W odniesieniu do ochrony danych osobowych za ryzyko uznajemy wszelkie zdarzenia, które naruszają bezpieczeństwo danych osobowych.
Analiza ryzyka ma natomiast na celu ustalenie, jakie są potencjalne zagrożenia związane z przetwarzaniem danych osobowych oraz wybranie takich zabezpieczeń, których wdrożenie pozwoli zneutralizować te zagrożenia w danej organizacji i osiągnąć odpowiedni poziom ochrony danych osobowych.
RODO nie wskazuje określonej metody prowadzenia procesu zarządzania ryzykiem. Znane są różne metody analizy ryzyka (w tym normy ISO/IEC), z których można czerpać inspiracje dla tworzenia własnych metodyk. Istotne jest, aby zastosowana metodyka dawała rzetelną i obiektywną ocenę ryzyka w danej organizacji.
Wyodrębnienie aktywów
Analiza ryzyka powinna zostać ropoczęta od ustalenia, jakie aktywa biorą udział w przetwarzaniu danych osobowych w danym procesie. Aktywa to każdy element organizacji, który ma dla niej jakąś wartość. Będą to na pewno procesy biznesowe, w których przetwarzane są dane osobowe, a które są określane w rejestrze czynności przetwarzania i rejestrze kategorii przetwarzania. Aktywami mogą być również pracownicy, sprzęt, klienci czy mechanizmy działania w ramach organizacji. Wszystkie aktywa związane z przetwarzaniem danych powinny zostać ujęte w analizie ryzyka.
Charakter, zakres, kontekst i cele przetwarzania danych
Po wyodrębnieniu aktywów, ustalamy charakter przetwarzania danych osobowych, czyli to, jakie operacje przetwarzania danych wykonywane są w organizacji i jakich kategorii danych dotyczą poszczególne operacje na danych (dane zwykłe, dane szczególnych kategorii). Ustalamy również zakres przetwarzania danych, tj. ilu osób dotyczą przetwarzane dane.
Analizując kontekst przetwarzania danych osobowych, bierzemy pod uwagę także inne okoliczności prawne i faktyczne związane z przetwarzaniem danych. Obejmują one:
- wszystkie wymagane zasady przetwarzania określone w art. 5 RODO, w tym m.in.: istnienie podstawy prawnej, przejrzystość, ograniczenie celu, minimalizację danych, czas przetwarzania danych (ich retencję);
- zapewnienie respektowania poszczególnych uprawnień podmiotów danych (np. prawa dostępu do danych, prawa do sprostowania, prawa do usunięcia danych, prawa do przenoszenia danych);
- wprowadzenie odpowiednich procedur, środków bezpieczeństwa i dokumentacji;
- ustanowienie kontroli skuteczności wprowadzenia określonych rozwiązań.
Ostatnim elementem, który powinien być wzięty pod uwagę jest cel przetwarzania danych osobowych, czyli informacja dlaczego administrator zgromadził dane osobowe i po co dokonuje na tych danych operacji. Informacje te będą nam potrzebne zarówno do ustalenia potencjalnych zagrożeń, jak również w dalszej kolejności do szacowania ryzyka.
Ustalenie zagrożeń
Następnie do każdego wyodrębnionego aktywu powinny zostać przypisane potencjalne zagrożenia (inaczej źródła ryzyka), które wiązać się będą z wystąpieniem ryzyk dla przetwarzanych poprzez te aktywa danych. Powinniśmy w szczególności uwzględnić, że inne zagrożenia dotyczą przetwarzania danych osobowych w systemach IT, a inne przetwarzania danych za pomocą tradycyjnych dokumentów, analizowanych przez pracowników. Zagrożenia możemy ogólnie podzielić na techniczne, czyli te związane z wykorzystywanym sprzętem lub oprogramowaniem oraz organizacyjne – związane z samym funkcjonowaniem organizacji czy działaniami pracowników. Nie należy także zapominać, że zagrożenia mogą być zarówno zewnętrzne – włamanie do biura, zhakowanie systemu informatycznego, jak i wewnętrzne. Te ostatnie będą głównie związane właśnie z działaniem organizacji i zatrudnianych przez nią ludzi. Dodatkowo niekorzystne skutki dla przetwarzania danych osobowych mogą także powodować również zdarzenia losowe, takie jak: pożar lub zalanie.
Potrzebujesz indywidualnej pomocy w przygotowaniu procedury analizy ryzyka oraz przeprowadzeniu tej analizy? Napisz do mnie na adres: kontakt@legalnyprzedsiebiorca.pl.
Szacowanie ryzyka
Po ustaleniu, jakie aktywa są istotne z punktu widzenia ochrony danych osobowych oraz stwierdzeniu potencjalnych zagrożeń dotyczących przetwarzania tych danych należy ustalić ryzyko.
Mówiąc o ryzyku naruszenia praw i wolności osób fizycznych na gruncie RODO, konieczne jest uwzględnienie:
- prawdopodobieństwa wystąpienia określonego zdarzenia będącego naruszeniem (ryzyka), oraz
- powagi tego zdarzenia (ryzyka), tj. wystąpienia i wielkości szkody/niepożądanych skutków, jakie zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą.
Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności podmiotu danych należy określić przez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej i rzeczowej analizy, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.
Można w tym zakresie odnieść się do następującego wzoru:
Rp = P x (Sd + Si + Sp)
Rp – poziom wyliczanego ryzyka,
P – wartość przypisana prawdopodobieństwu materializacji zagrożenia,
Sd, Si, Sp – skutki zdarzenia odpowiednio w zakresie
dostępności informacji, integralności oraz poufności
Prawdopodobieństwo i powaga ryzyka
Prawdopodobieństwo wystąpienia ryzyka polega na ustaleniu, czy istnieje potencjalna możliwość, że w związku z określonym aktywem dojdzie do ziszczenia się któregoś z zagrożeń, co doprowadzi do naruszenia ochrony danych osobowych.
Wartość przypisana prawdopodobieństwu materializacji zagrożenia może wyglądać następująco: 1- małe, 2 – średnie, 3 – wysokie.
Powaga zdarzenia, oznaczająca skutki zdarzenia powinna być ustalona odpowiednio w zakresie dostępności informacji, integralności oraz poufności, gdzie 1 – może oznaczać niskie skutki ryzyka, 2 – średnie, 3 – wysokie.
Wdrożenie środków pozwalających na zmniejszenie ustalonego ryzyka
Każda ocena ryzyka powinna zakończyć się jednym z czterech działań:
- modyfikacją (redukcją) ryzyka — wpływaniem na wielkość ryzyka, np. poprzez wprowadzenie dalszych zabezpieczeń;
- zachowaniem (akceptacją) ryzyka — decyzją o niewprowadzaniu żadnych zmian w działaniu organizacji;
- unikaniem ryzyka — rezygnacją z aktywów, w odniesieniu do których np. ryzyko jest zbyt wysokie, koszty wdrożenia zabezpieczeń przewyższają zyski itp.,
- dzieleniem (przeniesieniem) ryzyka — przekazaniem ryzyka innemu podmiotowi, np. poprzez wykupienie ubezpieczenia, zawarcie umowy powierzenia etc.
Jeżeli poziom wyliczonego ryzyka nie jest akceptowalny należy wprowadzić środki, które pozwolą na jego obniżenie – modyfikacja ryzyka. Następnie należy ocenić poziom ryzyka po zastosowaniu środków zaradczych. Jeżeli zastosowane środki bezpieczeństwa nie okażą się skuteczne, powinieneś określić inny sposób, który wyeliminuje lub zminimalizuje ryzyko.
Konieczność dokonywania okresowych przeglądów
Ryzyka zmieniają się w czasie oraz wraz z rozwojem organizacji. Analiza powinna być przeprowadzana przed wdrożeniem każdego nowego procesu w firmie oraz okresowo w celu weryfikacji, czy wprowadzone środki są dalej adekwatne i zapewniają odpowiednią ochronę danych osobowych. Dokonywanie analizy i oceny ryzyka jest zatem procesem ciągłym i nie jest wystarczające jednorazowe sporządzenie dokumentu.
Chcesz dowiedzieć się więcej o ochronie danych osobowych i szukasz wsparcia prawnego? Dołącz do grupy na Facebooku Legalny Przedsiębiorca – wsparcie prawne dla przedsiębiorczych, wymieniaj się doświadczeniami oraz bądź z prawem na bieżąco.