Jak dokumentować analizę ryzyka i DPIA – 7 wskazówek dla administratora

Marcin Sarna

Autor: Marcin Sarna

Dodano: 11 sierpnia 2020
0321ba9e6c33b285a6187869f5eeff49fc769559-xlarge (1)

Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.

Dowiedz się m.in.:

w jakiej formie dokumentować analizę ryzyka,

czym jest strategia ciągłości działania

co należy dokumentować w ramach DPIA,

jak dokumentować DPIA – na przykładzie.

CZĘŚĆ I. OGÓLNA OCENA RYZYKA

W jakiej formie

Ogólna ocena ryzyka nie musi być sporządzana w określonej formie. Niemniej jednak związku z zasadą rozliczalności najlepiej ogólną analizę ryzyka wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.

Metodologię wybiera ADO

W przypadku ogólnej oceny ryzyka administrator powinien wybrać jedną z metodologii, która pozwoli na rzetelną ocenę. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji. Jej polskim odpowiednikiem jest norma PN-ISO/IEC 17799:2007. W kontekście dokumentowania należy zwrócić tu uwagę na takt, że norma ta wskazuje zabezpieczenie w postaci procesu autoryzacji nowej infrastruktury, w której będą przetwarzane informacje. Innymi słowy każdy system, który będzie przetwarzał informacje, jeszcze przed jego wprowadzeniem do stosowania powinien być przetestowany pod kątem bezpieczeństwa.

Uwaga

Zalecane są takie rozwiązania jak

  • kontrola zmian – a więc stwierdzenie, kiedy jaka zmiana (np. w parametrach systemu IT) została wprowadzona, oraz umożliwienie cofania wybranych zmian;
  • separacja uprawnień – rozdział uprawnień do poszczególnych systemów;
  • testowanie – takie wprowadzanie zmian w konfiguracjach, aby zapewnić poufność, integralność i dostępność informacji;
  • uregulowanie kwestii sprzątania pomieszczeń i dostępu do nich podczas tych czynności.

Oczywiście należy je udokumentować.

Czym jest strategia ciągłości działania

Ważnym dokumentem, który należy wytworzyć w związku z ogólna analizą ryzyka, jest strategia ciągłości działania. Dokument ten stanowi plan działa mających na celu zapobieżenie przerwaniu procesów biznesowych firmy, w ramach których dochodzi do przetwarzania danych osobowych.

CZĘŚĆ II. OCENA SKUTKÓW DLA OCHRONY DANYCH (DPIA)

Co należy udokumentować w ramach DPIA

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (art. 35 RODO).

Uwaga

Ocena skutków dla ochrony danych powinna zawierać:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa obejmuje.

Dokumentowanie oceny skutków należy rozpocząć od fazy organizacyjnej. Należy zarejestrować informacje:

  • kto powołał członków zespołu oceniającego,
  • jak następował wybór poszczególnych osób,
  • czym był umotywowany określony podział ról i obowiązków.

Następnie zespół oceniający powinien zweryfikować zapotrzebowanie w zakresie zewnętrznych analiz czy ekspertyz i wystąpić o przyznanie określonego budżetu. Należy w szczególności udokumentować fakt obcięcia tego budżetu lub nieprzyznania go na określone zadanie.

Udokumentowane powinny być również wszelkie wnioski spływające do zespołu oceniającego, – zarówno ze strony samego administratora, inspektora ochrony danych, ekspertów zewnętrznych, jak i członków personelu administratora. To samo dotyczy pozyskiwanych opinii i stanowisk.

Uwaga

Jeżeli w ocenach wystąpi rozbieżność, wówczas w dokumentacji należy wyjaśnić, dlaczego i które oceny przeważyły jako podstawa do podjętych decyzji czy wybranych opcji.

Szczególny nacisk na operacje objęte komunikatem UODO

Prezes Urzędu Ochrony Danych Osobowych corocznie ogłasza w formie komunikatu wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Aktualnie przykładami takich operacji są: oferowanie przez zakłady ubezpieczeń zniżek związanych ze stylem życia czy prowadzenie przez zakłady pracy monitoringu systemów informatycznych czy poczty elektronicznej.

W przypadkach takich operacji przeprowadzenie oceny skutków jest konieczne. Będąc tego świadomy, administrator powinien położyć szczególny nacisk na precyzyjne udokumentowanie działań podejmowanych w toku oceny skutków.

Jak dokumentować DPIA – case study

W jaki sposób dokumentować DPIA? Najlepiej wyjaśnić to na przykładzie.

Przykład

Jednym z rozwiązań stosowanych przez organizację w toku oceny skutków dla ochrony danych było przeprowadzanie konsultacji. Powstało pytanie – czy wystarczy w celu udokumentowania konsultacji przedstawić anonimowe ankiety?

Organizacja słusznie uznała, że nie było to konieczne. Nie ma bowiem konieczności przechowywania spersonalizowanych ankiet zawierających dane osób, które wyraziły swoją opinie. Wystarczy więc przechowywać anonimowe ankiety. Art. 35 ust. 7 RODO nie wymaga, by takie ankiety były przypisane konkretnym osobom. Co więcej, jak wynika ze stanowiska Grupy Roboczej Art. 29, opinia dotycząca sposobu przetwarzania może być pozyskiwana na różne sposoby np. poprzez wewnętrzne lub zewnętrzne badania czy formalne zapytania do przedstawicieli pracowników lub związków zawodowych. Jeśli:

  • ostateczna decyzja administratora będzie różna od poglądów osób, których dane dotyczą (należy tu raczej przyjąć, że chodzi o pogląd wyrażony przez większość indagowanych osób), to powody podjęcia określonej decyzji powinny być udokumentowane;
  • administrator uzna, że nie ma potrzeby zasięgać opinii osób, których dane dotyczą, wówczas powinien udokumentować uzasadnienie takiej decyzji.

Jeśli jednak administrator uzna, że pozostawienie danych osobowych osób ankietowanych jest celowe, wówczas oczywiście może to zrobić. Wtedy jednak przetwarza dane osobowe i musi dopełnić wszystkich obowiązków wynikających z RODO, takich jak pobranie zgody na przetwarzanie, realizacja obowiązku informacyjnego itp. w tym wskazanie okresu przechowywania danych (tu:  okres, przez jaki ocena skutków dla ochrony danych będzie aktualna ze względu na stosowany u danego administratora rodzaj przetwarzania danych osobowych, ewentualnie z dopiskiem „nie później jednak niż przez … lat”.

Natomiast jeśli administrator wyciągnie wnioski inne niż wynikające z ankiet, wówczas dodatkowo będzie musiał udokumentować powód podjęcia bądź niepodjęcia tej decyzji. Innymi słowy, dokumentacja oceny skutków powinna wówczas zawierać uzasadnienie, dlaczego administrator postąpił inaczej niż w sposób wynikający z zebranych opinii. Przykładowym argumentem może być twierdzenie, że uwzględnienie głosów ankietowanych generowałoby zagrożenie dla bezpieczeństwa jednostki organizacyjnej.

 Gdy administrator podlega kodeksowi branżowemu …

W toku przeprowadzanej oceny skutków dla ochrony danych administrator powinien przestrzegać zatwierdzonych kodeksów postępowania (art. 35 ust. 8 RODO).

Uwaga

Kodeksy postępowania mają, uwzględniając specyfikę różnych branż, pomóc we właściwym stosowaniu RODO. Więcej o nich przeczytasz tutaj>>

Oczywiście kwestia ta musi być uwzględniona w dokumentacji DPIA. Należy umieścić w niej analizę porównawczą różnych środków ochrony danych osobowych pod kątem ich zgodności z kodeksem obowiązującym w branży, w której działa dany administrator.

… lub stosuje inne instrumenty zgodności

W dokumentacji należy również wskazać korzystanie z mechanizmów certyfikacji, znaków jakości i oznaczeń i innych instrumentów, o których mowa w art. 42 ust. 1 RODO. Dokumentacja powinna zawierać wyjaśnienie, jak proponowane środki mają się do certyfikacji, znaków jakości czy oznaczeń.

Podstawa prawna:

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x