicznej (anonimizacja, pseudonimizacja, środki kontroli dostępu do zasobów informatycznych, środki wspierające weryfikację danych na etapie ich wprowadzania itp.),
- prawne (procedury, wytyczne, instrukcje).
Udokumentuj analizę ryzyka
Zgodnie z zasadą rozliczalności proces przeprowadzenia analizy ryzyka należy udokumentować. Administrator musi zapewnić sobie możliwość wykazania, że taką analizę przeprowadzić. W przeciwnym razie brak potwierdzenia (nawet jeśli nie została ona przeprowadzona). Sprawdź, jak udokumentować przeprowadzenie analizy ryzyka.
Przeczytaj także:
Pobierz arkusz szacowania ryzyka.
