To, w jaki sposób powinna zostać przeprowadzona ocena ryzyka jest jednym z kluczowych elementów związanych z zabezpieczeniem danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.
Ocena ryzyka RODO – definicja ryzyka
Rozporządzenie o ochronie danych osobowych (RODO), choć często odnosi się do ryzyka, nie definiuje jego pojęcia. Ryzyko zostaje wskazane w odniesieniu do naruszenia praw i wolności osób fizycznych, których dane dotyczą. To z kolei sprowadza się do określenia:
- prawdopodobieństwa wystąpienia określonego zdarzenia będącego naruszeniem oraz
- powagi tego zdarzenia, tj. wielkości szkody, jakie zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą.
Ocena ryzyka RODO – podejście oparte na ryzyku
RODO wprowadza zasadę podejścia do ochrony i bezpieczeństwa opartego na ryzyku tzw. risk based approach. Zasada określa sposób realizacji obowiązków nałożonych na administratora.
Co ważne, podejście ochrony danych osobowych oparte na ryzyku nie wskazuje określonych środków i procedur w zakresie bezpieczeństwa jakie powinny zostać wdrożone przez administratora i podmiot przetwarzający. Zobowiązuje ich natomiast do dokonania samodzielnej analizy pozwalającej na określenie stopnia ryzyka w konkretnym przypadku.
Jak wskazuje motyw 76 RODO, ocena ryzyka powinna być określona w odniesieniu do charakteru, zakresu, kontekstu i celów przetwarzania danych. To administrator lub podmiot przetwarzający powinni sami dokonać wyboru odpowiednich spośród dostępnych środków: prawnych, organizacyjnych czy technicznych.
Ocena ryzyka RODO a zasada privacy by design
Podejście oparte na ryzyku wymusza w pewien sposób na administratorze i podmiocie przetwarzającym zapewnienie odpowiedniej ochrony na każdym etapie przetwarzania danych, od momentu zbierania danych, aż do momentu ich usunięcia.
W odniesieniu do powyższego istotną kwestią jest zasada privacy by design. Wskazuje ona na uwzględnianie ochrony danych już w fazie projektowania. Takie rozwiązanie pozwala na identyfikację możliwych problemów już na samym początku procesu. Ponadto, podczas projektowania nowych działań jesteśmy w stanie zwrócić większą uwagę na spełnianie wymogów RODO, a także uniknąć ryzyka mogącego wynikać z procesu przetwarzania danych.
! Pamiętajmy, że za nowe projekty należy uznawać także modyfikacje dotychczas funkcjonujących już rozwiązań czy projektów.
Zastosowanie podejścia privacy by design nie powinno przesłaniać nam obowiązku stałego monitorowania i sprawdzania poziomu skuteczności rozwiązań. Powinno odbywać się regularnie.
Ocena ryzyka RODO – jaką metodykę wybrać?
RODO nie wskazuje jednej konkretnej metody szacowania ryzyka. Nie ma również potrzeby tworzenia własnej metodyki.
Do metodyk przeprowadzania procesu zarządzania ryzykiem można zaliczyć wytyczne francuskiego regulatora CNIL, a także techniki bezpieczeństwa zarządzania ryzykiem w bezpieczeństwie informacji zawarte w normie ISO/IEC 27005.
Bez względu na wybór określonego sposobu szacowania ryzyka, najważniejsze jest, aby zastosowana metodyka dawała rzetelną i obiektywną ocenę ryzyka. Decyzja związana z wyborem metody pozostaje w gestii administratora. To on sam powinien określić, na podstawie struktury, wielkości, organizacji czy możliwości technicznych i organizacyjnych, a także finansowych określić jaką metodę wybierze.
Jak przeprowadzić ocenę ryzyka? – przykładowy wzór
Analiza ryzyka powinna być przeprowadzana w odniesieniu do czynności przetwarzania danych przy jednoczesnym uwzględnieniu takich operacji na danych, które to ryzyko generują.
Zgodnie z RODO ocena ryzyka zawierać powinna co najmniej opis planowanych operacji przetwarzania i celów przetwarzania, ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, a także ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą. Ponadto, obowiązkowym elementem jest określenie środków planowanych w celu zaradzenia ryzyku, w tym zabezpieczeń oraz środków i mechanizmów bezpieczeństwa mających zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO.
Najczęstszą metodą, wskazywaną także w poradniku Urzędu Ochrony Danych Osobowych, jest określenie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu.
Z praktycznego punktu widzenia powinniśmy być w stanie przewidzieć, co może stać się z danymi przetwarzanymi w ramach konkretnej czynności. W następnej kolejności, musimy być w stanie ocenić prawdopodobieństwo wystąpienia takiego zdarzenia oraz określić jakie będzie mieć to skutki dla osób, których dane dotyczą. Następnie powinniśmy określić jaki poziom ryzyka jest dla nas tolerowany. Pamiętać przy tym należy, że za niedopuszczalny uznaje się stan wysokiego ryzyka naruszenia praw i wolności osób fizycznych, wymaga on konsultacji z organem nadzorczym.
Należy pamiętać, że podejście oparte na ryzyku jest procesem ciągłym wymaga stałego szacowania poziomu przetwarzaniem danych osobowych, a ocena ryzyka RODO powinna być dokonywana regularnie.