Ocena Ryzyka w RODO – jak się za to zabrać? (cz.1)

Ocena skutków, ocena ryzyka, DPIA, PIA czy szacowanie ryzyka – to wszystko terminy mocno kojarzone z treścią RODO. Terminów jest dużo, bywają stosowane zamiennie, a niekoniecznie oznaczają to samo.

Zaprowadźmy trochę porządku w obszarze ryzyka!

W artykule wyjaśnię: jak rozumieć ocenę ryzyka w RODO, wskażę różnice pomiędzy oceną ryzyka, a oceną skutków, DPIA, a PIA. Zastanowimy się jak zabrać się za ocenę ryzyka, tak aby zrobić ją zgodnie z RODO i efektywnie. Zapraszam do lektury!

Jest to pierwsya część serii artykułów stanowiących mini poradnik poświęcony ocenie ryzyka przetwarzania danych osobowych. Poniżej lista artykułów z cyklu „Ocena ryzyka w RODO”, które zostały przez nas opublikowane:

Obejrzyj uzupełnienie artykułu na YouTube…

… albo przesłuchaj w formie podcastu

Tytułem wstępu

O ryzyku stało się szczególnie głośno za sprawą Ogólnego rozporządzenia o ochronie danych (RODO). Zasada podejścia do ochrony i bezpieczeństwa opartego na ryzyku, tzw. „risk based aproach” realizowana jest m.in. poprzez obowiązek wykonania przez Administratora oceny skutków dla ochrony danych (OSOD), w angielskiej wersji Data Protection Impact Assessment (DPIA). Dodatkowo od lat stosowane jest pojęcie Privacy Impact Assessment (PIA), w tłumaczeniu na polski: ocena wpływu na prywatność.

Różnice wyjaśnię w dalszej części artykułu.

Podstawy prawne

Art. 35 ust. 1 RODO
"Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (…)"

Każdy Administrator w pierwszej kolejności powinien ocenić, czy istnieje prawdopodobieństwo wystąpienia wysokiego ryzyka. Dokonuje tej oceny przed podjęciem decyzji o przeprowadzeniu oceny skutków dla ochrony danych. Mamy tu do czynienia z ogólną oceną ryzyka. Uwaga: to nie jest jeszcze DPIA!

Art. 32 ust. 1 RODO
" Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)"

Warte podkreślenia jest, że Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Obowiązuje zasada „zrób to sam” tj. samodzielnie przeprowadź szczegółową analizę prowadzonych procesów przetwarzania danych – dokonaj oceny ryzyka. Następnie zastosuj takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

To zupełna odwrotność w stosunku do wcześniejszego podejścia.

Czy RODO definiuje co to jest ryzyko?

RODO nie definiuje co to ryzyko. RODO wskazuje jedynie jak rozumieć ryzyko w kontekście praw i wolności osób.  W skrócie chodzi o skutki dla osób w przypadku naruszenia ich praw i wolności oraz konsekwencje naruszeń w zakresie ich dóbr osobistych i majątkowych.

RODO wymienia konkretne ryzyka m.in.: dyskryminacja, kradzież tożsamości, strata finansowa, naruszenie dobrego imienia. Nie jest to lista pełna, ale jedynie zestaw przykładów, na których można bazować przygotowując swoją samodzielną ocenę ryzyka.

Motyw 75 RODO
"Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą."

Bardzo ciekawe ujęcie ryzyka przedstawia opinia Grupy Roboczej art.  29:

„Ryzyko” jest scenariuszem opisującym zdarzenie i jego konsekwencje, oszacowanym pod względem powagi i prawdopodobieństwa ryzyka.

Czy ryzyko wg RODO dotyczy osoby czy organizacji?

Dotyczy osoby. W Rozporządzeniu ogólnym opisane jest ryzyko naruszenia praw osób, których dane dotyczą. Nie ma tu mowy o zagrożeniach dla Administratora. Nałożenie kary pieniężnej przewidzianej przez RODO nie może być traktowane jako zagrożenie w świetle RODO. To zagrożenie dla Administratora np. gdy nie przeprowadzi DPIA w tych procesach przetwarzania danych, w których jest to konieczne.

Ocena Ryzyka, a Ocena Skutków – jaka różnica?

Ocena ryzyka to ogólna ocena ryzyka, zwana również „inicjalną” oceną ryzyka. Po jej przeprowadzeniu możemy stwierdzić:

  • czy mamy do czynienia z wysokim ryzykiem, o którym mowa w art. 32 ust.1 RODO;
  • czy konieczne jest przeprowadzenie DPIA.

Ocena skutków jest nazywana „kwalifikowaną” analizą ryzyka bądź też szczególną formą analizy ryzyka.

 DPIA, a PIA – jaka różnica?

DPIA nie jest tożsame z PIA. Nie należy mylić obu pojęć.

Ocena skutków (DPIA), która zaistniała w przepisach RODO, często jest też mylona z Privacy Impact Assessment (PIA), w tłumaczeniu na polski: ocena wpływu na prywatność. PIA jest szerszą koncepcją niż DPIA, dotyczy prywatności i jest znana od niemal 30 lat. W tym miejscu należy wspomnieć o normie ISO/IEC 29134:2017, która wprowadziła do stosowania PIA. Norma ta zawiera wytyczne w zakresie przeprowadzenia analizy ryzyka pod kątem ochrony prywatności osób. DPIA dotyczy ryzyka w kontekście danych osobowych, natomiast PIA szeroko pojętej prywatności. Z założenia DPIA będzie przeprowadzona w węższym zakresie niż PIA.

Mamy więc dwa podobne terminy, oznaczające co innego. Do tego różne tłumaczenia. Uporządkujemy trochę ten chaos!

  • DPIA (OSOD, ocena skutków, art. 35 ust. 1 RODO) to kwalifikowany proces, niezbędny do wykonania w określonych sytuacjach, opisany bezpośrednio w RODO!
  • PIA (ocena wpływu na prywatność) to proces opisany w normie ISO/IEC 29134:2017, jego metodyka może być zastosowana do oceny ryzyka przy przetwarzaniu danych osobowych, RODO nie wspomina o nim!

ISO, a RODO – jak mają się do siebie?

RODO pozostawia Administratorowi w zakresie wyboru metodyki do oceny ryzyka wolny wybór.

Art. 24 ust.1 RODO 
"Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać (…)"

Administrator może między innymi skorzystać z metodyki ISO czy z narzędzia przygotowanego przez francuskiego regulatora CNIL. Generalnie normy ISO dotyczą bezpieczeństwa wszystkich informacji przetwarzanych przez organizację, w tym także danych osobowych. Metodyka przeprowadzanie oceny ryzyka odnosi się do ryzyka Administratora a nie praw i wolności osoby, o której mowa w RODO. Norma, której jest najbliżej do RODO to wspomniana już powyżej norma ISO/IEC 29134:2017.

ISO a RODO – relacja obu jest szeroko komentowana w środowisku bezpieczeństwa informacji. Na ten temat wypowiedział się również dr Maciej Kawecki, obecnie dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji: „Absolutnie nie można stawiać znaku równości pomiędzy RODO, a normą ISO”.  Stanowisko to spotkało się z krytyką w artykule „GDPR/RODO to nie ISO”.

Artykuł który czytasz jest dla Ciebie wartościowy? Zapisz się na nasz newsletter i bądź na bieżąco z naszymi blogowymi nowościami

Kiedy przeprowadzić ocenę skutków wg RODO?

RODO daje jedynie wytyczne, kiedy Administrator ma obowiązek przeprowadzić ocenę skutków. Rodzi się zatem pytanie: skąd Administrator ma to wiedzieć?

Nie jest łatwo – RODO wymusza zmianę w podejściu do ochrony danych i rozumienia ich bezpieczeństwa przetwarzania. Administrator ma określone jedynie ramowe wymogi, a jak je wdroży zależy do niego.

Biorąc pod lupę treść art. 35 RODO, możemy stwierdzić, że DPIA jest obowiązkowe zawsze, gdy:

  • mamy do czynienia z przetwarzaniem danych w szczególności z użyciem nowych technologii;
  • ze względu na swój charakter, zakres, kontekst i cele przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych;
  • dany rodzaj przetwarzania został wskazany w wykazie ustanowionym przez organ nadzorczy jako podlegający wymogowi dokonana oceny.

Zgodnie z Wytycznymi dotyczącymi oceny skutków dla ochrony danych (WP 248) przeprowadzenie DPIA jest niezbędne dla:

  • nowych operacji przetwarzania danych spełniających warunki wskazane wyżej;
  • operacji przetwarzania, które uległy znaczącej zmianie w stosunku do ich pierwotnego charakteru, przez co zaczęły spełniać wskazane warunki, kiedy np. Administrator Danych zdecydował się o rozpoczęciu transferu danych do państwa trzeciego, wprowadza nowy system informatyczny, dane osobowe są wykorzystane w innym celu.

Nadal wytyczne są bardzo ogólne i niewiele mówią przeciętnemu Administratorowi danych. Przy podejmowaniu decyzji mogą być pomocne kryteria podane w Wytycznych Grupy Roboczej Art. 29 i przygotowywane przez krajowe organy nadzorcze wykazy rodzajów operacji przetwarzania podlegające wymogowi dokonania oceny skutków dla ochrony danych, które są oceniane przez Europejską Radę Ochrony Danych (EROD).  Obecnie polski wykaz w opinii EROD ma niewyczerpujący charakter – pomimo to obowiązuje. Czekamy na poprawkę.

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Wiemy już, kiedy należy zastanowić się nad koniecznością wykonania DPIA. Teraz czas na kolejne pytanie:

Kiedy nie trzeba przeprowadzać oceny skutków?

RODO i w tym przypadku nie jest precyzyjne. Z pomocą przychodzi Grupa Robocza. W jej opinii ocena skutków dla ochrony danych nie jest wymagana w następujących przypadkach:

  • gdy nie jest prawdopodobne, aby operacja przetwarzania „mogła powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych”;
  • gdy charakter, zakres, kontekst i cele przetwarzania są bardzo podobne do operacji przetwarzania, w przypadku których przeprowadzono ocenę skutków dla ochrony danych. W takich przypadkach można wykorzystać wyniki oceny skutków dla ochrony danych przeprowadzonej w odniesieniu do podobnych operacji przetwarzania;
  • gdy operacje przetwarzania zostały sprawdzone przez organ nadzorczy przed majem 2018 r. w szczególnych warunkach, które nie uległy zmianie;
  • jeżeli operacja przetwarzania, zgodnie z art. 6 ust. 1 lit. c lub e RODO, ma podstawę prawną w prawie UE lub w prawie państwa członkowskiego, które reguluje daną operację przetwarzania, oraz jeżeli oceny skutków dla ochrony danych dokonano już w związku z przyjęciem tej podstawy prawnej – chyba że państwo członkowskie uznało za niezbędne dokonanie oceny skutków dla ochrony danych przed rozpoczęciem czynności przetwarzania;
  • jeżeli operacje przetwarzania zostały umieszczone w opcjonalnym wykazie (utworzonym przez organ nadzorczy) operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych.

W przypadku ostatniego podpunktu należy stwierdzić, że polski regulator nie wydał opcjonalnego wykazu.

Podsumowanie

Główna zasada rządząca w RODO to podejście oparte na ryzyku. Administrator samodzielnie podejmuje decyzję jakie zastosuje środki bezpieczeństwa w swojej organizacji. Decyzji dokonuje na podstawie analizy ryzyka procesów, w których przetwarza dane osobowe.

W RODO nie znajdziemy precyzyjnych wytycznych, kiedy i jak wykonać ocenę ryzyka.

Ocena ryzyka wg RODO będzie wyglądać inaczej w każdej organizacji – nie można tu przyjąć uniwersalnego szablonu. Nie można stosować w całości norm ISO. Normy ISO dotyczą przede wszystkim bezpieczeństwa informacji i oceniają ryzyko dla organizacji.

W następnym artykule przedstawię więcej szczegółów jak przeprowadzić ocenę ryzyka w praktyce.

Powiązane artykuły

Kiedy przeprowadzić DPIA, czyli kilka słów o preDPIA
dpia szacowanie ryzyka RODO
Ocena ryzyka w RODO – jak się za to zabrać? (cz.3)
dpia szacowanie ryzyka RODO
Ocena ryzyka w RODO – jak się za to zabrać? (cz.2)

4 Odpowiedzi

  1. Organizacja przetwarzajaca dane osobowe powinna opracowac i wdrozyc odpowiednie procedury zapewniajace ochrone danych osobowych. Kazdy pracownik danej organizacji powinien zostac przeszkolony i dobrze znac swoje zadania w zakresie ochrony danych osobowych. Tylko swiadomi swoich obowiazkow pracownicy beda mogli prawidlowo stosowac obowiazujace ich procedury. Aby moc wdrozyc odpowiednie srodki zabezpieczenia danych osobowych, z pewnoscia pomoze ocena i analiza ryzyka. Jak wyglada ocena ryzyka w RODO ?

    1. Lex Artist

      Dzień dobry 🙂 Ogólna ocena ryzyka będzie wyglądać inaczej u każdego Administratora – ma to związek z różnego rodzaju strukturą organizacyjną, a co za tym idzie z innymi procesami przetwarzania danych. Każda ocena ryzyka powinna być poprzedzona audytem w wyniku, którego zostaną wyodrębnione poszczególne procesy, określone stosowane zabezpieczenia, powstanie Rejestr Czynności Przetwarzania. Wszystkie wymienione elementy są bardzo istotne z punktu widzenia oceny ryzyka i od nich należałoby zacząć cały proces. Więcej informacji na temat audytu dostępna jest https://blog-daneosobowe.pl/czym-jest-audyt-rodo/ pozdrawiamy

  2. Zarządzanie ryzykiem i odpowiednia analiza to niezwykle istotny proces.
    Jako, że działam w IT to szczególnie w projektach informatycznych kładę duży nacisk, by przejść przez taki proces.
    Trochę z tym papierologii, ale warto 🙂

    1. Lex Artist

      potwierdzamy – jest dużo pracy, zwłaszcza w przypadku złożonych procesów przetwarzania danych osobowych. Jednak warto podjąć wyzwanie. Praktyka w prowadzeniu analiz procentuje w przyszłości 🙂
      Dla prostszych operacji przetwarzania można zastosować uniwersalną matrycę. Na podstawie zebranych doświadczeń udało się nam stworzyć proste narzędzie do szacowania ogólnego ryzyka https://blog-daneosobowe.pl/produkt/ocena-ryzyka-zgodna-z-rodo/

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO