Analiza ryzyka często mylona jest z oceną skutków dla ochrony danych (DPIA). Tymczasem to pierwsze to podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach. Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw i wolności osób, których dane dotyczą, a także ryzyka naruszenia interesów administratora.
Z tematu tygodnia dowiesz się jak 7 krokach przeanalizować ryzyko w tym:
Jak można się spodziewać, RODO nie wskazuje żadnej konkretnej metodyki ryzyka, pozostawiając wybór lub jej opracowanie w gestii administratora danych. Oznacza to, że administrator danych ma swobodę wyboru metodyki przeprowadzenia analizy ryzyka dostosowanej do potrzeb i procesów przetwarzania danych realizowanych w jego organizacji. Nie znaczy to jednak, że proces analizy ryzyka nie powinien być zorganizowany.
Pierwszym zadaniem administratora jest wyszczególnienie czynników mających wpływ na funkcjonowanie organizacji i przetwarzanie danych osobowych.
Czynniki wewnętrzne |
Czynniki zewnętrzne |
struktura i wielkość organizacji, |
Środowisko prawne, |
strategia i stosowana polityka, |
środowisko społeczne, |
system obiegu informacji, |
środowisko polityczne, |
środowisko informatyczne, |
korzystanie z usług zewnętrznych (np. outsourcing obsługi IT lub kadr), |
normy i standardy obowiązujące w w jednostce. |
czynniki lokalne/geograficzne – podmiot z UE lub spoza UE w zakresie sposobu wymiany informacji. |
Analiza ryzyka dotyczy poszczególnych procesów przetwarzania danych osobowych. Nie może więc ona obyć się bez identyfikacji tych procesów.
Identyfikacja musi być na tyle szczegółowa, by dawała możliwość ustalenia:
W identyfikacji należy sugerować się treścią rejestru czynności przetwarzania bądź rejestru kategorii czynności przetwarzania, jeżeli taki jest prowadzony.
Administrator musi też:
Osoby odpowiedzialne za przetwarzanie danych to np.:
Analiza ryzyka ma dać odpowiedź na pytanie, jakie środki bezpieczeństwa przetwarzania danych wdrożyć w kontekście poziomu ryzyka. Konieczne jest więc określenie zagrożeń w organizacji. W tym celu warto ustalić ich systematykę.
Kryteria podziału zagrożeń |
Źródła zagrożeń |
Lokalizacja źródła |
wywodzące się z otoczenia przedsiębiorstwa (zewnętrzne), |
powstające w ramach organizacji (wewnętrzne) |
|
Przyczyna zagrożenia |
działanie przypadkowe, |
działanie umyślne |
|
działanie losowe |
Identyfikując zagrożenia w odniesieniu do praw i wolności podmiotu danych, należy wziąć pod uwagę zarówno działania celowe użytkownika, jak i te wynikające z jego niewiedzy, które mogą prowadzić do naruszenia przepisów prawa. Konieczne jest uwzględnienie zagrożeń co do przetwarzania danych osobowych tak w formie papierowej, jak w systemach informatycznych, np. brak odpowiedniego programu szyfrującego itp.
Przykładowe zagrożenia:
Od zagrożeń należy odróżnić podatności. Są to bowiem cechy sprzyjające urzeczywistnieniu się potencjalnego zagrożenia. Aby zidentyfikować podatności, należy dokonać analizy zdarzeń, które dotychczas wystąpiły w organizacji.
Przykładowe podatności:
Szacowanie ryzyka ma na celu określenie potencjalnych strat, które mogą powstać w wyniku wystąpienia określonych zagrożeń. Najpierw jednak należy ustalić organizację całego procesu. W większych organizacjach uzasadnione jest powołanie zespołu odpowiedzialnego za proces zarządzania ryzykiem.
Gdy proces zarządzania ryzykiem realizuje jedna osoba, wówczas raporty oraz pojawiające się nieprawidłowości powinna ona zgłaszać bezpośrednio do administratora danych lub osoby przez niego wskazanej i koordynującej ten proces.
Aby oszacować ryzyko, najlepiej zaangażować w to personel administratora, który zwykle ma największą wiedzę na temat ryzyka występującego w ich obszarach działania. Oczywiście zalecane jest także korzystanie ze wsparcia inspektora ochrony danych, jeżeli taki został wyznaczony w organizacji.
Nie mniej istotny jest wybór metodyki szacowania ryzyka. Przepisy RODO nie wprowadzają tutaj żadnych ograniczeń, co oznacza, że administrator może dowolnie wybrać metodykę, najlepiej dostosowaną do jego potrzeb.
Wybrana przez administratora metodyka szacowania ryzyka powinna uwzględniać:
Ocena poziomu ryzyka może być wykazana metodą:
Często stosowane rozwiązanie to wzór obliczeniowy: (R) = (P) × (NS)
gdzie:
Po oszacowaniu ryzyka administrator powinien ustalić plan postępowania z tym ryzykiem. Najczęściej stosowane rozwiązania to:
W ramach tego działania administrator powinien zadecydować o wdrożeniu odpowiednich zabezpieczeń w celu ochrony danych osobowych, takich, aby zapewnić stopień bezpieczeństwa adekwatny do stwierdzonego ryzyka (art. 32 RODO).
Przykładowe zabezpieczenia
Pobierz arkusz szacowania ryzyka.
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl