Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonus - ankietę do badania RODO-świadomości pracowników.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Ocena ryzyka w RODO – jak się za to zabrać? (cz.2)

Ocena skutków, ocena ryzyka, DPIA, PIA czy szacowanie ryzyka – już wiemy z poprzedniej części naszej serii Ocena ryzyka w RODO, że niekoniecznie oznaczają to samo.

Zaprowadziliśmy już porządek w tym zakresie! Czas na rzucenie światła na pozostałe zagadnienia dotyczące oceny ryzyka.

W artykule odpowiem na pytania: czy ocena ryzyka to proces, czy konieczne jest stosowanie określonej metodyki, kto powinien uczestniczyć w ocenie ryzyka. Zastanowimy się jak zabrać się za ocenę ryzyka, tak aby zrobić ją efektywnie i zgodnie z RODO.

Zapraszam do lektury!

Czy ocenę ryzyka należy traktować jako proces w ochronie danych osobowych?

Tak. Ocena ryzyka jest istotnym procesem – procesem budowania i wykazywania zgodności.

Według opinii Grupy Roboczej art. 29 (przyjętej następnie przez Europejską Radę Ochrony Danych) – ocena ryzyka jest dla Administratora danych ważnym narzędziem rozliczalności. Wszystko po to, żeby Administrator mógł wykazać przed Regulatorem, że w wyniku przeprowadzonej przez niego analizy zdiagnozowano właściwie zagrożenia i zastosowano adekwatne do wysokości ryzyk zabezpieczenia.

W tym miejscu warto bliżej przyjrzeć się treści art. 5 RODO z którego jasno wynika, że Administrator jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Jak już wiemy RODO wprowadziło zasadę podejścia opartego na ryzyku (tzw. „risk-based approach”), co w skrócie oznacza wdrożenie przez Administratora zasad, które pozwolą na wykazanie respektowania w jego organizacji przepisów RODO. Okazuje się, że w praktyce jest to nie lada wyczyn. Należy samodzielnie wybrać środki, które umożliwią stosowanie zasady rozliczalności.

Mogą to być:

  • środki prawne: m.in. umowy powierzenia, ustalenia o współadministrowaniu, klauzule informacyjne, zgody.
  • środki organizacyjne: m.in. powołanie IOD, ASI, szkolenia, upoważnienia, polityki, regulaminy, procedury, prowadzenie Rejestru czynności przetwarzania, ocena ryzyka.
  • środki ochrony fizycznej i technicznej: m.in. monitoring wizyjny, zabezpieczenie aplikacji i systemów informatycznych.

Dodatkowo pozostają nam jeszcze obowiązki względem Regulatora: m.in. zgłaszanie incydentów, zgłaszanie IOD.

Patrząc na powyższą listę, można śmiało stwierdzić, że ocena ryzyka jest jednym ze środków, który będzie w znaczonej mierze pomocny w realizacji zasady rozliczalności.

Jak stosować ocenę ryzyka?

Już wiemy, że ocena ryzyka to proces, który ma na celu zapewnienie przez Administratora właściwego poziomu ochrony przetwarzanych przez niego danych.

Nasuwa się pytanie: czy możemy określić działania, które należy wziąć pod uwagę podczas oceny ryzyka?

Tak. Z pomocą przychodzi koło opracowane przez amerykańskiego specjalistę statystyka Williama Edwardsa Deminga. Koło zwane również Cyklem Deminga, jest schematem wykorzystywanym w systemie zarządzania bezpieczeństwem informacji i służy do utrzymania i ciągłego doskonalenia tego systemu.

Źródło: Prezentacja „Analiza ryzyka a ocena skutków dla ochrony danych” Michał Mazur „Jak stosować podejście oparte na ryzyku”, grudzień 2019

 Poszczególne etapy polegają na:

  1. Planowaniu – ustalenie kontekstu – określenie wszystkich informacji i uwarunkowań dot. organizacji (np. struktura rozmiar organizacji, korzystanie z usług firm zewnętrznych, środowisko prawne).
  2. Wykonaniu – mechanizmy kontrolne – opis i identyfikacja zastosowanych środków bezpieczeństwa i mechanizmów kontrolnych zapewniających realizację wymagań biznesowych, prawnych (np. opis procesów przetwarzania danych, podstawa prawna legalizująca przetwarzanie danych, źródło pozyskiwania danych, czas retencji, zabezpieczenia, ogólna ocena ryzyka).
  3. Sprawdzeniu – szacowanie ryzyka. Określamy prawdopodobieństwo i skutki ryzyka dla praw i wolności osoby, której dane dotyczą.
  4. Działaniu – postępowanie z ryzykiem. Podejmujemy decyzję jak postępujemy z oszacowanym ryzykiem – redukcja, akceptacja, unikanie, przeniesienie.

Metoda szacowania ryzyka wg RODO- czy istnieje?

Nie. RODO nie wskazuje metod szacowania ryzyka. Wybór metody leży po stronie Administratora.

W tym miejscu można podać kilka rozwiązań, których użycie można rozważyć.

Niektóre z nich zostały opracowane przed RODO, ale przedstawiają schematy, które są do zastosowania w obecnym stanie prawnym.

Należy pamiętać, że w przypadku korzystania z metod określonych w normach ISO nie mamy szacowania ryzka pod kątem praw i wolności osób, których dane dotyczą, lecz pod kątem Administratora. Jest to zatem inna perspektywa niż ta, której wymaga od nas RODO. Według Rozporządzenia bowiem obowiązkiem Administratora jest oszacowanie ryzyka z perspektywy osoby, której dane dotyczą. Przyjęcie zatem rozwiązań ISO bez ich modyfikacji w tym zakresie nie będzie dawało nam gwarancji prawidłowości wykonania DPIA. Podsumowując, wg. RODO: Szacujemy ryzyko z perspektywy osoby.

Oto przykłady niektórych rozwiązań:

  • Metodyka zarządzania ryzykiem cyberprzestrzeni w systemach zarządzania bezpieczeństwem informacji podmiotów rządowych

Komitet Rady Ministrów ds. Cyfryzacji przyjął dokument 12 listopada 2015 r. i rekomendował administracji rządowej stosowanie określonej w nim metodyki.

  • Norma ISO/IEC 27005:2011

Technika Informatyczna. Technika bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji – w zakresie dotyczącym analizy ryzyka.

  • Norma ISO/IEC 29134:2018

Technika informatyczna. Techniki bezpieczeństwa. Wytyczne dotyczące oceny skutków dla prywatności.

  • Wytyczne EROD

Wytyczne w polskiej wersji językowej dostępne są na stronie EROD.

  • Wytyczne francuskiego Regulatora CNIL

Commission Nationale de l’Informatique et des Libertés (CNIL)., Privacy Impact Assessment (PIA) Guidelines

  • Opracowania ISACA

Opracowania można znaleźć na stronie ISACA. Online dostępne są także materiały szkoleniowe „Integrated Risk Management Essentials” oraz „Integrated Risk Management Essentials (Advanced Managerial).

  • Sektorowe dokumenty unijne

Szablon oceny skutków dla ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych

Ramy oceny skutków dla ochrony danych i prywatności w zastosowaniach RFID

kurs IOD

Masz do przeprowadzenia DPIA i potrzebujesz wsparcia?

Skorzystaj z pomocy naszych ekspertów. Sprawdzimy Twój proces przetwarzania danych pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, dokonamy analizy legalności przetwarzania, ocenimy stosowane zabezpieczenia, sprawdzimy realizację obowiązków względem organu nadzoru i osób, których dane przetwarzasz. Przygotujemy plan naprawczy.

Sprawdź

Jak szacować poziom ryzyka – czy są gotowe rozwiązania?

Tak. Decyzja o wyborze metody pozostaje w rękach Administratora.

Jakie elementy należy wziąć pod uwagę? Tu przychodzi z pomocą treść motywu 76 RODO:

(76) Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

 Najczęściej stosowana jest jedna z poniższych metod:

  1. Ilościowa analiza ryzyka
  2. Jakościowa analiza ryzyka

Najprostszą metodą jest zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Do tego celu wykorzystuje się tzw. macierz ryzyka. Przykład poniżej.

Źródło: Poradnik GIODO „Jak stosować podejście oparte na ryzyku”, s. 23, kwiecień 2018

 

Czy RODO określa zakres oceny ryzyka?

Tak. Jak już wiemy RODO nie narzuca metodyki przeprowadzania, ale daje nam wskazówki jakie elementy muszą być uwzględnione w naszej ocenie ryzyka.

Wytyczne znajdziemy w art. 35 ust. 7 RODO:

Ocena powinna zawierać co najmniej:

  • opis planowanych operacji przetwarzania i celów przetwarzania,
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • wskazanie środków planowanych w celu zaradzenia ryzyku i zapewnieniu zgodności z RODO.

Czy możliwa jest ocena ryzyka bez IOD-a?

Nie. Jeśli IOD został powołany Administrator danych nie ma możliwości jego pominięcia w procesie.

Wynika to z treści art. 35 ust. 2 RODO:

Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.

Ponadto, oprócz ścisłej współpracy pomiędzy Administratorem, Inspektorem ochrony danych wskazana jest również współpraca z podmiotem przetwarzającym, na każdym z etapów dokonywania oceny skutków dla ochrony danych.

Podsumowanie

Ocena ryzyka jest procesem, w którym opisujemy przetwarzanie, oceniamy niezbędność i proporcjonalność przetwarzania. To wszystko, aby właściwie zarządzać ryzykiem wynikającym z przetwarzania danych osobowych. Co oznacza, że szacujemy ryzyko naruszenia praw lub wolności osób, których dane dotyczą poprzez ocenę ryzyka i ustalenie środków mających mu zaradzić.

Metoda szacowania ryzyka może być opracowana przez samego Administratora, zapożyczona, zmodyfikowana i dostosowana do jego potrzeb.

Najważniejsze, aby wybrana metoda pozwalała na rzetelną i obiektywną ocenę i zapewniała realizację zasady rozliczalności.

Pamiętajmy, że:

Dokonanie oceny pozwala wykazać administratorowi, że podjął odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO w jego organizacji.

W następnym artykule przedstawię więcej szczegółów dotyczących poszczególnych etapów oceny ryzyka.

Powiązane artykuły

dpia szacowanie ryzyka RODO
Ocena Ryzyka w RODO – jak się za to zabrać? (cz.1)

2 Odpowiedzi

  1. Dew

    dla m ie te wszystkie tłumaczenie szeroko rozumianej analizy ryzyka to zwykły bełkot, ktòry niczego nie wyjaśnia. A CO DO ryzyka, to nie trzeba tu nic szacować i przeprowadzać skomplikowanych kalkulacji bo żeby to zrobić należałoby uwzględnić x niewiadomych. Prostsze jest już obstawiać mecz u bukmachera, ten przynajmniej wskazuje na gotowe zdarzenia które mogą się wydarzyć.

    1. Lex Artist

      Dzień dobry:-) ocena ryzyka nie należy do łatwych zadań. Najistotniejsze jest to, aby metodę szacowania ryzyka dostosować do wielkości i złożoności organizacji. Dla małej firmy proces nie musi być aż tak złożony jak np. dla dużej korporacji. Problem z oceną ryzka wg RODO polega na tym, że Administrator sam wybiera sposób w jaki dokona szacowania- najważniejsze aby był efektywny. Pozdrawiamy!

Zostaw odpowiedź