Po wykonaniu czynności przygotowawczych do analizy ryzyka czas na jej przeprowadzenie.

Jowita Sobczak

doktor nauk prawnych, specjalista z zakresu ochrony danych osobowych, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze Generalnego Inspektora Ochrony Danych Osobowych

Adrianna Michałowicz

aplikant adwokacki, Kancelaria Lubasz & Wspólnicy

Analiza ryzyka to podstawowe narzędzie wspierające ochronę praw i wolności osób fizycznych, których dane osobowe są przetwarzane w organizacji. Powinien być to proces ciągły, realizowany i monitorowany regularnie według określonego planu. Ustalenia zawarte w tym planie powinny być skutecznie realizowane, wdrażane i kontrolowane w organizacji. Sprawdź, jak dokonać analizy ryzyka.

Krok 1. Dostosuj proces analizy do danej organizacji

Nim administrator rozpocznie proces analizy ryzyka, musi zaplanować go tak, aby był dostosowany do poziomu złożoności struktury organizacyjnej. Zwłaszcza w przypadku bardziej skomplikowanych organizacji zalecane jest powołanie zespołu odpowiedzialnego za proces zarządzania ryzykiem, na czele którego stanie osoba koordynująca proces.

Uwaga

W działania też można zaangażować inspektora danych, którego wsparcie polega np. na opracowaniu listy zagrożeń dla bezpieczeństwa danych.

Krok 2. Zastosuj wybraną metodę szacunku

Jako że szacowanie ryzyka ma na celu określenie strat, które mogą powstać w wyniku wystąpienia określonych zagrożeń, w szacunku należy uwzględnić zarówno prawdopodobieństwo, jak i mierzalne skutki takiego zagrożenia.

Jak już wskazaliśmy, RODO nie definiuje metodyki szacowania ryzyka. Administrator może więc wybrać metodykę, która będzie najlepiej dostosowana do potrzeb organizacji.

Wybrana metodyka powinna uwzględniać:
zakres i cele przetwarzania,

rodzaj danych,

wielkość, strukturę oraz możliwości finansowe administratora danych.

Z norm ISO/IEC wynika, że ocena ryzyka może zostać przeprowadzona w sposób ilościowy, jakościowy lub mieszany.

Metoda ilościowa

Stosując tę metodę, należy określić dwa podstawowe parametry:

wartość skutku,
prawdopodobieństwo wystąpienia danego ryzyka.

Dzięki zastosowaniu tej metody szacowanie i wyniki są obiektywne i dzięki temu mogą być porównywalne.

Metoda jakościowa

Ta metoda bywa stosowana częściej. Jej istotą jest korzystanie ze zdefiniowanych już wcześniej zakresów: niskich, średnich lub wysokich. W metodzie tej wykorzystuje się subiektywne miary i oceny, takie jak:

wartości opisowe poziomów,
zakresy wartości miar liczbowych
przyporządkowanie miar podatnościom, zagrożeniom, skutkom.

Oprócz tego bierze się pod uwagę prawdopodobieństwo urzeczywistnienia się zagrożeń (zobacz przykład 1).

Przykład

Przykład 1

Prawdopodobieństwo można stopniować następująco:

zdarzenie rzadkie (nie odnotowano takiego przypadku w organizacji); zdarzenie możliwe (zjawisko nierozpowszechnione, ale możliwe do wystąpienia);
zdarzenie prawdopodobne (prawdopodobnie wystąpi w większości okoliczności);
zdarzenie bardzo prawdopodobne (wystąpi w najbliższym czasie).

Uwaga

Opisując ryzyko, warto skorzystać z następującego wzoru: (R) = (P) × (NS)

Gdzie:

(R) − poziom ryzyka,

(P) − prawdopodobieństwo wystąpienia,

(NS) − negatywny skutek, związany z ochroną praw oraz wolności osób, których dane dotyczą, oraz środków i środowisk, w których dane są przetwarzane.

Krok 3. Ustal, jak postąpić z oszacowanym ryzykiem

Następnym krokiem po ustaleniu ryzyka jest podjęcie decyzji, jak na to ryzyko zareagować. W zależności od poziomu ryzyka należy wybrać jedno z następujących rozwiązań.

Redukcja ryzyka

Redukcja czy inaczej modyfikacja ryzyka polega na wprowadzeniu kontroli mającej na celu zmniejszenie prawdopodobieństwa jego wystąpienia (zobacz przykład 2).

Przykład

Aby zredukować ryzyko związane z zabezpieczeniem danych osobowych w formie papierowej, należy zorganizować dedykowane szkolenia dla określonej grupy personelu.

Unikanie ryzyka

Wybierając to rozwiązanie, administrator powinien przerwać działania, które generują stwierdzone ryzyko (zobacz przykład 3).

Przykład

Administrator chce uniknąć niewłaściwego zabezpieczenia dokumentów papierowych. W celu uniknięcia ryzyka może nakazać pracownikom przechowywanie tych dokumentów wyłącznie w szafie zamykanej na klucz lub niepozostawianie ich bez nadzoru.

Przeniesienie ryzyka

Najczęściej polega na zleceniu określonych czynności związanych z przetwarzaniem danych podmiotowi zewnętrznemu, np. w drodze powierzenia przetwarzania danych (zobacz przykład 4).

Przykład

Administrator decyduje się przekazać dokumentację księgową zewnętrznej firmie rachunkowej, z którą podpisuje umowę powierzenia przetwarzania danych.

Uwaga

W przypadku powierzenia przetwarzania danych osobowych ostateczna odpowiedzialność wciąż spoczywa na administratorze danych. Niemniej jednak nie jest wykluczone, że podmiot przetwarzający specjalizujący się w danego rodzaju działalności będzie w stanie wdrożyć lepsze zabezpieczenia danych, niż mógłby to zrobić administrator.

Akceptacja ryzyka

Administrator akceptuje ryzyko i uważa, że koszt postępowania z ryzykiem jest większy niż szkody, które ryzyko może spowodować.

Krok 4. Wprowadź stosowne zabezpieczenia

Na koniec, na bazie oszacowanego ryzyka i ustalonego planu postępowania z tym ryzykiem, administrator powinien podjąć decyzję o wdrożeniu odpowiednich zabezpieczeń. Jakich? To już zależy od samego administratora. Wszak uwzględniwszy stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, m.in.:

pseudonimizację i szyfrowanie danych osobowych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Jest to jedynie przykładowe, niewiążące wyliczenie.

Przykład

Przykładowe środki bezpieczeństwa

organizacyjne (zarządzanie personelem, incydentami, udziałem stron trzecich – podmiotów przetwarzających);
środki kontroli logicznej (anonimizacja, pseudonimizacja, środki kontroli dostępu do zasobów informatycznych, środki wspierające weryfikację danych na etapie ich wprowadzania itp.).

A może by tak zautomatyzować ten proces

Analiza ryzyka może być przeprowadzana ręcznie, ale niewykluczone jest też zautomatyzowanie tego procesu z wykorzystaniem przystosowanych do tego celu narzędzi informatycznych. Automatyzacja analizy powinna zaistnieć, zwłaszcza w przypadku gdy procesy przetwarzania danych w organizacji są skomplikowane i generują potencjalnie większe ryzyko. Takim narzędziem informatycznym jest m.in. program GDPR Risk Tracker przygotowany przez specjalistów z Kancelarii Lubasz & Wspólnicy. Narzędzia takie pozwalają nie tylko na bardzo szczegółowe szacowanie ryzyka, przy uwzględnieniu wszystkich istotnych aspektów przetwarzania danych osobowych, ale też sprzyjają zachowaniu spójności pomiędzy różnymi procesami przetwarzania danych w ramach jednej organizacji.

Źródło:

„Jak rozumieć podejście oparte na ryzyku”, Poradnik RODO. Część 1, maj 2018, Prezes Urzędu Ochrony Danych Osobowych.

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 24, art. 32.