Proces analizy ryzyka w kontekście ochrony danych osobowych i wpływy ryzyk na poszczególne osoby jest procesem złożonym, często wymagającym zaangażowania osób z różnych zespołów. Nie jest procesem jednorazowym, lecz ciągłym.
Analiza ryzyka służy przede wszystkim do zrewidowania wykonywanych czynności lub zachodzących procesów w organizacji pod kątem znalezienia w nich luk/słabości, mogących doprowadzić do naruszenia ochrony danych osobowych.
Innymi słowy, analiza ryzyka powinna – poprzez identyfikację podatności – pomóc w doborze odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania wystąpienia sytuacji zagrażających bezpieczeństwu danych osobowych.
Norma ISO 27000
Z kolei odwołując się do definicji znajdujących się w normie ISO 27000, analiza ryzyka ma na celu poznanie charakteru ryzyka w celu określenia jego poziomu, co pozwoli organizacji na podjęcie decyzji co do dalszego postępowania z ryzykiem.
Co prawda grupa norm ISO 27000 mówi o ryzyku w kontekście wpływu np. finansowego czy reputacyjnego na organizację w przypadku ziszczenia się scenariuszy. Jednak w obszarze ochrony danych bazuje się na definicjach znajdujących się w normie ISO 27000, dostosowując je do kontekstu działania organizacji, dla której będą realizowane szacunki oceny ryzyka.
RODO: obowiązki administratora
W samym RODO jest mowa o ryzyku i wysokim ryzyku naruszenia praw i wolności podmiotów danych, czyli osób fizycznych. Do obowiązków administratora, czyli pomiotu decydującego o celach i sposobach przetwarzania danych, należy dobór odpowiednich środków technicznych (np. ograniczenie dostępu do pomieszczeń za pomocą karty, szyfrowanie dysków, blokowanie portów USB) i organizacyjnych (np. wdrożenie procedury nadawania uprawnień, plan ciągłości działania).
Jednak, żeby właściwie dobrać te środki, zgodnie z art. 24 RODO administrator musi uwzględnić:
- charakter przetwarzania,
- zakres,
- kontekst,
- cele przetwarzania,
- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze.
Ocena ryzyka naruszenia praw i wolności stanowi wyzwanie dla administratorów właśnie ze względu na trudność w jej dokonaniu wobec osób, które są np. klientami administratora, jego pracownikami, pacjentami, dłużnikami czy sygnalistami.
Należy zwrócić uwagę, że właśnie dla tych osób, które pozostają w różnych relacjach z administratorem, ocena ryzyka będzie stanowić narzędzie szacujące prawdopodobieństwo wystąpienia zagrożeń, a w przypadku ich wystąpienia – określające, jak dane zdarzenie wpłynie na daną osobę. Przeprowadzenie analizy takiego wpływu bez danych historycznych, znajomości zagrożeń, wdrożonych środków technicznych i organizacyjnych może okazać się wyzwaniem dla organizacji.
Obecnie administratorzy korzystają z opracowanych przez siebie metodyk przeprowadzania analizy ryzyka, z narzędzia dostarczanego przez francuski organ nadzorczy czy też dostępnych na rynku aplikacji.
Elementy, które powinny być zapewnione
Istotne jest, by podejmując decyzję co do przyjmowanej metodologii przez organizację, pamiętać o kilku podstawowych elementach, które powinny być zapewnione:
- uzasadnieniu dla przyjętych mechanizmów wyliczeń poziomu ryzyka – dlaczego zastosowano właśnie taki a nie inny wzór matematyczny (chyba, że stosujemy metodę opisową);
- kwestii związanych z powtarzalnością procesu umożliwiającą porównywanie wyników w danym czasie w oparciu o te same przyjęte parametry;
- dostępności dla osób ją wykonujących, np. wspólnie edytowalny plik zapewniający rozliczalność dla wprowadzanych zmian.
Analiza powinna być powtarzana
Proces analizy ryzyka w kontekście ochrony danych osobowych i wpływy ryzyk na poszczególne osoby jest procesem złożonym, często wymagającym zaangażowania osób z różnych zespołów. Nie jest procesem jednorazowym, tylko ciągłym – wymagającym od organizacji regularnego dostosowywania do aktualnie zachodzących w niej procesów czy wykonywanych czynności związanych z przetwarzaniem danych osobowych.
Analiza powinna być powtarzana w szczególności, gdy dojdzie do jakiegokolwiek incydentu bezpieczeństwa, gdy dane będą przekazywane poza Europejski Obszar Gospodarczy lub gdy wprowadzane jest nowe narzędzie w procesie.
Analizę ryzyka za pomocą narzędzia GDPR Risk Tracker wykonasz teraz w produkcie LEX Ochrona Danych Osobowych, dowiedz się więcej >>
Magdalena Szczytko-Sołtysiak
Liderka zespołu ochrony danych osobowych
Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp. k.
