Jak już wiemy z poprzedniej, drugiej części naszej serii Ocena ryzyka w RODO, dokonanie oceny ryzyka to proces pozwalający wykazać administratorowi, że podjął odpowiednie środki w celu zapewnienia zgodności z obowiązującymi regulacjami prawnymi.
Analiza ryzyka okazuje się skutecznym narzędziem wspierającym organizacje w realizacji zasady rozliczalności.
Nadszedł zatem czas na przyjrzenie się jak wyglądają poszczególne etapy oceny ryzyka w RODO!
Zapraszam do lektury!
- Część I: Ocena ryzyka w RODO – jak się za to zabrać? (cz.1) link: https://blog-daneosobowe.pl/ocena-ryzyka-w-rodo/
- Część II: Ocena ryzyka w RODO – jak się za to zabrać? (cz.2) link: https://blog-daneosobowe.pl/ocena-ryzyka-w-rodo-jak-sie-za-to-zabrac-cz-2/
Czy rejestr czynności przetwarzania (RCP) może być przydatny przy ocenie ryzyka?
Tak. Wstępną analizę ryzyka zaczynamy od przeglądu RCP.
Podstawowe informacje, które uzyskaliśmy przy tworzeniu RCP, poprzedzone analizą biznesową, wskazanie osoby, która odpowiada za dany proces przetwarzania danych osobowych np. rekrutację pracowników, są fundamentem wstępnej oceny ryzyka.
Ogólna analiza ryzyka, powinna uwzględniać wszystkie elementy w danych procesach wymagane przez przepisy. W szczególności trzeba mieć na uwadze treść art. 24, 30, 32 RODO. Jeśli na tym etapie dojdziemy do wniosku, że dane ryzyko ma wysoką wartość, istnieje duże prawdopodobieństwo, że konieczne będzie przeprowadzenie oceny skutków.
Najefektywniejszym rozwiązanym byłoby, aby wstępna ocena ryzyka była częścią RCP. Wstępnie szacujemy ryzyko dla każdego procesu np. przy wykorzystaniu checklisty opartej na kryteriach wskazanych w wytycznych EROD-załącznik nr 2.
| Przetwarzanie | Kryteria | Ocena skutków? |
|---|---|---|
| Usługa budująca profil żywieniowy użytkownika i informująca (reklamująca) o posiłkach w pobliskich restauracjach w zależności od lokalizacji użytkownika dostarczanej przez inną usługę (gromadzącą dane np. na potrzeby nawigacji samochodowej). | 1. Profilowanie 5. Duża skala 6. Połączenie zestawów danych | TAK |
Źródło: Prezentacja „Analiza ryzyka a ocena skutków dla ochrony danych” Michał Mazur „Jak stosować podejście oparte na ryzyku”, grudzień 2019
Mając rozpisane procesy, czynności wykonywane na danych, można dokonać szerszej analizy pytając o szczegóły osobę odpowiedzialną za dany obszar przetwarzania.
Czy ocenę ryzyka administrator wykonuje samodzielnie?
Nie zawsze. Często przy analizie będzie konieczny udział podmiotu przetwarzającego, który w razie potrzeby i na żądanie administratora powinien wspierać go w zapewnieniu przestrzegania tego obowiązku.
Czy możliwy jest podział oceny na etapy?
Tak. Takie podejście jest zalecane przez Urząd Ochrony Danych Osobowych (UODO) w poradniku „Jak stosować podejście oparte na ryzyku cz. 2”
Źródło: Poradnik GIODO „Jak stosować podejście oparte na ryzyku cz. 2”, rys. 1, s. 3, maj 2018
ETAP 1 – KONTEKST
To ogólne ustalenia, decyzje biznesowe, a także określenie: celu, zakresu, charakteru przetwarzania danych. W tym miejscu opisujemy przy użyciu jakich narzędzi odbywa się proces (np. jakie stosujemy systemy informatyczne), czy korzystamy z usług podmiotów zewnętrznych, czy przetwarzanie ma charakter zautomatyzowany czy nie. Wszystkie te informacje powinny być dostępne w RCP każdego Administratora.
ETAP 2 – MECHANIZMY KONTROLNE
Oceniamy mechanizmy kontrolne – odwołujemy się do konkretnych przepisów. Stawiamy pytania:
- czy są przesłanki legalizujące?
- czy jesteśmy w stanie zrealizować podstawowe zasady przetwarzania?
- czy stosowane rozwiązania umożliwią realizację praw osób, których dane są przetwarzane?
Na tym etapie wykonujemy również spis stosowanych środków bezpieczeństwa – organizacyjne, techniczne, fizyczne.
ETAP 3 – SZACOWANIE RYZYKA
Oceniamy ryzyko naruszenia praw osób. Identyfikujemy zagrożenia.
Źródło: Prezentacja Michał Mazur GIODO „Jak stosować podejście oparte na ryzyku”, rys. 14, s. 36, kwiecień 2018
Na tym etapie, bardzo przydatne jest przeanalizowanie informacji dot. zdarzeń, które miały już miejsce u administratora np. problem z określoną funkcjonalnością systemu informatycznego – ujawnienie danych użytkownikom, którzy nie mają uprawnień. Warto również wziąć pod uwagę incydenty, które miały miejsce u konkurencji.
Ostatnią częścią tego etapu jest określenie listy zidentyfikowanych ryzyk np. utrata danych wskutek nieprawidłowego działania systemu informatycznego oraz określenie poziomu ryzyka – np. niskie/średnie/wysokie.
ETAP 4 – POSTĘPOWANIE Z RYZYKIEM
Podejmujemy decyzje o postępowaniu z ryzykiem.
Mamy cztery możliwości działań wobec ryzyka:
- modyfikacja (np. redukcja przez zastosowania dodatkowych zabezpieczeń)
- zachowanie (akceptacja)
- dzielenie lub przeniesienie (np. skorzystanie z usług firmy zewnętrznej)
- unikanie (rezygnacja np. z dalszego przetwarzania danych)
Finalnie tworzymy dokumentację całej analizy i określamy jakie środki wdrożymy, aby dane były bezpiecznie przetwarzane, a ryzyka zminimalizowane do akceptowalnego poziomu.
Dodatkowo planujemy monitorowanie i przeglądy procesu.
Czy na podstawie przeprowadzonej oceny ryzyka możemy stwierdzić, że jest konieczne DPIA?
Tak. Istotą oceny ryzyka jest ustalenie czy w analizowanym procesie przetwarzania będzie konieczne przeprowadzanie oceny skutków ze względu na elementy wskazane w art. 35 RODO lub odbycie ewentualnych konsultacji z organem nadzorczym -art. 36 RODO. Relację między oceną ryzyka a DPIA obrazuje poniższy schemat. Już po Etapie 1 należy sprawdzić czy zachodzą przesłanki do wykonania DPIA.
Źródło: Poradnik GIODO „Jak stosować podejście oparte na ryzyku cz.2”, rys. 12, s. 33, maj 2018
Dla przypomnienia ocena skutków dla ochrony danych, zgodnie z treścią art. 35 RODO, wymagana jest w szczególności w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Z treści art. 35 ust 4 dowiadujemy się, że:
Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych.
Wykaz stanowi załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych.
Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami.
Podsumowanie
Ocena ryzyka jest procesem pomocnym dla administratora w zarządzaniu procesami przetwarzania danych, a przede wszystkim wykazaniu zgodności z RODO.
To proces wieloetapowy – wymagający rzetelnej analizy, a przede wszystkim decyzji administratora jak postępować z ryzykiem w jego organizacji.
Dla każdego administratora analiza będzie wyglądać inaczej, zależnie od wielkości jego organizacji, złożoności analizowanego procesu.
Nie znajdziemy gotowych rozwiązań w postaci formularzy, checklist, procedur. Zakres prac, sposób wykonywania oceny administrator samodzielnie przygotowuje wraz z osobami odpowiedzialnymi w jego organizacji za ochronę danych.
Ocena ryzyka zgodnie z RODO to przede wszystkim praca zespołowa.
Pamiętajmy też o tym, że właściwe przygotowane RCP będzie niezastąpionym źródłem informacji we wstępnej ocenie ryzyka.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 Przyjęte w dniu 4 kwietnia 2017 r. Ostatnio zmienione i przyjęte w dniu 4 października 2017 r.
- Kaczmarek, M. Młotkiewicz, A. Łapińska, A. Miłocha, M. Mazur, konsultacja J. Zawiła-Niedźwiedzki, Poradnik RODO. Podejście oparte na ryzyku, cz. 1 i 2, Jak stosować podejście oparte na ryzyku?, maj 2018
- Materiały ze szkolenia dla IOD „Ocena skutków dla ochrony danych osobowych”, szkolenie zorganizowane 19 grudnia 2918 r przez UODO
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.