Jeszcze kilka słów o podejściu opartym na ryzyku w świetle RODO

Zasada podejścia opartego na ryzyku zobowiązuje administratorów i podmioty przetwarzające do samodzielnego przeprowadzania analizy realizowanych procesów przetwarzania danych, z uwzględnieniem ich charakteru, zakresu, kontekstu i celów przetwarzania danych, oraz do dokonywania samodzielnej oceny ryzyka naruszenia praw i wolności podmiotów danych, jakie może pojawić się w związku z przeprowadzanymi operacjami przetwarzania. Przepisy RODO nie przewidują konkretnych środków i procedur w zakresie bezpieczeństwa danych, jednak poprzez przyjęcie podejścia opartego na ryzyku, umożliwiają elastyczne dopasowanie narzędzi bezpieczeństwa do rzeczywiście występującego ryzyka związanego z przetwarzaniem danych w określonej organizacji.

Pojęcie ryzyka w przepisach ogólnego rozporządzenia o ochronie danych pojawia się wielokrotnie, jednak nie jest ono wprost zdefiniowane. Wobec tego należy odwołać się do ogólnej definicji ryzyka rozumianego jako zagrożenie lub szansa wystąpienia zdarzenia, które może pociągnąć za sobą możliwość wystąpienia zarówno negatywnych, jak i pozytywnych konsekwencji. Można sięgać również do definicji szczegółowych, zawartych w normach ISO.

Przenosząc powyższe wskazówki interpretacyjne na grunt przepisów RODO, wskazać należy, że zakres pojęcia ryzyka jest zawsze określany w odniesieniu do naruszenia praw i wolności osób, których dane są przetwarzane. Treść motywu 75 RODO nieco ukierunkowuje analizę pojęcia, wskazując, że przy ocenianiu ryzyka konieczne jest uwzględnienie prawdopodobieństwa wystąpienia określonego zdarzenia będącego naruszeniem, oraz powagi tego zdarzenia, tj. wielkości szkody, jakie zdarzenie to może spowodować w odniesieniu do podmiotu danych. W dalszej części motywu 75 prawodawca unijny przytoczył przykłady uszczerbku fizycznego i szkód majątkowych oraz niemajątkowych, związanych z ryzykiem naruszenia praw i wolności podmiotów danych, jak choćby dyskryminacja, kradzież tożsamości, strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową itd. Na skutek braku wprowadzenia legalnej definicji, jak również odwołania się do kryteriów o charakterze nieostrym i ocennym, prawodawca unijny zdecydował, aby pojęcie ryzyka stanowiło kategorię autonomiczną oraz było definiowane i oceniane samodzielnie przez administratora lub podmiot przetwarzający w zależności od okoliczności przetwarzania danych.

W praktyce przeprowadzenie dokładnej oceny ryzyka bywa trudne, zwłaszcza w przypadku złożonych procesów przetwarzania danych, wykorzystujących nie tylko ogromne ilości danych osobowych, ale też nowoczesne narzędzia technologiczne służące przetwarzaniu danych. Analiza ryzyka może być przeprowadzana ręcznie (manualnie), np. w wersji papierowej, lub w wersji zautomatyzowanej, w szczególności z wykorzystaniem przystosowanych dla tego celu narzędzi. Wybór sposobu przeprowadzenia analizy zależy głównie od rodzaju i stopnia skomplikowania procesu przetwarzania danych, a także od potencjalnego ryzyka z nim związanego. Przy prostych procesach, w ramach których dochodzi do przetwarzania niewielkiej ilości i zakresu danych, niebędących przy tym danymi wrażliwymi, ocena ręczna może być wystarczająca. W przypadku procesów złożonych lepszym rozwiązaniem jest przeprowadzenie oceny w sposób zautomatyzowany, za pomocą dedykowanych narzędzi informatycznych, służących przeprowadzeniu kompleksowej i jednolitej analizy, jak np. dostępny na polskim rynku program GDPR Risk Tracker. Tego rodzaju programy pozwalają nie tylko na bardzo szczegółowe szacowanie ryzyka, przy uwzględnieniu wszystkich istotnych aspektów przetwarzania danych osobowych, ale też sprzyjają zachowaniu spójności pomiędzy różnymi procesami przetwarzania danych w ramach jednej organizacji. Trzeba bowiem pamiętać, że zarządzanie ryzykiem jest procedurą stałą i wymaga systematyczności. Wobec tego za każdym razem, gdy zmieniają się okoliczności lub warunki przetwarzania danych, a także w przypadku wdrażania nowych inicjatyw i przedsięwzięć, administrator powinien ponowić analizę ryzyka.

Przeprowadzenie analizy ryzyka nie kończy procesu zarządzania ryzykiem w organizacji. Kluczowe są bowiem działania, jakie podejmie administrator w następstwie przeprowadzonej analizy, w szczególności gdy wykazała ona istnienie wysokiego ryzyka naruszenia praw i wolności osób, których dane są przetwarzane. Do podjęcia określonych działań, a dokładnie do wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa danych, administrator zobowiązany jest na mocy art. 24 ust. 1 i art. 32 ust. 1 RODO. Artykuł 32 ust. 1 RODO zawiera przy tym przykładowy katalog środków ochrony danych, do których zaliczono m.in.: pseudonimizację i szyfrowanie danych osobowych, zarządzanie systemem w sposób zapewniający ciągłość poufności, integralności i dostępności przetwarzanych informacji oraz zdolność do szybkiego przywrócenia dostępu do danych osobowych w razie wystąpienia incydentu fizycznego lub technicznego, a także regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków technicznych i organizacyjnych.

Autor: aplikant adwokacki Adrianna Michałowicz