Zaktualizowana treść artykułu:
Szacowanie ryzyka zgodnie z RODO
W poprzednich częściach omawiających szacowanie ryzyka zgodnie z RODO przedstawiliśmy sobie podstawowe definicje i pojęcia. Omówiliśmy sposób identyfikacji oraz pomiaru, a także podaliśmy przykłady skutków z podziałem na prawne, finansowe i wizerunkowe. Przyszedł czas na trzecią przed ostatnią część cyklu poświęconą analizie, ocenie i postępowaniu z ryzykiem. Zapraszam do artykułu.
Zarówno dla prawdopodobieństwa oraz skutków zaleca się stosowanie podejścia łączonego, czyli ilościowo - jakościowego.
Podejście ilościowe polega na wyrażeniu atrybutu za pomocą skali liczbowej lub bezpośrednio w jednostce walutowej, jako przewidywana wielkość strat związanych z danym rodzajem ryzyka lub rzeczywistego wystąpienia zagrożenia.
Podejście jakościowe polega na wyrażeniu atrybutu klasyfikacji w postaci opisania potencjalnych następstw (np. nigdy, często, strata finansowa, utrata poufności danych, niski, średni, wysoki). Głównym celem tego podejścia jest przestawnie atrybutu w sposób zrozumiały. Zaleca się, aby w podejściu jakościowym korzystać z dostępnych rzeczywistych danych i informacji.
Analiza ryzyka jest to proces dążący do poznania charakteru ryzyka oraz określenia poziomu ryzyka określonego w postaci kombinacji skutków oraz ich prawdopodobieństwa. W treści rozporządzenia wskazana została skala poziomu ryzyka i jest ona 2 stopniowa, czyli: ryzyko oraz wysokie ryzyko, jednakże dla uzupełnienia poziomów ryzyka warto dodać 3 poziom wyrażony jako: brak lub znikoma wartość ryzyka. Dodatkowo określono w Rozporzadzeniu, że ryzyko należy oszacować na podstawie obiektywnej oceny, co zapewnimy poprzez zastosowanie podejścia ilościowo-jakościowego. Analiza ryzyka stanowi również podstawę do podejmowania decyzji w zakresie postepowania z ryzykiem.
Przykład
Ocena ryzyka jest to proces porównywania wyników analizy ryzyka z kryteriami ryzyka (poziom odniesienia, względem których określa się ważność ryzyka) w celu stwierdzenia czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane. Zaleca się, aby kryteria oceny ryzyka stosowane do podejmowania decyzji były spójne ze zdefiniowanym zewnętrznym i wewnętrznym kontekstem. W praktyce wiąże się to z wyznaczeniem tzw. „linii odcięcia”, która określa poziom ryzyka z którym będziemy podejmować działania w celu jego obniżenia. Taki próg wyznaczają zapisy rozporządzenia i jest to poziom ryzyka o wartości „ryzyko”.
WAŻNE
Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
Postępowanie z ryzykiem
Trzeci etap procesu zarządzania ryzykiem polegający na modyfikowaniu ryzyk przekraczających akceptowalny próg. Etap ten często nazywany jest potocznie „łagodzeniem ryzyka”, „minimalizacją ryzyka”, „eliminacją ryzyka”, „zapobieganiem ryzyku” i „redukcją ryzyka”, a to ze względu na sposoby postepowania z ryzykiem:
- unikniecie ryzyka poprzez decyzję o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko;
- podjęcie lub zwieszenie ryzyka w celu wykorzystania szansy;
- usuniecie źródła ryzyka;
- zmianę prawdopodobieństwa;
- zmianę następstw;
- dzielenie ryzyka wraz z inną stroną(-ami);
- zachowanie ryzyka na podstawie świadomej decyzji.
Zaleca się wybranie takiego wariantu(-ów), które zapewnią znaczną redukcję ryzyka przy względnie małych nakładach. Przy wybieraniu wariantów nie trzeba ograniczać się tylko do jednego, gdyż często okazuje się, że korzystne jest wybranie np. zmiany prawdopodobieństwa oraz zmiany następstw.
Przykład
W celu minimalizacji ryzyka korzystając z sposobów od 3 do 6 korzysta się z zabezpieczeń, czyli zastosowania środków organizacyjnych i technicznych. Środki te powinny być wystarczające do zapewnienia odpowiedniego poziomu ochrony dla procesu przetwarzania danych.
WAŻNE
Jeżeli ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, wtedy przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym.
Informowanie i konsultowanie ryzyka
Jest to ciągły i prowadzony w sposób iteracyjny proces, który jest przez organizacje prowadzony w celu zapewnienia, przekazywania lub uzyskania informacji o ryzykach. Skuteczna komunikacja pomiędzy samymi uczestnikami tego procesu, ale również podejmującymi decyzje ma znaczący wpływ na prawidłowe działanie procesu zarzadzania ryzykiem a zwłaszcza dla podejmowanych decyzji oraz procesu ciągłego doskonalenia. Komunikacja musi się odbywać w sposób dwustronny za pośrednictwem łatwo dostępnego i niezawodnego kanału komunikacyjnego, co pozwoli na:
- zapewnienie wiarygodności wyników zaradzania ryzykiem,
- zbieranie informacji o ryzyku,
- dystrybucję rezultatów,
- unikniecie zagrożeń braku wzajemnego zrozumienia,
- wsparcie procesu podejmowania decyzji,
- uzyskania nowej wiedzy,
- koordynowanie i planowanie reakcji,
- wytworzenie poczucia odpowiedzialności za ryzyko,
- zwiększenie świadomości.
WAŻNE
Jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.
Szacowanie ryzyka zgodnie z RODO cz. 1
Szacowanie ryzyka zgodnie z RODO cz. 2
