EN RU
Kontakt

25 listopada minęło pół roku od obowiązywania Ogólnego Rozporządzenia UE
2016/679 z 27 kwietnia 2016 roku (dalej RODO) wymaga od Administratorów
Danych i Procesorów implementacji w procesach biznesowych wielu istotnych,
mających wpływ na bezpieczeństwo organizacji regulacji prawnych. Jakie zatem
procesy, na gruncie RODO, należy szczególnie wziąć pod uwagę, aby prawidłowo
spełnić wymogi regulacji? Co to oznacza w praktyce
i jak się do nich przygotować?

Procesy związane z przetwarzaniem danych osobowych na gruncie RODO

Z dotychczasowych obserwacji wynika, iż sporym wyzwaniem na gruncie RODO
jest choćby proces współadministrowania, dalszego powierzenia przetwarzania,
uwzględnienie prywatności na etapie projektowania i domyślność przetwarzania
danych osobowych. Ale to nie wszystko. W procesach biznesowych należy również
uwzględnić, opisać i zaimplementować zasady realizacji praw osób, których dane
dotyczą, proces identyfikacji incydentów i zgłaszanie naruszenia ochrony danych
osobowych organowi nadzorczemu oraz zawiadamianie osoby, której dane
dotyczą o naruszeniu ochrony danych osobowych. Spore wyzwanie to również
proces szacowania ryzyka oraz dokonanie oceny skutków dla ochrony danych
(DPIA). To również Rozdział V RODO, czyli zasady i procesy związane z
przekazywaniem danych osobowych do państw trzecich lub organizacji
międzynarodowych oraz wiele innych, niezmiernie istotnych dla bezpieczeństwa
firmy itd. Zatrzymajmy się jednak na chwilę na procesie związanym z
szacowaniem ryzyka.

Wdrożenie RODO oparte na ryzyku

Ważne jest, aby zwrócić szczególną uwagę, iż implementacja poszczególnych
artykułów RODO determinowana jest dokonaniem uprzedniego szacowania
ryzyka dla ochrony danych. Przykładem jest art. 35 (oraz art. 25, art. 39 i inne), czyli
ocena skutków dla ochrony danych. Kiedy zatem konieczne jest dokonanie takiej
oceny? Co najmniej w dwóch przypadkach, kiedy w wyniku przeprowadzonej
analizy, oceny i szacowania ryzyka zidentyfikowane zostaną obszary o dużym
prawdopodobieństwie i wysokim ryzyku naruszenia praw i wolności osób, których
dane dotyczą lub gdy organ nadzorczy poda do publicznej wiadomości wykaz
rodzajów operacji przetwarzania podlegającym wymogowi dokonania takiej
oceny. Zatem nie pozostaje nic innego, jak dokonanie analizy, oceny i szacowania
ryzyka w celu weryfikacji konieczności zastosowania art. 35 RODO. Szacowanie
ryzyka must have!

Proaktywne podejściu do ryzyka

Co oznacza proaktywne podejście do ryzyka? Proaktywne podejście do ryzyka
oznacza jego przewidywanie i zaradzenie temu ryzyku przed jego wystąpieniem –
a priori, ex ante, przed faktem. A zatem RODO wymaga dokonania analizy, oceny i
szacowania ryzyka przed pierwszą czynnością przetwarzania danych osobowych!
Dla przypomnienia, reaktywne podejście do ryzyka oznacza podejmowanie
działań w wyniku wystąpienia ryzyka – post factum, ex post, po fakcie - takie
podejście do przetwarzania danych na gruncie RODO jest niedopuszczalne.

Zasady dotyczące szacowania ryzyka

Jakimi zasadami należy kierować się dokonując szacowania ryzyka? Dokonując
analizy, oceny, szacowania i zarządzania ryzykiem, niezbędne jest zachowanie
Zasady Rzetelności, Rozliczalności oraz Obiektywności!!!
Zasada rzetelności oznacza dołożenie należytej staranności w procesie analizy,
oceny, szacowania i zarządzania ryzykiem. Zasada rozliczalności oznacza, iż każdy
Administrator danych lub/i podmiot przetwarzający, zobligowany jest do
przedstawienia i udokumentowania przeprowadzenia analizy, oceny, szacowania i
bieżącego zarządzania ryzykiem! I trzecia zasada, zasada obiektywności oznacza, iż
ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której
stwierdza się, czy z przetwarzaniem danych wiąże się ryzyko lub wysokie ryzyko!
Obiektywne szacowanie ryzyka must have!

Szacowanie ryzyka, od czego zacząć?

Metodologia szacowania ryzyka nie została wskazana w RODO. To Administrator
danych lub/i podmiot przetwarzający decydują o wyborze metodologii oraz
narzędzi do dokonania analizy, oceny, szacowania ryzyka i zarządzania ryzykiem
dla ochrony danych. Można posłużyć się obowiązującymi normami ISO (np. z
grupy norm ISO 27000) do opracowania, implementacji i zarządzania procesem
ryzyka. Na rynku dostępne są również rozwiązania software, ułatwiające
przeprowadzenie takiej analizy (np. platforma SPACE4GDPR)>>>TU LINK. Nie
mniej jednak szacowanie ryzyka to proces wieloetapowy, składający się z części
merytorycznej i matematycznej.
Przykładowa ścieżka postępowania w procesie analizy, oceny i szacowania ryzyka
to: (1) poznaj procesy w organizacji (mapowanie procesów), (2) wskaż czynności
przetwarzania (mapowanie czynności przetwarzania), (3) określ cele
przetwarzania, (4) zinwentaryzuj zbiory danych, (5) określ operacje przetwarzania
na danych w zbiorze, (6) określ potencjalne źródła ryzyka, (7) dokonaj oceny
prawdopodobieństwa wystąpienia (ewaluacja/waga) tego ryzyka, (8) określ skutki
dla ochrony danych, (9) dokonaj oceny prawdopodobieństwa wystąpienia
(ewaluacja/waga) tego skutku/skutków, (10) dokonaj szacowania ryzyka (ryzyko =
prawdopodobieństwo wystąpienia zagrożenia (źródła ryzyka) x
prawdopodobieństwo wystąpienia skutków tego zagrożenia (relacja przyczynowo
skutkowa)) itd.
To tylko pewne elementy całego procesu analizy, oceny i szacowania ryzyka,
skróty myślowe, służące np. określeniu charakteru, zakresu, kontekstu, celu
przetwarzania. W wyniku szacowania ryzyka, w oparciu o tzw. mapę/matrycę
ryzyka, należy wziąć pod uwagę zastosowanie artykułów, których spełnienie
warunkowane jest właśnie tą analizą (np. wspomniany już art. 35 i 36 RODO, czyli
dalszej oceny skutków oraz dokonanie uprzednich konsultacji z organem
nadzorczym). Nie został poruszony ważny wątek, a mianowicie wcześniejsze
opracowanie poziomów (skala) prawdopodobieństwa wystąpienia źródeł ryzyka,
skutków danego źródła ryzyka itd.

Szacowanie ryzyka w praktyce

Zgodnie z procesowym podejściem do ochrony danych, szacowanie ryzyka
wymaga ciągłego, bieżącego monitorowania, czyli zarządzania ryzykiem. Trudno
taki proces, w szczególności dla grup przedsiębiorstw, przeprowadzać w
narzędziach typu MS Office, czyli w Excel. Dlatego też, w odpowiedzi na potrzebę
sprawnego przeprowadzenia i zarządzania ryzykiem dla ochrony danych i
możliwości spełnienia przepisów prawa w tym obszarze, ale co najważniejsze
zaradzeniu ryzyku i negatywnym skutkom przed ich wystąpieniem, konieczne
było stworzenie narzędzia w postaci aplikacji (software) służącej do analizy, oceny i
szacowania ryzyka. SPACE 4 GDPR, to platforma składająca się z kilku modułów, w
tym z modułu o nazwie RA (Risk Assessment) lub PIA (Privacy Impact
Assessment), zbudowana przez ekspertów w zakresie ochrony danych osobowych
w oparciu o obowiązujące przepisy prawa i przede wszystkich praktykę. Świetne
narzędzie, prowadzące użytkownika praktycznie za rękę, krok po kroku w całym
procesie dokonania analizy, oceny, szacowania ryzyka oraz dokonania oceny
skutków dla ochrony danych.

Szacowanie Ryzyka vs. RODO

Przykładowe obszary, artykuły RODO, w których należy zwrócić szczególna uwagę
na obowiązek wcześniejszego dokonania szacowania ryzyka dla ochrony danych.
Artykuł 24 (obowiązki Administratora danych), gdzie uwzględniając charakter,
zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności
osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia,
administrator wdraża odpowiednie środki techniczne i organizacyjne, aby
przetwarzanie odbywało się zgodnie RODO i aby móc to wykazać. Środki te są w
razie potrzeby poddawane przeglądom i uaktualniane. Art. 30 i prowadzenie
Rejestru Czynności Przetwarzania (dalej RCP), gdzie obowiązek prowadzenia RCP
jest wymogiem, gdy przetwarzanie może powodować ryzyko naruszenia praw lub
wolności osób, których dane dotyczą. Artykuł 32, czyli bezpieczeństwo
przetwarzania, gdzie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz
charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub
wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze
zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki
techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający
temu ryzyku. Artykuł 33 - zgłaszanie naruszenia ochrony danych osobowych
organowi nadzorczemu, gdzie w przypadku naruszenia ochrony danych
osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później
niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi
nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało
ryzykiem naruszenia praw lub wolności osób fizycznych. Art. 34 dotyczący
zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych
osobowych w chwili, gdy naruszenie może powodować wysokie ryzyko naruszenia
praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia
osobę, której dane dotyczą, o takim naruszeniu. Oraz wiele innych...
Szacowanie ryzyka dla ochrony danych Must have! Must do!

Anna Buczyńska Borowy
Data Protection Officer,
wykładowca uniwersytecki i akademicki w zakresie ODO,
niezależny audytor w zakresie ODO,
wiceprezes Fundacji im. Józefa Wybickiego, członek Komitetu ds. ODO w KIG,