Ocena skutków, ocena ryzyka, DPIA, PIA czy szacowanie ryzyka – to wszystko terminy mocno kojarzone z treścią RODO. Terminów jest dużo, bywają stosowane zamiennie, a niekoniecznie oznaczają to samo.
Zaprowadźmy trochę porządku w obszarze ryzyka!
W artykule wyjaśnię: jak rozumieć ocenę ryzyka w RODO, wskażę różnice pomiędzy oceną ryzyka, a oceną skutków, DPIA, a PIA. Zastanowimy się jak zabrać się za ocenę ryzyka, tak aby zrobić ją zgodnie z RODO i efektywnie. Zapraszam do lektury!
- Część II: Ocena ryzyka w RODO – jak się za to zabrać? (cz.2) link: https://blog-daneosobowe.pl/ocena-ryzyka-w-rodo-jak-sie-za-to-zabrac-cz-2/
- Część III: Ocena ryzyka w RODO – jak się za to zabrać? (cz.3) link: https://blog-daneosobowe.pl/ocena-ryzyka-w-rodo-jak-sie-za-to-zabrac-cz-3/
Obejrzyj uzupełnienie artykułu na YouTube…
… albo przesłuchaj w formie podcastu
Tytułem wstępu
O ryzyku stało się szczególnie głośno za sprawą Ogólnego rozporządzenia o ochronie danych (RODO). Zasada podejścia do ochrony i bezpieczeństwa opartego na ryzyku, tzw. „risk based aproach” realizowana jest m.in. poprzez obowiązek wykonania przez Administratora oceny skutków dla ochrony danych (OSOD), w angielskiej wersji Data Protection Impact Assessment (DPIA). Dodatkowo od lat stosowane jest pojęcie Privacy Impact Assessment (PIA), w tłumaczeniu na polski: ocena wpływu na prywatność.
Różnice wyjaśnię w dalszej części artykułu.
Podstawy prawne
Każdy Administrator w pierwszej kolejności powinien ocenić, czy istnieje prawdopodobieństwo wystąpienia wysokiego ryzyka. Dokonuje tej oceny przed podjęciem decyzji o przeprowadzeniu oceny skutków dla ochrony danych. Mamy tu do czynienia z ogólną oceną ryzyka. Uwaga: to nie jest jeszcze DPIA!
Warte podkreślenia jest, że Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Obowiązuje zasada „zrób to sam” tj. samodzielnie przeprowadź szczegółową analizę prowadzonych procesów przetwarzania danych – dokonaj oceny ryzyka. Następnie zastosuj takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
To zupełna odwrotność w stosunku do wcześniejszego podejścia.
Czy RODO definiuje co to jest ryzyko?
RODO wymienia konkretne ryzyka m.in.: dyskryminacja, kradzież tożsamości, strata finansowa, naruszenie dobrego imienia. Nie jest to lista pełna, ale jedynie zestaw przykładów, na których można bazować przygotowując swoją samodzielną ocenę ryzyka.
Bardzo ciekawe ujęcie ryzyka przedstawia opinia Grupy Roboczej art. 29:
„Ryzyko” jest scenariuszem opisującym zdarzenie i jego konsekwencje, oszacowanym pod względem powagi i prawdopodobieństwa ryzyka.
Czy ryzyko wg RODO dotyczy osoby czy organizacji?
Dotyczy osoby. W Rozporządzeniu ogólnym opisane jest ryzyko naruszenia praw osób, których dane dotyczą. Nie ma tu mowy o zagrożeniach dla Administratora. Nałożenie kary pieniężnej przewidzianej przez RODO nie może być traktowane jako zagrożenie w świetle RODO. To zagrożenie dla Administratora np. gdy nie przeprowadzi DPIA w tych procesach przetwarzania danych, w których jest to konieczne.
Ocena Ryzyka, a Ocena Skutków – jaka różnica?
Ocena ryzyka to ogólna ocena ryzyka, zwana również „inicjalną” oceną ryzyka. Po jej przeprowadzeniu możemy stwierdzić:
- czy mamy do czynienia z wysokim ryzykiem, o którym mowa w art. 32 ust.1 RODO;
- czy konieczne jest przeprowadzenie DPIA.
Ocena skutków jest nazywana „kwalifikowaną” analizą ryzyka bądź też szczególną formą analizy ryzyka.
DPIA, a PIA – jaka różnica?
Ocena skutków (DPIA), która zaistniała w przepisach RODO, często jest też mylona z Privacy Impact Assessment (PIA), w tłumaczeniu na polski: ocena wpływu na prywatność. PIA jest szerszą koncepcją niż DPIA, dotyczy prywatności i jest znana od niemal 30 lat. W tym miejscu należy wspomnieć o normie ISO/IEC 29134:2017, która wprowadziła do stosowania PIA. Norma ta zawiera wytyczne w zakresie przeprowadzenia analizy ryzyka pod kątem ochrony prywatności osób. DPIA dotyczy ryzyka w kontekście danych osobowych, natomiast PIA szeroko pojętej prywatności. Z założenia DPIA będzie przeprowadzona w węższym zakresie niż PIA.
Mamy więc dwa podobne terminy, oznaczające co innego. Do tego różne tłumaczenia. Uporządkujemy trochę ten chaos!
- DPIA (OSOD, ocena skutków, art. 35 ust. 1 RODO) to kwalifikowany proces, niezbędny do wykonania w określonych sytuacjach, opisany bezpośrednio w RODO!
- PIA (ocena wpływu na prywatność) to proces opisany w normie ISO/IEC 29134:2017, jego metodyka może być zastosowana do oceny ryzyka przy przetwarzaniu danych osobowych, RODO nie wspomina o nim!
ISO, a RODO – jak mają się do siebie?
RODO pozostawia Administratorowi w zakresie wyboru metodyki do oceny ryzyka wolny wybór.
Administrator może między innymi skorzystać z metodyki ISO czy z narzędzia przygotowanego przez francuskiego regulatora CNIL. Generalnie normy ISO dotyczą bezpieczeństwa wszystkich informacji przetwarzanych przez organizację, w tym także danych osobowych. Metodyka przeprowadzanie oceny ryzyka odnosi się do ryzyka Administratora a nie praw i wolności osoby, o której mowa w RODO. Norma, której jest najbliżej do RODO to wspomniana już powyżej norma ISO/IEC 29134:2017.
ISO a RODO – relacja obu jest szeroko komentowana w środowisku bezpieczeństwa informacji. Na ten temat wypowiedział się również dr Maciej Kawecki, obecnie dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji: „Absolutnie nie można stawiać znaku równości pomiędzy RODO, a normą ISO”. Stanowisko to spotkało się z krytyką w artykule „GDPR/RODO to nie ISO”.
Artykuł który czytasz jest dla Ciebie wartościowy? Zapisz się na nasz newsletter i bądź na bieżąco z naszymi blogowymi nowościami
Kiedy przeprowadzić ocenę skutków wg RODO?
RODO daje jedynie wytyczne, kiedy Administrator ma obowiązek przeprowadzić ocenę skutków. Rodzi się zatem pytanie: skąd Administrator ma to wiedzieć?
Nie jest łatwo – RODO wymusza zmianę w podejściu do ochrony danych i rozumienia ich bezpieczeństwa przetwarzania. Administrator ma określone jedynie ramowe wymogi, a jak je wdroży zależy do niego.
Biorąc pod lupę treść art. 35 RODO, możemy stwierdzić, że DPIA jest obowiązkowe zawsze, gdy:
- mamy do czynienia z przetwarzaniem danych w szczególności z użyciem nowych technologii;
- ze względu na swój charakter, zakres, kontekst i cele przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych;
- dany rodzaj przetwarzania został wskazany w wykazie ustanowionym przez organ nadzorczy jako podlegający wymogowi dokonana oceny.
Zgodnie z Wytycznymi dotyczącymi oceny skutków dla ochrony danych (WP 248) przeprowadzenie DPIA jest niezbędne dla:
- nowych operacji przetwarzania danych spełniających warunki wskazane wyżej;
- operacji przetwarzania, które uległy znaczącej zmianie w stosunku do ich pierwotnego charakteru, przez co zaczęły spełniać wskazane warunki, kiedy np. Administrator Danych zdecydował się o rozpoczęciu transferu danych do państwa trzeciego, wprowadza nowy system informatyczny, dane osobowe są wykorzystane w innym celu.
Nadal wytyczne są bardzo ogólne i niewiele mówią przeciętnemu Administratorowi danych. Przy podejmowaniu decyzji mogą być pomocne kryteria podane w Wytycznych Grupy Roboczej Art. 29 i przygotowywane przez krajowe organy nadzorcze wykazy rodzajów operacji przetwarzania podlegające wymogowi dokonania oceny skutków dla ochrony danych, które są oceniane przez Europejską Radę Ochrony Danych (EROD). Obecnie polski wykaz w opinii EROD ma niewyczerpujący charakter – pomimo to obowiązuje. Czekamy na poprawkę.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Wiemy już, kiedy należy zastanowić się nad koniecznością wykonania DPIA. Teraz czas na kolejne pytanie:
Kiedy nie trzeba przeprowadzać oceny skutków?
RODO i w tym przypadku nie jest precyzyjne. Z pomocą przychodzi Grupa Robocza. W jej opinii ocena skutków dla ochrony danych nie jest wymagana w następujących przypadkach:
- gdy nie jest prawdopodobne, aby operacja przetwarzania „mogła powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych”;
- gdy charakter, zakres, kontekst i cele przetwarzania są bardzo podobne do operacji przetwarzania, w przypadku których przeprowadzono ocenę skutków dla ochrony danych. W takich przypadkach można wykorzystać wyniki oceny skutków dla ochrony danych przeprowadzonej w odniesieniu do podobnych operacji przetwarzania;
- gdy operacje przetwarzania zostały sprawdzone przez organ nadzorczy przed majem 2018 r. w szczególnych warunkach, które nie uległy zmianie;
- jeżeli operacja przetwarzania, zgodnie z art. 6 ust. 1 lit. c lub e RODO, ma podstawę prawną w prawie UE lub w prawie państwa członkowskiego, które reguluje daną operację przetwarzania, oraz jeżeli oceny skutków dla ochrony danych dokonano już w związku z przyjęciem tej podstawy prawnej – chyba że państwo członkowskie uznało za niezbędne dokonanie oceny skutków dla ochrony danych przed rozpoczęciem czynności przetwarzania;
- jeżeli operacje przetwarzania zostały umieszczone w opcjonalnym wykazie (utworzonym przez organ nadzorczy) operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych.
W przypadku ostatniego podpunktu należy stwierdzić, że polski regulator nie wydał opcjonalnego wykazu.
Podsumowanie
Główna zasada rządząca w RODO to podejście oparte na ryzyku. Administrator samodzielnie podejmuje decyzję jakie zastosuje środki bezpieczeństwa w swojej organizacji. Decyzji dokonuje na podstawie analizy ryzyka procesów, w których przetwarza dane osobowe.
W RODO nie znajdziemy precyzyjnych wytycznych, kiedy i jak wykonać ocenę ryzyka.
Ocena ryzyka wg RODO będzie wyglądać inaczej w każdej organizacji – nie można tu przyjąć uniwersalnego szablonu. Nie można stosować w całości norm ISO. Normy ISO dotyczą przede wszystkim bezpieczeństwa informacji i oceniają ryzyko dla organizacji.
W następnym artykule przedstawię więcej szczegółów jak przeprowadzić ocenę ryzyka w praktyce.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Grupa Robocza Art. 29. Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 Przyjęte w dniu 4 kwietnia 2017 r. Ostatnio zmienione i przyjęte w dniu 4 października 2017 r.
- Kaczmarek, M. Młotkiewicz, A. Łapińska, A. Miłocha, M. Mazur, konsultacja J. Zawiła-Niedźwiedzki, Poradnik RODO. Podejście oparte na ryzyku, cz. 1 i 2, Jak stosować podejście oparte na ryzyku?, maj 2018
- Kalinowska, P. Litwiński, Ocena skutków dla ochrony danych osobowych, M. Praw. 2017/13
- Materiały ze szkolenia dla IOD „Ocena skutków dla ochrony danych osobowych”, szkolenie zorganizowane 19 grudnia 2918 r przez UODO
- Ogólne rozporządzenie o ochronie danych. Komentarz, Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.)
4 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Organizacja przetwarzajaca dane osobowe powinna opracowac i wdrozyc odpowiednie procedury zapewniajace ochrone danych osobowych. Kazdy pracownik danej organizacji powinien zostac przeszkolony i dobrze znac swoje zadania w zakresie ochrony danych osobowych. Tylko swiadomi swoich obowiazkow pracownicy beda mogli prawidlowo stosowac obowiazujace ich procedury. Aby moc wdrozyc odpowiednie srodki zabezpieczenia danych osobowych, z pewnoscia pomoze ocena i analiza ryzyka. Jak wyglada ocena ryzyka w RODO ?
Dzień dobry 🙂 Ogólna ocena ryzyka będzie wyglądać inaczej u każdego Administratora – ma to związek z różnego rodzaju strukturą organizacyjną, a co za tym idzie z innymi procesami przetwarzania danych. Każda ocena ryzyka powinna być poprzedzona audytem w wyniku, którego zostaną wyodrębnione poszczególne procesy, określone stosowane zabezpieczenia, powstanie Rejestr Czynności Przetwarzania. Wszystkie wymienione elementy są bardzo istotne z punktu widzenia oceny ryzyka i od nich należałoby zacząć cały proces. Więcej informacji na temat audytu dostępna jest https://blog-daneosobowe.pl/czym-jest-audyt-rodo/ pozdrawiamy
Zarządzanie ryzykiem i odpowiednia analiza to niezwykle istotny proces.
Jako, że działam w IT to szczególnie w projektach informatycznych kładę duży nacisk, by przejść przez taki proces.
Trochę z tym papierologii, ale warto 🙂
potwierdzamy – jest dużo pracy, zwłaszcza w przypadku złożonych procesów przetwarzania danych osobowych. Jednak warto podjąć wyzwanie. Praktyka w prowadzeniu analiz procentuje w przyszłości 🙂
Dla prostszych operacji przetwarzania można zastosować uniwersalną matrycę. Na podstawie zebranych doświadczeń udało się nam stworzyć proste narzędzie do szacowania ogólnego ryzyka https://blog-daneosobowe.pl/produkt/ocena-ryzyka-zgodna-z-rodo/