Analiza ryzyka w RODO po co i dlaczego

BySylwia Ostrowska

analiza ryzyka

RODO wprowadziło nie tylko zmiany dotyczące zasad przetwarzania danych osobowych, ale również nowy sposób podejścia do systemowego zapewnienia bezpieczeństwa danych osobowych u podstaw którego znajduje się proces szacowania ryzyka. Artykuł 32 RODO wprowadza wymóg stosowania procesu szacowania ryzyka w przypadku wdrażania organizacyjnych oraz technicznych środków bezpieczeństwa przetwarzania danych.

Analiza ryzyka – co to jest?

Analiza ryzyka po pierwsze pomoże nam określić co może się złego wydarzyć. A prościej, jakie niebezpieczeństwa czyhają na nas za rogiem w związku z określonym procesem przetwarzania danych osobowych. Analiza ryzyka ma pomóc przy wyborze odpowiednich dla danego rodzaju ryzyka środków bezpieczeństwa. Każda firma ma za zadanie przynajmniej oszacować ryzyko przetwarzania danych (celem wykazania, że nie dochodzi do wysokiego ryzyka naruszenia praw i wolności jednostek, których dane dotyczą). RODO wymaga, aby w części sytuacji obowiązkowo przeprowadzić analizę ryzyka w celu zastosowania określonych środków ochrony danych, a także podjęcia decyzji o dalszym przetwarzaniu danych osobowych.

Szacowanie ryzyka

Ryzyko szacujemy na podstawie obiektywnej oceny, która to powinna pomóc nam ustalić, czy z przetwarzaniem danych wiąże się jakiekolwiek ryzyko dla jednostek, jeśli tak, czy można je określić jako wysokie. Skutecznym sposobem przeprowadzenia oceny mogłoby być wdrożenie w danej organizacji procesu oceny oraz zarządzania ryzykiem jako odrębnej procedury organizacyjnej.

Przeprowadzamy analizę ryzyka

Analiza ryzyka w RODO pozwala na dokładne przyjrzenie się zagrożeniom, które są dla firmy najbardziej niebezpieczne i wymagające natychmiastowego działania. Przeprowadzając analizę ryzyka w organizacji należy:

  • przeprowadzić inwentaryzację przetwarzanych danych osobowych i określić cel przetwarzania tych danych,
  • dla każdego rodzaju przetwarzania określić, czy dane przetwarzane są zgodnie z prawem oraz określić, na jakiej podstawie prawnej,
  • określić listę zagrożeń, w wyniku których może nastąpić naruszenie ochrony danych osobowych, np. atak hackerski, nieupoważniony dostęp,
  • ustalić prawdopodobieństwo wystąpienia danego ryzyka (opierając się np. na tym czy doszło do takiego w przeszłości),
  • przypisać istotę, wagę danego ryzyka – np. wielkość szkody, jakie zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą,
  • opisać skutki wystąpienia danego ryzyka, np. naruszenie prawa do ochrony danych osobowych, naruszenie prawa do prywatności,
  • określić sposoby postępowania (zaradcze), aby do ryzyka nie dopuścić lub, jeśli nie da się go uniknąć, środki minimalizujące ryzyko, np. stosowanie programów antywirusowych, alarm w budynku.

W sytuacji wystąpienia wysokiego ryzyka, które z jakiegokolwiek powodu nie może zostać zminimalizowane np. z przyczyn technicznych lub braku opłacalności wdrożenia mechanizmów obniżających ryzyko, zobowiązuje administratora przed rozpoczęciem przetwarzania danych do obowiązkowego kontaktu i konsultacji z o organem nadzorczym – w Polsce UODO.

Zmniejszenie ryzyka naruszenia

RODO w art. 32 określa środki i działania, które można wykorzystać w celu minimalizacji ryzyka naruszenia, należą do nich:

  • pseudonimizacja i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Korzyści z przeprowadzenia analizy ryzyka

Wykonywanie indywidualnej, cyklicznej analizy ryzyka pozwala każdej firmie bądź instytucji dobrać zabezpieczenia adekwatne do poziomu ryzyka. Przy ewentualnej kontroli posiadane już dowody przeprowadzenia prawidłowej analizy ryzyka są potwierdzeniem zachowania należytej staranności przy przetwarzaniu danych osobowych w organizacji.

Podsumowanie

Analiza ryzyka jest kluczem do prawidłowego wdrożenia RODO, podstawą zgodnego z wymogami wykonania wielu wynikających z tej regulacji obowiązków. Przede wszystkim jednak, jest najpełniejszym wyrazem założeń regulacyjnych tj. neutralności technologicznej i podejścia opartego na ryzyku. Przepisy RODO nie narzucają określonej procedury analizy ryzyka. Oznacza to, że każda instytucja może przeprowadzać analizę ryzyka w sposób indywidualny. Ważne jest to, aby rzeczywiście przeprowadzać analizę ryzyka. Administrator, który nie prowadzi tej analizy nie jest w stanie wykazać, iż przetwarzane dane osobowe są zabezpieczone w sposób odpowiedni.

Spotkać można też przypadki, że administratorzy analizując poziom ryzyka próbują sztucznie je obniżać po to, aby nie ziściła się przesłanka kontaktu.  Działania takie mogą spotkać się z poważnymi konsekwencjami, o czym przekonało się ostatnio jedno z towarzystw ubezpieczeniowych.

ERGO HESTIA S.A. na którą PUODO nałożył karę finansową w kwocie 160 tys. zł. za nierzetelne przeprowadzenie analizy ryzyka. Więcej informacji pod linkiem https://www.rp.pl/prawo-w-firmie/art56551-uodo-160-tys-zl-kary-dla-ergo-hestia-s-a-za-nierzetelna-analize-ryzyka .