PL RU
Contact

Chcesz poznać nasza platformę do zarządzania ODO, sprawdź: www.space4gdpr.pl

---

25 listopada minęło pół roku od obowiązywania Ogólnego Rozporządzenia UE 2016/679 z 26 kwietni 2016 roku (dalej RODO). RODO wymaga od Administratorów danych i procesorów implementacji w procesach biznesowych wielu istotnych, mających wpływ na bezpieczeństwo organizacji regulacji prawnych. Jakie zatem procesy, na gruncie RODO, należy szczególnie wziąć pod uwagę, aby prawidłowo spełnić wymogi regulacji? Co to oznacza w praktyce i jak się do nich przygotować? 

 

Procesy związane z przetwarzaniem danych osobowych na gruncie RODO.

Z dotychczasowych obserwacji wynika, iż sporym wyzwaniem na gruncie RODO jest choćby proces współadministrowania, dalszego powierzenia przetwarzania, uwzględnienie prywatności na etapie projektowania i domyślność przetwarzania danych osobowych. Ale to nie wszystko. W procesach biznesowych należy również uwzględnić, opisać i zaimplementować zasady realizacji praw osób, których dane dotyczą, proces identyfikacji incydentów i zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych. Spore wyzwanie to również proces szacowania ryzyka oraz dokonanie oceny skutków dla ochrony danych (DPIA). To również Rozdział V RODO, czyli zasady i procesy związane z przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych oraz wiele innych, niezmiernie istotnych dla bezpieczeństwa firmy itd. Zatrzymajmy się jednak na chwilę na procesie związanym z szacowaniem ryzyka.

 

Wdrożenie RODO oparte na ryzyku.

Ważne jest, aby zwrócić szczególną uwagę, iż implementacja poszczególnych artykułów RODO determinowana jest dokonaniem uprzedniego szacowania ryzyka dla ochrony danych. Przykładem jest art. 35, czyli ocena skutków dla ochrony danych. Kiedy zatem konieczne jest dokonanie takiej oceny? Co najmniej w dwóch przypadkach, kiedy w wyniku przeprowadzonej analizy, oceny i szacowania ryzyka zidentyfikowane zostaną obszary o dużym prawdopodobieństwie i wysokim ryzyku naruszenia praw i wolności osób, których dane dotyczą lub gdy organ nadzorczy poda do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegającym wymogowi dokonania takiej oceny. Zatem nie pozostaje nic innego, jak dokonanie analizy, oceny i szacowania ryzyka w celu weryfikacji konieczności zastosowania art. 35 RODO. 

 

Proaktywne podejściu do ryzyka.

Co oznacza proaktywne podejście do ryzyka? Proaktywne podejście do ryzyka oznacza jego przewidywanie i zaradzenie temu ryzyku przed jego wystąpieniem – a priori, ex ante, przed faktem. A zatem RODO wymaga dokonania analizy, oceny i szacowania ryzyka przed pierwszą czynnością przetwarzania danych osobowych! Dla przypomnienia, reaktywne podejście do ryzyka oznacza podejmowanie działań w wynika wystąpienia ryzyka – post factum, ex post, po fakcie - takie podejście do przetwarzania danych na gruncie RODO jest niedopuszczalne. 

 

Zasady dotyczące szacowania ryzyka.

Jakimi zasadami należy kierować się dokonując szacowania ryzyka? Dokonując analizy, oceny, szacowania i zarządzania ryzykiem, niezbędne jest zachowanie Zasady rzetelności,rozliczalnościoraz obiektywności! Zasada rzetelności oznacza dołożenie należytej staranności w procesie analizy, oceny, szacowania i zarządzania ryzykiem. Zasada rozliczalności oznacza, iż każdy Administrator danych lub/i podmiot przetwarzający zobligowany jest do przedstawienia, udokumentowania przeprowadzenia analizy, oceny, szacowania i bieżącego zarządzania ryzykiem! I trzecia zasada, zasad obiektywności oznacza, iż ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z przetwarzaniem danych wiąże się ryzyko lub wysokie ryzyko!

 

Szacowanie ryzyka, od czego zacząć?

Metodologia szacowania ryzyka nie została wskazana w RODO. To Administrator danych lub/i podmiot przetwarzający decydują o wyborze metodologii oraz narzędzi do dokonania analizy, oceny, szacowania ryzyka i zarządzania ryzykiem dla ochrony danych. Można posłużyć się obowiązującymi normami ISO (np. z grupy norm ISO 27000) do opracowania, implementacji i zarządzania procesem ryzyka. Na rynku dostępne są również rozwiązania software, ułatwiające przeprowadzenia takiej analizy (np. Space4GDPR). Nie mniej jednak szacowanie ryzyka to proces wieloetapowy, składający się z części merytorycznej i matematycznej. Przykładowa ścieżka postępowania w procesie analizy, oceny i szacowania ryzyka to: (1) poznaj procesy w organizacji, inaczej mapowanie procesów, (2) wskaż czynności przetwarzania, inaczej mapowanie czynności przetwarzania, (3) okraść cele przetwarzania, (4) zinwentaryzuj zbiory danych, (5) określ operacje przetwarzania na danych w zbiorze, (6) określ potencjalne źródła ryzyka, (7) dokonaj oceny prawdopodobieństwa wystapienia (ewaluacja/waga) tego ryzyka, (8) określ skutki dla ochrony danych, (9) dokonaj oceny prawdopodobieństwa wystąpienia (ewaluacja/waga) tego skutku/skutków, (10) dokonaj szacowania ryzyka (ryzyko = prawdopodobieństwo wystąpienia zagrożenia (źródła ryzyka) x prawdopodobieństwo wystąpienia skutków tego zagrożenia (relacja przyczynowo skutkowa) itd. To tylko pewne elementy całego procesu analizy, oceny i szacowania ryzyka, skróty myślowe, służące np. określeniu charakteru, zakresu, kontekstu, celu przetwarzania. W wyniku szacowania ryzyka, w oparciu o tzw. mapę/matrycę ryzyka, należy wziąć pod uwagę zastosowanie artykułów, których spełnienie warunkowane jest właśnie tą analizą (np. wspomniany już art. 35 i 36 RODO, czyli dalszej oceny skutków oraz dokonanie uprzednich konsultacji z organem nadzorczym). Nie został poruszony ważny wątek, a mianowicie wcześniejsze opracowanie poziomów (skala) prawdopodobieństwa wystąpienia źródeł ryzyka, skutków danego źródła ryzyka itd.

 

Szacowanie ryzyka w praktyce.

Zgodnie z procesowym podejściem do ochrony danych, szacowanie ryzyka wymaga ciągłego, bieżącego monitorowania, czyli zarzadzania ryzykiem. Trudno taki proces, w szczególności dla grup przedsiębiorstw, przeprowadzać w narzędziach typu MS Office, czyli w Excel. Dlatego też, w odpowiedzi na potrzebę sprawnego przeprowadzenia i zarządzania ryzykiem dla ochrony danych i możliwości spełnienia przepisów prawa w tym obszarze, ale co najważniejsze zaradzeniu ryzyku i negatywnym skutkom przed ich wystąpieniem, konieczne było stworzenie narzędzia w postaci aplikacji (software) służącej do analizy, oceny i szacowania ryzyka. Space4GDPR, to platforma składająca się z kilku modułów, w tym z modułu o nazwie RA (Risk Assessment) lub PIA (Privacy Impact Assessment), zbudowana przez ekspertów w zakresie ochrony danych osobowych w oparciu o obowiązujące przepisy prawa i przede wszystkich praktykę. Świetne narzędzie, prowadzące użytkownika praktycznie za rękę, krok po kroku w całym procesie dokonania analizy, oceny, szacowania ryzyka oraz dokonania oceny skutków dla ochrony danych.

 

Szacowanie ryzyka vs. RODO.

Przykładowe obszary, artykuły RODO, w których należy zwrócić szczególna uwagę na obowiązek wcześniejszego dokonania szacowania ryzyka dla ochrony danych. 

Artykuł 24 (obowiązki Administratora danych), gdzie uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 

Art. 30 prowadzenie Rejestru czynności przetwarzania (dalej RCP), gdzie obowiązek prowadzenia RCP jest wymogiem, gdy przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą. 

Artykuł 32 czyli bezpieczeństwo przetwarzania, gdzie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. 

Artykuł 33 zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu, gdzie w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. 

Art. 34 dotyczący zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w chwili, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Oraz wiele innych…

Szacowanie ryzyka dla ochrony danych Must have! Must do!

 

O autorze:

Anna Buczyńska Borowy - Data Protection Officer, wykładowca uniwersytecki i akademicki w zakresie ODO, niezależny audytor w zakresie ODO, wiceprezes Fundacji im. Józefa Wybickiego, członek Komitetu ds. ODO w KIG. 

Chcesz poznać nasza platformę do zarządzania ODO, sprawdź: www.space4gdpr.pl