Analiza ryzyka w Twojej organizacji – krok po kroku
Analiza ryzyka często mylona jest z oceną skutków dla ochrony danych (DPIA). Tymczasem to pierwsze to podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach. Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw i wolności osób, których dane dotyczą, a także ryzyka naruszenia interesów administratora.
Z tematu tygodnia dowiesz się jak 7 krokach przeanalizować ryzyko w tym:
- jak zidentyfikować procesy przetwarzania danych
- jak określić zagrożenia i podatności
- jakie metody szacowania ryzyka przyjąć
- jak zareagować w odniesieniu do wyników szacowania.
Jak można się spodziewać, RODO nie wskazuje żadnej konkretnej metodyki ryzyka, pozostawiając wybór lub jej opracowanie w gestii administratora danych. Oznacza to, że administrator danych ma swobodę wyboru metodyki przeprowadzenia analizy ryzyka dostosowanej do potrzeb i procesów przetwarzania danych realizowanych w jego organizacji. Nie znaczy to jednak, że proces analizy ryzyka nie powinien być zorganizowany.
Krok 1. Wyodrębnij otoczenie
Pierwszym zadaniem administratora jest wyszczególnienie czynników mających wpływ na funkcjonowanie organizacji i przetwarzanie danych osobowych.
|
Czynniki wewnętrzne |
Czynniki zewnętrzne |
|
struktura i wielkość organizacji, |
Środowisko prawne, |
|
strategia i stosowana polityka, |
środowisko społeczne, |
|
system obiegu informacji, |
środowisko polityczne, |
|
środowisko informatyczne, |
korzystanie z usług zewnętrznych (np. outsourcing obsługi IT lub kadr), |
|
normy i standardy obowiązujące w w jednostce. |
czynniki lokalne/geograficzne – podmiot z UE lub spoza UE w zakresie sposobu wymiany informacji. |
Krok 2. Zidentyfikuj procesy przetwarzania danych
Analiza ryzyka dotyczy poszczególnych procesów przetwarzania danych osobowych. Nie może więc ona obyć się bez identyfikacji tych procesów.
Identyfikacja musi być na tyle szczegółowa, by dawała możliwość ustalenia:
- zakresu przetwarzania,
- charakteru przetwarzania,
- celów przetwarzania,
- potencjalnych zagrożeń związanych z nieuprawnionym ujawnieniem, utratą lub zniszczeniem danych osobowych.
W identyfikacji należy sugerować się treścią rejestru czynności przetwarzania bądź rejestru kategorii czynności przetwarzania, jeżeli taki jest prowadzony.
Krok 3. Dokonaj inwentaryzacji zasobów
Administrator musi też:
- poddać inwentaryzacji zasoby związanych z przetwarzaniem danych osobowych,
- wskazać osoby odpowiedzialne za poszczególne procesy przetwarzania danych osobowych (w tym ich wpływy na przetwarzanie danych
w organizacji, zagrożenia oraz szanse, które stwarzają).
Osoby odpowiedzialne za przetwarzanie danych to np.:
- kadra kierownicza i pracownicy, np. dyrektorzy poszczególnych działów/komórek organizacyjnych/ samodzielne stanowiska / kierownicy projektów,
- dostawcy (firmy, osoby fizyczne),
- klienci (firmy, osoby fizyczne),
- dostawcy finansujący działalność danego podmiotu (np. banki),
- podmioty pełniące role nadzorcze, np. ministerstwa,
- podmioty przetwarzające (np. dostawcy usług IT).
Krok 4. Określ zagrożenia
Analiza ryzyka ma dać odpowiedź na pytanie, jakie środki bezpieczeństwa przetwarzania danych wdrożyć w kontekście poziomu ryzyka. Konieczne jest więc określenie zagrożeń w organizacji. W tym celu warto ustalić ich systematykę.
|
Kryteria podziału zagrożeń |
Źródła zagrożeń |
|
Lokalizacja źródła |
wywodzące się z otoczenia przedsiębiorstwa (zewnętrzne), |
|
powstające w ramach organizacji (wewnętrzne) |
|
|
Przyczyna zagrożenia |
działanie przypadkowe, |
|
działanie umyślne |
|
|
działanie losowe |
Identyfikując zagrożenia w odniesieniu do praw i wolności podmiotu danych, należy wziąć pod uwagę zarówno działania celowe użytkownika, jak i te wynikające z jego niewiedzy, które mogą prowadzić do naruszenia przepisów prawa. Konieczne jest uwzględnienie zagrożeń co do przetwarzania danych osobowych tak w formie papierowej, jak w systemach informatycznych, np. brak odpowiedniego programu szyfrującego itp.
Przykładowe zagrożenia:
- ujawnienie danych osobowych będące skutkiem umyślnego lub nieumyślnego działania pracownika,
- przetwarzanie danych osobowych w relacji administrator – podmiot przetwarzający bez zawarcia umowy powierzenia przetwarzania danych,
- przekazanie danych osobowych podmiotom lub kontrahentom do tego nieupoważnionym
Krok 5. Zidentyfikuj podatności
Od zagrożeń należy odróżnić podatności. Są to bowiem cechy sprzyjające urzeczywistnieniu się potencjalnego zagrożenia. Aby zidentyfikować podatności, należy dokonać analizy zdarzeń, które dotychczas wystąpiły w organizacji.
Przykładowe podatności:
- brak procedury rekrutacji pracowników,
- brak dokumentacji bezpieczeństwa przetwarzania danych.
Krok 6. Dokonaj szacowania ryzyka
Szacowanie ryzyka ma na celu określenie potencjalnych strat, które mogą powstać w wyniku wystąpienia określonych zagrożeń. Najpierw jednak należy ustalić organizację całego procesu. W większych organizacjach uzasadnione jest powołanie zespołu odpowiedzialnego za proces zarządzania ryzykiem.
Gdy proces zarządzania ryzykiem realizuje jedna osoba, wówczas raporty oraz pojawiające się nieprawidłowości powinna ona zgłaszać bezpośrednio do administratora danych lub osoby przez niego wskazanej i koordynującej ten proces.
Aby oszacować ryzyko, najlepiej zaangażować w to personel administratora, który zwykle ma największą wiedzę na temat ryzyka występującego w ich obszarach działania. Oczywiście zalecane jest także korzystanie ze wsparcia inspektora ochrony danych, jeżeli taki został wyznaczony w organizacji.
Nie mniej istotny jest wybór metodyki szacowania ryzyka. Przepisy RODO nie wprowadzają tutaj żadnych ograniczeń, co oznacza, że administrator może dowolnie wybrać metodykę, najlepiej dostosowaną do jego potrzeb.
Wybrana przez administratora metodyka szacowania ryzyka powinna uwzględniać:
- zakres i cele przetwarzania,
- rodzaj danych,
- wielkość, strukturę oraz możliwości finansowe administratora danych.
Ocena poziomu ryzyka może być wykazana metodą:
- ilościową – przyjmujemy, że najważniejsze jest określenie dwóch podstawowych parametrów: wartości skutku i prawdopodobieństwa wystąpienia danego ryzyka; zaletą jest obiektywność i porównywalność wyników),
- jakościową - korzystamy ze zdefiniowanych już zakresów takich jak np.: niskie, średnie, wysokie; wykorzystujemy subiektywne miary i oceny takie jak wartości opisowe poziomów, zakresy wartości miar liczbowych oraz przyporządkowanie miar podatnościom, zagrożeniom, skutkom itp.; zdefiniowane są także stopnie prawdopodobieństwa urzeczywistnienia się zagrożeń np.: zdarzenie rzadkie (nie odnotowano takiego przypadku w organizacji); zdarzenie możliwe (zjawisko nierozpowszechnione, ale możliwe do wystąpienia); zdarzenie prawdopodobne (prawdopodobnie wystąpi w większości okoliczności); zdarzenie bardzo prawdopodobne (wystąpi w najbliższym czasie).
Często stosowane rozwiązanie to wzór obliczeniowy: (R) = (P) × (NS)
gdzie:
- (R) - poziom ryzyka,
- (P) - prawdopodobieństwo wystąpienia,
- (NS) - negatywny skutek, związany z ochroną praw oraz wolności podmiotów oraz środków i środowisk, w których dane są przetwarzane.
Krok 7. Przygotuj plan postępowania
Po oszacowaniu ryzyka administrator powinien ustalić plan postępowania z tym ryzykiem. Najczęściej stosowane rozwiązania to:
- redukcja ryzyka – wprowadzamy kontroli w celu zmniejszenia prawdopodobieństwa jego wystąpienia (np. prowadzenie dedykowanych szkoleń dla pracowników, aby zminimalizować ryzyko związane z niewłaściwymi zabezpieczeniami danych osobowych),
- unikanie ryzyka – przerywamy wszelkie działania, które to ryzyko generują (np. polecenie przechowywania dokumentów w szafie zamykanej na klucz zamiast pozostawiania ich na biurku),
- przeniesienie ryzyka - zlecamy określone czynności związane z przetwarzaniem danych podmiotowi zewnętrznemu,
- akceptacja ryzyka – godzimy się z ryzykiem, przyjmując, że koszt postępowania z ryzykiem jest większy niż szkody, które by to spowodowało.
W ramach tego działania administrator powinien zadecydować o wdrożeniu odpowiednich zabezpieczeń w celu ochrony danych osobowych, takich, aby zapewnić stopień bezpieczeństwa adekwatny do stwierdzonego ryzyka (art. 32 RODO).
Przykładowe zabezpieczenia
- organizacyjne (zarządzanie personelem, incydentami, udziałem stron trzecich – podmiotów przetwarzających);
- środki kontroli logicznej (anonimizacja, pseudonimizacja, środki kontroli dostępu do zasobów informatycznych, środki wspierające weryfikację danych na etapie ich wprowadzania itp.),
- prawne (procedury, wytyczne, instrukcje).
Pobierz arkusz szacowania ryzyka.
- „Jak rozumieć podejście oparte na ryzyku”, Poradnik RODO. Część 1, maj 2018, Prezes Urzędu Ochrony Danych Osobowych.
- Skarga do WSA na decyzję UODO – jak ją złożyć
- Analiza ryzyka RODO zgodnie z wytycznymi ENISA
- Standardy ochrony małoletnich – przetwarzanie danych osobowych w zaświadczeniach o niekaralności
- Dane osobowe sygnalistów a RODO - w nowym projekcie ustawy
- Dane osobowe sygnalistów a RODO - w nowym projekcie ustawy
- Ochrona danych osobowych podlegających profilowaniu według RODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
