Po wykonaniu czynności przygotowawczych do analizy ryzyka czas na jej przeprowadzenie.
Jowita Sobczak
doktor nauk prawnych, specjalista z zakresu ochrony danych osobowych, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze Generalnego Inspektora Ochrony Danych Osobowych
Adrianna Michałowicz
aplikant adwokacki, Kancelaria Lubasz & Wspólnicy
Analiza ryzyka to podstawowe narzędzie wspierające ochronę praw i wolności osób fizycznych, których dane osobowe są przetwarzane w organizacji. Powinien być to proces ciągły, realizowany i monitorowany regularnie według określonego planu. Ustalenia zawarte w tym planie powinny być skutecznie realizowane, wdrażane i kontrolowane w organizacji. Sprawdź, jak dokonać analizy ryzyka.
Krok 1. Dostosuj proces analizy do danej organizacji
Nim administrator rozpocznie proces analizy ryzyka, musi zaplanować go tak, aby był dostosowany do poziomu złożoności struktury organizacyjnej. Zwłaszcza w przypadku bardziej skomplikowanych organizacji zalecane jest powołanie zespołu odpowiedzialnego za proces zarządzania ryzykiem, na czele którego stanie osoba koordynująca proces.
W działania też można zaangażować inspektora danych, którego wsparcie polega np. na opracowaniu listy zagrożeń dla bezpieczeństwa danych.
Krok 2. Zastosuj wybraną metodę szacunku
Jako że szacowanie ryzyka ma na celu określenie strat, które mogą powstać w wyniku wystąpienia określonych zagrożeń, w szacunku należy uwzględnić zarówno prawdopodobieństwo, jak i mierzalne skutki takiego zagrożenia.
Jak już wskazaliśmy, RODO nie definiuje metodyki szacowania ryzyka. Administrator może więc wybrać metodykę, która będzie najlepiej dostosowana do potrzeb organizacji.
Wybrana metodyka powinna uwzględniać: - zakres i cele przetwarzania,
- rodzaj danych,
- wielkość, strukturę oraz możliwości finansowe administratora danych.
Z norm ISO/IEC wynika, że ocena ryzyka może zostać przeprowadzona w sposób ilościowy, jakościowy lub mieszany.
Metoda ilościowa
Stosując tę metodę, należy określić dwa podstawowe parametry:
- wartość skutku,
- prawdopodobieństwo wystąpienia danego ryzyka.
Dzięki zastosowaniu tej metody szacowanie i wyniki są obiektywne i dzięki temu mogą być porównywalne.
Metoda jakościowa
Ta metoda bywa stosowana częściej. Jej istotą jest korzystanie ze zdefiniowanych już wcześniej zakresów: niskich, średnich lub wysokich. W metodzie tej wykorzystuje się subiektywne miary i oceny, takie jak:
- wartości opisowe poziomów,
- zakresy wartości miar liczbowych
- przyporządkowanie miar podatnościom, zagrożeniom, skutkom.
Oprócz tego bierze się pod uwagę prawdopodobieństwo urzeczywistnienia się zagrożeń (zobacz przykład 1).
Przykład 1
Prawdopodobieństwo można stopniować następująco:
- zdarzenie rzadkie (nie odnotowano takiego przypadku w organizacji); zdarzenie możliwe (zjawisko nierozpowszechnione, ale możliwe do wystąpienia);
- zdarzenie prawdopodobne (prawdopodobnie wystąpi w większości okoliczności);
- zdarzenie bardzo prawdopodobne (wystąpi w najbliższym czasie).
Opisując ryzyko, warto skorzystać z następującego wzoru: (R) = (P) × (NS)
Gdzie:
(R) − poziom ryzyka,
(P) − prawdopodobieństwo wystąpienia,
(NS) − negatywny skutek, związany z ochroną praw oraz wolności osób, których dane dotyczą, oraz środków i środowisk, w których dane są przetwarzane.
Krok 3. Ustal, jak postąpić z oszacowanym ryzykiem
Następnym krokiem po ustaleniu ryzyka jest podjęcie decyzji, jak na to ryzyko zareagować. W zależności od poziomu ryzyka należy wybrać jedno z następujących rozwiązań.
Redukcja ryzyka
Redukcja czy inaczej modyfikacja ryzyka polega na wprowadzeniu kontroli mającej na celu zmniejszenie prawdopodobieństwa jego wystąpienia (zobacz przykład 2).
Aby zredukować ryzyko związane z zabezpieczeniem danych osobowych w formie papierowej, należy zorganizować dedykowane szkolenia dla określonej grupy personelu.
Unikanie ryzyka
Wybierając to rozwiązanie, administrator powinien przerwać działania, które generują stwierdzone ryzyko (zobacz przykład 3).
Administrator chce uniknąć niewłaściwego zabezpieczenia dokumentów papierowych. W celu uniknięcia ryzyka może nakazać pracownikom przechowywanie tych dokumentów wyłącznie w szafie zamykanej na klucz lub niepozostawianie ich bez nadzoru.
Przeniesienie ryzyka
Najczęściej polega na zleceniu określonych czynności związanych z przetwarzaniem danych podmiotowi zewnętrznemu, np. w drodze powierzenia przetwarzania danych (zobacz przykład 4).
Administrator decyduje się przekazać dokumentację księgową zewnętrznej firmie rachunkowej, z którą podpisuje umowę powierzenia przetwarzania danych.
W przypadku powierzenia przetwarzania danych osobowych ostateczna odpowiedzialność wciąż spoczywa na administratorze danych. Niemniej jednak nie jest wykluczone, że podmiot przetwarzający specjalizujący się w danego rodzaju działalności będzie w stanie wdrożyć lepsze zabezpieczenia danych, niż mógłby to zrobić administrator.
Akceptacja ryzyka
Administrator akceptuje ryzyko i uważa, że koszt postępowania z ryzykiem jest większy niż szkody, które ryzyko może spowodować.
Krok 4. Wprowadź stosowne zabezpieczenia
Na koniec, na bazie oszacowanego ryzyka i ustalonego planu postępowania z tym ryzykiem, administrator powinien podjąć decyzję o wdrożeniu odpowiednich zabezpieczeń. Jakich? To już zależy od samego administratora. Wszak uwzględniwszy stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, m.in.:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Jest to jedynie przykładowe, niewiążące wyliczenie.
Przykładowe środki bezpieczeństwa
- organizacyjne (zarządzanie personelem, incydentami, udziałem stron trzecich – podmiotów przetwarzających);
- środki kontroli logicznej (anonimizacja, pseudonimizacja, środki kontroli dostępu do zasobów informatycznych, środki wspierające weryfikację danych na etapie ich wprowadzania itp.).
A może by tak zautomatyzować ten proces
Analiza ryzyka może być przeprowadzana ręcznie, ale niewykluczone jest też zautomatyzowanie tego procesu z wykorzystaniem przystosowanych do tego celu narzędzi informatycznych. Automatyzacja analizy powinna zaistnieć, zwłaszcza w przypadku gdy procesy przetwarzania danych w organizacji są skomplikowane i generują potencjalnie większe ryzyko. Takim narzędziem informatycznym jest m.in. program GDPR Risk Tracker przygotowany przez specjalistów z Kancelarii Lubasz & Wspólnicy. Narzędzia takie pozwalają nie tylko na bardzo szczegółowe szacowanie ryzyka, przy uwzględnieniu wszystkich istotnych aspektów przetwarzania danych osobowych, ale też sprzyjają zachowaniu spójności pomiędzy różnymi procesami przetwarzania danych w ramach jednej organizacji.
- „Jak rozumieć podejście oparte na ryzyku”, Poradnik RODO. Część 1, maj 2018, Prezes Urzędu Ochrony Danych Osobowych.