Jak przeprowadzić analizę ryzyka zgodnie z RODO – praktyczne wskazówki

W tym artykule chcemy rzucić światło na bezpieczeństwo przetwarzanych danych. Pokażemy Ci, dlaczego analiza ryzyka jest kluczem do skutecznej ochrony danych i jak przeprowadzić ją w praktyce. Dzięki temu Twoja firma nie tylko spełni przepisy, lecz także będzie mogła zyskać prawdziwą przewagę w świecie pełnym wyzwań związanych z bezpieczeństwem danych.

Czym jest ryzyko

Ryzyko towarzyszy każdemu aspektowi naszego życia – od codziennych decyzji po bardziej złożone działania zawodowe. W kontekście ochrony danych osobowych ryzyko to szansa na wystąpienie sytuacji, która mogłaby wpłynąć negatywnie na bezpieczeństwo danych oraz prawa i wolności osób, których dane dotyczą. Analiza ryzyka oznacza zatem uważne zbadanie potencjalnych zagrożeń oraz ich konsekwencji – od przypadkowego naruszenia danych po celowe działania mogące prowadzić do ujawnienia czy utraty informacji.

Definicja ryzyka w ochronie danych osobowych, tak jak w zarządzaniu organizacją, obejmuje dwa podstawowe elementy: prawdopodobieństwo wystąpienia zagrożenia oraz jego potencjalny wpływ. Analiza ryzyka pozwala organizacjom ocenić, które sytuacje wymagają szczególnej uwagi i jakie środki ochrony powinny zostać wdrożone, aby skutecznie zminimalizować te ryzyka i zapewnić zgodność z RODO.

Jaki jest cel analizy ryzyka

Celem analizy ryzyka nie jest (jak wielu może sądzić) jedynie zaspokojenie wymagań ustawodawcy. Analiza ryzyka to potężne narzędzie w rękach zarządów i decydentów, które pozwala odpowiedzieć na fundamentalne pytanie: Czy nasze zabezpieczenia są faktycznie skuteczne? Mówiąc wprost, analiza ryzyka dostarcza obiektywnych informacji, na podstawie których organizacje mogą podejmować przemyślane, racjonalne decyzje.

Do tej pory wielu z nas przyzwyczaiło się do reaktywnego podejścia do zarządzania ryzykiem. Działania były podejmowane głównie po to, by spełnić wymogi prawne. Jednak filozofia RODO zmienia tę dynamikę. Zamiast po prostu spełniać oczekiwania ustawodawcy, każda organizacja musi sama wypracować skuteczne metody ochrony danych. RODO, w przeciwieństwie do ustawy o ochronie danych osobowych z 1997 roku, nie daje listy konkretnych zabezpieczeń. Tym, co proponuje, jest neutralny technologicznie przepis, który każdy musi wypełnić własnymi rozwiązaniami. Analiza ryzyka staje się więc narzędziem, które pomaga organizacjom samodzielnie określić, jak najlepiej chronić dane, zamiast polegać wyłącznie na gotowych schematach.

Zastanówmy się przez chwilę nad tym: ponad 25% kar nałożonych w Polsce za naruszenia RODO wynika z niewłaściwego stosowania zabezpieczeń. To nie jest przypadek. W większości sytuacji za tymi sankcjami kryje się brak analizy ryzyka, jej nieprawidłowe przeprowadzenie lub, co równie istotne, brak działania na podstawie wniosków z tej analizy. A jeśli dodamy do tego fakt, że ponad 20% kar dotyczy błędów w zarządzaniu naruszeniami, odkrywamy coś niepokojącego – prawie połowa wszystkich kar jest bezpośrednio związana z szeroko rozumianym zarządzaniem ryzykiem.

Ale co to właściwie oznacza? Oznacza, że organizacje nie tylko nie rozumieją, jak krytyczne jest zarządzanie ryzykiem, lecz także nie podejmują działań, które mogłyby zapobiec poważnym konsekwencjom. Problem nie leży wyłącznie w teorii, ale w praktyce codziennych decyzji, które często są podejmowane bez pełnej świadomości konsekwencji.

Co jest istotą analizy ryzyka na gruncie RODO

Wyobraźmy sobie, że przeprowadzanie analizy ryzyka w kontekście RODO to jak prowadzenie samochodu. Ty grasz rolę kierowcy – administratora danych. Jadąc, nie myślisz tylko o sobie, ale o innych uczestnikach ruchu drogowego – osobach, których dane przetwarzasz. Zastanawiasz się, jakie zagrożenia możesz im stwarzać. To jak pytanie: Czy istnieje ryzyko, że kogoś potrącę? Czy mogę spowodować stłuczkę? Te zagrożenia dotyczą innych, ale wynikają bezpośrednio z Twoich działań.

To właśnie odróżnia analizę ryzyka w RODO od innych analiz, na przykład na gruncie normy ISO 27001. W tym drugim przypadku nadal jesteś kierowcą, ale Twoja perspektywa jest zupełnie inna. Zastanawiasz się wówczas, jakie zagrożenia mogą spotkać Ciebie samego: mandat, zdjęcie z fotoradaru, wypadek czy może kradzież pojazdu. Innymi słowy, skupiasz się na ochronie własnych interesów.

Analiza ryzyka na gruncie RODO zawsze stawia na pierwszym miejscu człowieka i jego dane osobowe. To nie tylko techniczna procedura – to odpowiedzialność za innych. To spojrzenie na świat z perspektywy ochrony prywatności i bezpieczeństwa ludzi, którzy Ci zaufali. Dlatego każdy administrator danych musi się nauczyć patrzeć na drogę z tej właśnie perspektywy – nie tylko przez pryzmat własnych potrzeb, lecz przede wszystkim tak, by chronić tych, którzy są w strefie jego działania.

Ile analiz ryzyka funkcjonuje na gruncie RODO

Często spotykamy się z przekonaniem, że w ramach RODO istnieje tylko jedna analiza ryzyka. To powszechny, ale błędny pogląd. Dlaczego? Nie tylko same przepisy RODO mówią inaczej, lecz także potwierdza to praktyka Prezesa Urzędu Ochrony Danych Osobowych. Fragment artykułu, który widzisz teraz przed sobą, pochodzi ze strony Urzędu Ochrony Danych Osobowych. Jasno pokazuje on, że analiza ryzyka w RODO to nie jedna ocena, a kilka istotnych ocen.

Pierwsza z nich to tak zwana ogólna analiza ryzyka, o której mowa w artykule 32 RODO. To podstawowa ocena zabezpieczeń, której celem jest zapewnienie odpowiedniego poziomu ochrony danych. Ale to nie wszystko. Artykuł 35 RODO wprowadza także obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA) – szczególnie wtedy, gdy przetwarzanie może wiązać się z wysokim ryzykiem naruszenia praw i wolności osób, których dane dotyczą.

Jakie są różnice między tymi dwoma analizami? Zacznijmy od ogólnej analizy ryzyka, o której mowa w artykule 32 RODO. Przede wszystkim jest to analiza, która dotyczy zarówno administratora danych, jak i podmiotu przetwarzającego. Stanowi fundament w procesie ustanawiania środków technicznych i organizacyjnych, które mają zapewnić ochronę danych osobowych. Innymi słowy, to właśnie ta analiza wskazuje, jakie środki bezpieczeństwa powinniśmy wdrożyć, aby skutecznie chronić odpowiednie kategorie danych osobowych przetwarzanych w danym procesie. Dzięki niej możemy zidentyfikować zagrożenia i dostosować zabezpieczenia techniczne oraz organizacyjne do specyfiki przetwarzanych danych, zapewniając ich zgodność z wymaganiami RODO.

Zasadniczo ta analiza powinna być przeprowadzona przed rozpoczęciem przetwarzania danych lub wdrożeniem nowego zasobu biorącego udział w operacjach przetwarzania. Stanowi to element tak zwanej ochrony danych w fazie projektowania (data protection by design). Regularność aktualizacji tej analizy zależy od przyjętych cykli, na przykład raz do roku. Dodatkowo powinna być ponownie przeglądana po każdym naruszeniu ochrony danych osobowych, by ocenić, czy zastosowane środki były wystarczające.

Z kolei ocena skutków dla ochrony danych (DPIA), o której mowa w artykule 35 RODO, jest bardziej szczegółowa i dotyczy wyłącznie sytuacji, gdy pełnimy funkcję administratora danych. Co ważne, DPIA nie jest wymagana dla każdej operacji przetwarzania. Stosujemy ją tylko wtedy, gdy operacja przetwarzania wiąże się z wysokim ryzykiem naruszenia praw i wolności osób, których dane dotyczą.

Podobnie jak ogólną analizę ryzyka również DPIA wykonujemy przed rozpoczęciem przetwarzania. Chociaż nie ma bezpośredniego obowiązku prawnego, aby przeprowadzać przegląd DPIA cyklicznie, zaleca się, by regularnie aktualizować tę ocenę w przypadku istotnych zmian w warunkach przetwarzania, takich jak zmiana celów, odbiorców danych czy kategorii przetwarzanych informacji.

Jak zarządzać ryzykiem

Według ekspertów z brytyjskiego Narodowego Centrum Cyberbezpieczeństwa (NCSC) ryzyko w obszarze cyberbezpieczeństwa jest najczęściej oceniane w kontekście poszczególnych elementów systemu, takich jak sprzęt (na przykład komputery, serwery) oraz oprogramowanie. Takie podejście nazywane jest oceną ryzyka oddolnego lub komponentowego. Polega ono na analizie ryzyka jako kombinacji wartości poszczególnych komponentów systemu i prawdopodobieństwa ich naruszenia.

W praktyce oznacza to konieczność oceny poziomu zagrożeń, z którymi mierzą się te komponenty, ich podatności oraz potencjalnych skutków dla działalności biznesowej w przypadku ich naruszenia. Podejście komponentowe pozwala analitykom precyzyjnie wskazać konkretne ryzyka związane z poszczególnymi elementami systemu. Dzięki temu mogą oni nadać priorytet ryzykom w zależności od ich potencjalnego wpływu. Priorytetyzacja ryzyk w taki sposób umożliwia skoncentrowanie działań na minimalizacji najpoważniejszych zagrożeń w pierwszej kolejności, jeśli jest to możliwe.

Inne podejście, czyli podejście komplementarne w zarządzaniu ryzykiem, koncentruje się głównie na celach lub zadaniach systemu, a nie na jego poszczególnych komponentach. Tego typu strategia jest nazywana podejściem odgórnym (top-down) lub systemowym (system-driven), ponieważ analizuje cały system jako całość, uwzględniając wszystkie jego elementy i ich wzajemne oddziaływania, a nie tylko pojedyncze komponenty.

W podejściu systemowym bierze się pod uwagę interakcje między różnymi aspektami systemu, w tym między ludźmi, procesami biznesowymi i technologią. Analitycy ryzyka, gdy stosują to podejście, rozpoczynają od zdefiniowania ogólnego celu systemu, po czym dodają kolejne szczegóły. W ten sposób tworzą projekt, który pozwala osiągnąć ten cel. Kluczowe jest tutaj zrozumienie wzajemnych zależności między poszczególnymi elementami systemu.

Jak zarządzanie ryzykiem wpisuje się w podejście systemowe? Oprócz analizy celów, jakie system ma realizować, zarządzanie ryzykiem odgórnym uwzględnia również cele, które system powinien wykluczać. Mówimy tutaj o możliwych stratach lub zagrożeniach, które mogą pojawić się podczas działania systemu. Przykładowo, w przypadku systemu sterującego automatycznymi drzwiami bezpieczeństwa celem jest umożliwienie bezpiecznego przechodzenia ludzi. Natomiast stratą, którą należy zidentyfikować, mogłoby być na przykład przypadkowe wpuszczenie nieuprawnionych osób lub ryzyko zranienia użytkowników przez mechanizm drzwi.

Analiza strat może wydawać się oczywista, jednak doświadczenie pokazuje, że te negatywne scenariusze rzadko są brane pod uwagę na wczesnym etapie projektowania systemu. Zwykle skupiamy się na celu systemu, a straty zaczynamy rozważać dopiero w bardziej zaawansowanych fazach projektu, gdy mamy już jasny obraz działania systemu. W efekcie dochodzi często do sytuacji, w której kwestie bezpieczeństwa są „doczepiane” na późniejszym etapie, zamiast być integralnie uwzględnione już na początku cyklu życia projektu.

Aby lepiej zrozumieć powiązania między technikami oddolnymi i odgórnymi, warto odwołać się do hierarchii abstrakcji stworzonej przez Jensa Rasmussena, przedstawionej na poniższym schemacie.

Model ten wprowadza ideę, że na systemy można patrzeć przez pryzmat różnych poziomów abstrakcji. Analizując tylko trzy górne warstwy tej hierarchii, skupiamy się na koncepcyjnych aspektach systemu. Oznacza to, że nasza analiza koncentruje się na tym, co system ma osiągnąć, zamiast na szczegółach jego działania.

Podejście oddolne, oparte na komponentach, odnosi się do analizy potencjalnych błędów na dwóch dolnych poziomach tej hierarchii. Obejmuje to fizycznie istniejące elementy systemu lub ich reprezentacje, takie jak szczegółowe diagramy architektury, które opisują konkretne decyzje technologiczne.

Z kolei podejście odgórne (top-down) lub systemowe (system-driven) odnosi się do ogólnego celu systemu i potencjalnych strat. Celem jest identyfikacja scenariuszy, w których mogłoby dojść do strat w wyniku realizacji koncepcyjnego projektu systemu. Na tym poziomie abstrakcji pojęcia zagrożeń i podatności, typowe dla metod opartych na komponentach, tracą znaczenie. Zamiast tego szukamy sposobów, w jakie system może prowadzić do strat.

Celem wprowadzenia modelu hierarchii abstrakcji jest pokazanie, że technika zarządzania ryzykiem skoncentrowana na komponentach i technika skupiająca się na systemie analizują ryzyko w zasadniczo odmienny sposób, ale wzajemnie się uzupełniają. Obie techniki stanowią cenne narzędzia zarządzania ryzykiem, jeśli są stosowane do właściwego rodzaju problemów.

Jak wybrać najlepszą metodykę zarządzania ryzykiem

Technika zarządzania ryzykiem oparta na komponentach oraz technika systemowa mogą być stosowane równolegle, aby uzyskać komplementarny obraz ryzyka. Przykładowo, podejście odgórne (top-down) może pomóc w zidentyfikowaniu najważniejszych systemów, interakcji lub słabości, które następnie można dokładniej przeanalizować przy użyciu podejścia oddolnego (bottom-up).

Każda z tych metod wnosi wartość na swój sposób, dlatego żadna z nich nie jest lepsza od drugiej. Są jednak lepiej dostosowane do różnych typów problemów związanych z zarządzaniem ryzykiem:

• Podejście oparte na komponentach najlepiej sprawdzi się przy analizie ryzyka związanego z istniejącymi lukami technicznymi. Przykładem może być sytuacja, gdy organizacja posiada komputer, który z przyczyn operacyjnych nie może być zaktualizowany lub zabezpieczony. Tego rodzaju analiza ryzyka pozwala na ocenę, jakie zabezpieczenia można zastosować wokół tego wrażliwego punktu w systemie, aby minimalizować ryzyko wynikające z niezałatanej luki.
• Podejście systemowe jest przydatne przy analizie dużych, złożonych systemów, zwłaszcza w kontekście błędów wynikających z interakcji. Może ono ujawnić, że choć każdy komponent systemu działa poprawnie samodzielnie, to istnieją wady w sposobie ich współdziałania, które mogą prowadzić do naruszeń bezpieczeństwa. Przykładem może być ryzyko oszustw w systemie płatności online. W tym przypadku podejście oparte na komponentach może w pełni nie uwzględnić wpływu systemów użytkowników na bezpieczeństwo całego systemu, dlatego lepiej sprawdzi się podejście systemowe.

Dzięki stosowaniu tych technik łącznie organizacja może uzyskać pełniejszy obraz ryzyka, lepiej zrozumieć zagrożenia i wdrażać skuteczniejsze środki ochrony.

Jak przeprowadzić analizę ryzyka

W dalszej części artykułu opiszemy podejście do analizy ryzyka, które jest najczęściej stosowane w praktyce oraz szczegółowo opisane w przewodniku Urzędu Ochrony Danych Osobowych. Skupimy się na metodologii opartej na normie ISO 27005, która dostarcza szeroko akceptowanych wytycznych dotyczących zarządzania ryzykiem w zakresie bezpieczeństwa informacji.

Wybór tego podejścia wynikał z kilku istotnych przesłanek. Jest to metodologia dobrze znana i szeroko stosowana w organizacjach na całym świecie, co umożliwia tworzenie spójnych ram do oceny ryzyka. Podejście to oferuje standardowy zestaw narzędzi pozwalających na dokładną identyfikację, ocenę, monitorowanie i kontrolowanie ryzyk związanych z bezpieczeństwem informacji. Jest to szczególnie istotne w kontekście zgodności z przepisami prawa, w tym z RODO. Norma ISO 27005 zapewnia jednocześnie elastyczność. Organizacje mogą dostosować poziom szczegółowości i zaawansowania analizy do swoich specyficznych potrzeb i możliwości. Jest to kluczowe w przypadku firm o różnym poziomie dojrzałości w zarządzaniu bezpieczeństwem informacji.

Wybraliśmy tę metodologię również dlatego, że jej założenia i procesy są omówione w przewodniku Urzędu Ochrony Danych Osobowych. Ułatwia to jej stosowanie w organizacjach działających na polskim rynku, w tym także w instytucjach publicznych, które często opierają swoje działania na wytycznych organów nadzorczych.

Norma ISO 27005 bazuje na kluczowych etapach zarządzania ryzykiem. Podejście to obejmuje następujące działania:

1. Identyfikacja aktywów i zagrożeń – wskazanie zasobów informacyjnych organizacji oraz potencjalnych zagrożeń, które mogą wpłynąć na poufność tych zasobów, ich integralność lub dostępność.
2. Określenie podatności i potencjalnych skutków – analiza słabych punktów w zabezpieczeniach, które mogą zostać wykorzystane przez zagrożenia, oraz ocena skutków ich materializacji.
3. Szacowanie ryzyka – ocena prawdopodobieństwa wystąpienia zagrożeń oraz ich możliwego wpływu na organizację, co pozwala na klasyfikację ryzyka według poziomu jego istotności.
4. Planowanie i wdrażanie działań zaradczych – ustalenie odpowiednich środków bezpieczeństwa, które pozwolą na redukcję ryzyka do akceptowalnego poziomu lub na jego kontrolę.

Norma ISO 27005 jako systematyczne podejście do zarządzania ryzykiem nie tylko wspiera spełnianie wymogów prawnych, lecz także zwiększa przejrzystość procesu zarządzania bezpieczeństwem w organizacji. Pozwala to na lepszą współpracę między zespołami odpowiedzialnymi za bezpieczeństwo informacji i za zarząd organizacji. Ułatwia to również podejmowanie decyzji opartych na świadomej ocenie ryzyka i ustalonych priorytetach. Dla organizacji, które chcą sprostać wysokim standardom bezpieczeństwa, jest to sprawdzona i skuteczna metodologia, pozwalająca na wdrożenie podejścia zgodnego z międzynarodowymi normami i najlepszymi praktykami branżowymi.

Krok pierwszy – inwentaryzacja zasobów i procesów

Analizę ryzyka powinniśmy zacząć od zdefiniowania operacji przetwarzania, które są realizowane zdalnie. Najprościej można to osiągnąć przez przegląd rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania prowadzonych przez organizację. Rejestry te ujawniają wszystkie operacje, w których organizacja pełni funkcję administratora danych lub podmiotu przetwarzającego. W artykule Rejestr czynności przetwarzania i RODO – wszystko, co musisz wiedzieć wyjaśniamy, czym są te rejestry oraz jak prawidłowo je prowadzić.

Na potrzeby tego artykułu przyjęliśmy założenie, że analizowanym procesem będzie zatrudnienie.

Następną czynnością jest szczegółowa identyfikacja wszystkich zasobów wykorzystywanych w operacjach przetwarzania danych związanych z danym procesem. Na tym etapie kluczowe jest określenie wszystkich elementów wspierających przetwarzanie danych, w tym sprzętu, oprogramowania, infrastruktury sieciowej oraz rozwiązań technologicznych, które bezpośrednio lub pośrednio wspierają realizację operacji.

Dzięki kompleksowej inwentaryzacji zasobów organizacja uzyskuje pełniejszy obraz środowiska, w którym realizowane są operacje przetwarzania danych. Jest to kluczowe dla dalszych etapów analizy ryzyka i skutecznego wdrażania środków zaradczych.

Aby ułatwić Ci identyfikację wszystkich grup zasobów wykorzystywanych w danym procesie, przedstawiamy poniższą typologię.

Krok drugi – identyfikacja zagrożeń

Kolejnym krokiem jest identyfikacja potencjalnych zagrożeń dla danych osobowych przetwarzanych w ramach procesów realizowanych zdalnie. Zgodnie z przepisami RODO zagrożenia te obejmują przede wszystkim następujące zdarzenia:

• Przypadkowe lub niezgodne z prawem zniszczenie danych osobowych – sytuacje, w których dane zostają nieodwracalnie utracone lub usunięte w wyniku błędu, awarii lub celowego działania sprzecznego z prawem.
• Przypadkowa lub niezgodna z prawem utrata danych osobowych – przypadki, w których dane są nieumyślnie zgubione, co uniemożliwia ich dalsze przetwarzanie lub ich odzyskanie.
• Przypadkowa lub niezgodna z prawem modyfikacja danych osobowych – ryzyko niezamierzonej lub nielegalnej zmiany danych, która może wpływać na ich integralność i wiarygodność, co prowadzi do potencjalnych błędów w przetwarzaniu.
• Nieuprawnione ujawnienie lub dostęp do danych osobowych – sytuacje, w których dane są udostępniane osobom, które nie posiadają stosownych uprawnień, co naraża organizację na ryzyko naruszenia prywatności.

Każde z tych zagrożeń może prowadzić do poważnych konsekwencji dla bezpieczeństwa i prywatności danych osobowych, dlatego istotne jest ich wczesne wykrycie i zrozumienie. Identyfikacja zagrożeń stanowi podstawę do opracowania środków zaradczych oraz planu działań, które zminimalizują ryzyko naruszenia danych w procesach przetwarzania realizowanych zdalnie.

Identyfikacja zagrożeń - przykłady

Krok trzeci – identyfikacja zabezpieczeń

W dalszej części analizy organizacja powinna zidentyfikować i ocenić istniejące zabezpieczenia dla poszczególnych zasobów. Pozwoli to uniknąć zbędnej pracy lub dodatkowych kosztów podczas wdrażania planu postępowania z ryzykiem, na przykład przez uniknięcie duplikacji zabezpieczeń lub ich nadmiarowej implementacji.

W identyfikacji istniejących lub planowanych zabezpieczeń mogą być pomocne następujące działania:

• Przegląd dokumentacji dotyczącej zabezpieczeń – analiza dokumentów zawierających informacje o obecnych i planowanych zabezpieczeniach, takich jak plany wdrożenia działań w ramach postępowania z ryzykiem czy dokumentacja polityk bezpieczeństwa.
• Wywiady z kluczowymi osobami odpowiedzialnymi za bezpieczeństwo danych – przeprowadzenie rozmów z osobami pełniącymi kluczowe funkcje związane z ochroną danych osobowych, na przykład z inspektorem ochrony danych (IOD), administratorem systemu lub innymi specjalistami do spraw bezpieczeństwa. Ważne jest również zasięgnięcie opinii użytkowników, aby zweryfikować rzeczywisty stan wdrożenia zabezpieczeń w praktyce.
• Audyty – przeprowadzenie audytów, które mogą obejmować zarówno osobowe, jak i zautomatyzowane procesy, w celu niezależnej oceny poziomu zabezpieczeń i wykrycia ewentualnych luk lub obszarów wymagających poprawy.
• Przegląd wyników audytów wewnętrznych – analiza raportów z audytów wewnętrznych, które mogą dostarczyć cennych informacji o stanie i efektywności istniejących zabezpieczeń, a także wskazać obszary, w których konieczne jest wdrożenie dodatkowych środków ochrony.

Te działania pozwalają na kompleksowe zrozumienie obecnego poziomu zabezpieczeń i przygotowanie bardziej efektywnego planu zarządzania ryzykiem, dostosowanego do specyficznych potrzeb i zasobów organizacji.

Krok czwarty – identyfikacja podatności

Następnym krokiem w analizie ryzyka jest identyfikacja podatności wykorzystywanych zasobów, które mogą zwiększać prawdopodobieństwo wystąpienia zagrożeń. Kluczowe jest zrozumienie, które elementy infrastruktury, procedur lub zachowań pracowników mogą ułatwiać realizację ryzyka, szczególnie w specyficznych warunkach, takich jak praca zdalna.

Na tym etapie analizy warto wziąć pod uwagę różne źródła podatności:

• Podatności techniczne – obejmujące sprzęt, oprogramowanie i zabezpieczenia systemów, takie jak brak szyfrowania, słabe hasła, brak kontroli dostępu lub brak regularnych aktualizacji. Mogą one zwiększać ryzyko cyberataków.
• Podatności fizyczne – wynikające z miejsca pracy, na przykład brak zabezpieczeń fizycznych dla sprzętu służbowego, możliwość pozostawienia dokumentów lub urządzeń w ogólnodostępnych przestrzeniach domowych.
• Podatności organizacyjne – obejmujące polityki, procedury i kulturę bezpieczeństwa w organizacji, które mogą być niedostosowane do specyfiki pracy zdalnej. Przykłady to brak jasnych zasad dotyczących korzystania z prywatnych urządzeń do pracy, brak szkoleń z zakresu bezpieczeństwa pracy zdalnej lub niedostateczne zasady ochrony poufności w środowisku domowym.
• Podatności osobowe – związane z zachowaniami i nawykami pracowników, które mogą prowadzić do nieumyślnego ujawnienia danych. Należy zwrócić uwagę na takie sytuacje, jak prowadzenie rozmów z klientami w obecności innych domowników, przesyłanie dokumentów służbowych przez prywatne konta e-mail czy korzystanie z niezabezpieczonych urządzeń prywatnych.

Przeprowadzenie analizy podatności pozwala na lepsze zrozumienie, w których obszarach zagrożenia są najbardziej prawdopodobne, oraz na podjęcie działań prewencyjnych, które zmniejszą ryzyko materializacji zagrożeń w przyszłości.

Identyfikacja podatności - przykłady

Krok piąty – szacowanie prawdopodobieństwa i skutków zagrożenia

Kolejne działania skupiają się na oszacowaniu prawdopodobieństwa wystąpienia danego zagrożenia oraz jego potencjalnych konsekwencji dla osób, których dane dotyczą (na przykład klientów).

Zarówno dla prawdopodobieństwa, jak i dla wagi zagrożenia rekomendujemy przyjęcie skali od 1 do 4. Pozwala to uniknąć wybierania wartości środkowych i ogranicza ryzyko zniekształcenia wyników analizy (co mogłoby wystąpić przy skali 1–3 lub 1–5).

Dla wagi zagrożenia można przyjąć następującą legendę:

• Niska waga zagrożenia (wartość 1) – osoby, których dane dotyczą, nie zostaną dotknięte skutkami naruszenia albo spotkają je drobne niedogodności, które pokonają bez najmniejszych problemów (czas potrzebny na ponowne wprowadzenie danych, zniecierpliwienie, irytacja itp.).
• Średnia waga zagrożenia (wartość 2) – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które będą w stanie pokonać mimo pewnych trudności (dodatkowe koszty, strach, niezrozumienie, stres, drobne fizyczne urazy itp.).
• Wysoka waga zagrożenia (wartość 3) – osoby, których dane dotyczą, mogą napotkać znaczące niedogodności, które powinny być w stanie pokonać, ale z poważnymi trudnościami (oszustwa finansowe, wpis na listę nieobsługiwanych klientów w bankach, szkody majątkowe, utrata zatrudnienia, pozwy, pogorszony stan zdrowia itp.).

• Bardzo wysoka waga zagrożenia (wartość 4) – osoby, których dane dotyczą, mogą napotkać znaczące, a nawet nieodwracalne konsekwencje, których mogą nie pokonać (finansowe tarapaty, wynikające na przykład z niespłaconego długu lub niezdolności do pracy, długotrwałe psychologiczne lub fizyczne urazy, śmierć itp.).

 

Dla prawdopodobieństwa zagrożenia można przyjąć następujące wyjaśnienia:

• Niskie prawdopodobieństwo (wartość 1) – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania nie wydaje się możliwe dla wybranych źródeł ryzyka.
• Średnie prawdopodobieństwo (wartość 2) – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się trudne dla wybranych źródeł ryzyka.
• Wysokie prawdopodobieństwo (wartość 3) – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się możliwe dla wybranych źródeł ryzyka.
• Bardzo wysokie prawdopodobieństwo (wartość 4) – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się nadzwyczaj łatwe dla wybranych źródeł ryzyka.

Szacowanie prawdopodobieństwa i skutków zagrożenia - przykłady

Finalny poziom ryzyka jest iloczynem wagi zagrożenia oraz jego prawdopodobieństwa dla danego zasobu biorącego udział w operacji przetwarzania. Możliwe kombinacje wskazanych wartości przedstawia poniższa tabela.

Wynikiem tego etapu analizy ryzyka jest lista ryzyk z przypisanymi poziomami istotności. Na jej podstawie organizacja powinna opracować plan postępowania z ryzykiem. Plan ten określi priorytety wdrożenia poszczególnych działań zaradczych, osoby odpowiedzialne za ich realizację oraz harmonogramy działań.

Warto podkreślić, że wobec zidentyfikowanych ryzyk organizacja może przyjąć jeden z czterech sposobów postępowania:

• redukcję ryzyka,
• akceptację ryzyka,
• unikanie ryzyka,
• przeniesienie ryzyka.

Zaleca się, aby organizacja podjęła aktywne działania w celu redukcji poziomu ryzyka. Powinna wybrać odpowiednie zabezpieczenia, tak aby ryzyko szczątkowe (pozostające po wdrożeniu działań określonych w planie zarządzania ryzykiem) mogło być ponownie ocenione jako ryzyko akceptowalne. W tym artykule przyjmujemy, że ryzyko akceptowalne definiuje się jako ryzyko na poziomie niskim lub średnim.

Krok szósty – plan postępowania z ryzykiem

Decyzja zarządu o przyjęciu planu postępowania z ryzykiem powinna opierać się na strategicznej analizie wpływu zagrożeń na działalność operacyjną oraz na wskaźniki bezpieczeństwa danych. Po zapoznaniu się z raportem z analizy ryzyka zarząd weryfikuje rekomendowane działania zaradcze, z uwzględnieniem kosztów ich wdrożenia, dostępnych zasobów oraz potencjalnego wpływu ryzyka szczątkowego (pozostałego po zastosowaniu środków zaradczych). Kluczowym kryterium decyzji jest zgodność przyjętych działań z polityką bezpieczeństwa organizacji oraz z wymogami prawnymi, takimi jak RODO, a także efektywność kosztowa proponowanych rozwiązań.

W przyjętym planie postępowania z ryzykiem zarząd musi jasno określić priorytety wdrażania poszczególnych środków zaradczych oraz przypisać odpowiedzialność za ich realizację odpowiednim osobom lub działom. Ważne jest ustalenie mierzalnych wskaźników efektywności dla wdrażanych działań (KPI). Wskaźniki te pozwolą na bieżące monitorowanie realizacji planu. Zarząd definiuje także harmonogram działań wraz z okresowymi przeglądami, umożliwiającymi ocenę skuteczności podjętych środków oraz wprowadzenie niezbędnych korekt. Taka struktura decyzyjna pozwala na systematyczne zarządzanie ryzykiem i zapewnia zgodność z ramami normatywnymi oraz strategicznymi celami bezpieczeństwa organizacji.

Jak dokumentować wyniki analizy ryzyka na potrzeby RODO

Dokumentowanie wyników analizy ryzyka na potrzeby RODO wymaga metodycznego podejścia, aby zapewnić pełną przejrzystość i audytowalność procesu. Wyniki analizy ryzyka powinny być przedstawione w formie raportu, który zawiera szczegółowe informacje na temat zidentyfikowanych zagrożeń, podatności, ocenionych poziomów ryzyka oraz rekomendowanych środków zaradczych. Każdy etap analizy powinien być udokumentowany w sposób umożliwiający jednoznaczne śledzenie podejmowanych decyzji oraz przyjętych kryteriów oceny.

Raport powinien zawierać następujące elementy:

• Identyfikacja aktywów – lista zasobów, które są analizowane w kontekście ryzyka, na przykład systemy IT, procesy operacyjne, dane osobowe.
• Opis zagrożeń i podatności – szczegółowe omówienie zagrożeń oraz słabych punktów wykorzystywanych zasobów, które mogą wpłynąć na bezpieczeństwo danych.
• Ocena ryzyka – szczegółowa klasyfikacja ryzyka na podstawie skali prawdopodobieństwa i wpływu, na której każdemu ryzyku przypisywane są konkretne wartości w celu ujednolicenia oceny.
• Plan postępowania z ryzykiem – wyczerpujący opis działań, które zostaną podjęte w celu redukcji, akceptacji, przeniesienia lub unikania ryzyka, z uwzględnieniem osób odpowiedzialnych, zasobów oraz harmonogramu działań.
• Podsumowanie i wskaźniki kontrolne – ustalone wskaźniki efektywności (KPI), które pozwolą monitorować wdrożone środki zaradcze i przeprowadzać cykliczne przeglądy skuteczności podjętych działań.

Z naszych doświadczeń wynika, że Urząd Ochrony Danych Osobowych często oczekuje, że przyjęcie planu postępowania z ryzykiem zostanie formalnie zatwierdzone przez zarząd organizacji w formie uchwały. W ten sposób zarząd pokazuje, że traktuje temat ochrony danych priorytetowo i świadomie przyjmuje odpowiedzialność za wdrożenie zaleceń z analizy ryzyka.

Co więcej, formalna uchwała zarządu nadaje dokumentacji większą rangę w organizacji i gwarantuje, że środki zaradcze staną się częścią strategii biznesowej, a nie jedynie reakcją ad hoc na wymogi prawne. Dzięki temu zarząd i osoby odpowiedzialne za bezpieczeństwo danych mogą na bieżąco monitorować skuteczność wdrażanych działań. Wiedzą przy tym, że plan postępowania z ryzykiem jest nie tylko dokumentem operacyjnym, lecz także elementem spójnym z celami zarządzania bezpieczeństwem w całej organizacji.

Jak często należy aktualizować analizę ryzyka

Analizę ryzyka należy aktualizować regularnie, aby była zgodna z rzeczywistymi zagrożeniami oraz dynamicznie zmieniającymi się warunkami przetwarzania danych. Najczęściej rekomenduje się aktualizację raz w roku lub w innych ustalonych cyklach zgodnych z polityką organizacji. Istnieją jednak sytuacje, które wymagają dodatkowej, natychmiastowej weryfikacji analizy ryzyka. Należą do nich:

• Istotne zmiany w procesach przetwarzania danych – na przykład wprowadzenie nowych systemów IT, zmiana zakresu danych osobowych, modyfikacja metod zbierania lub przetwarzania danych, co może wpłynąć na poziom ryzyka.
• Wystąpienie incydentu bezpieczeństwa – każde naruszenie ochrony danych powinno skłonić organizację do ponownego przeglądu i oceny ryzyka, aby określić, czy wprowadzone zabezpieczenia są wystarczające.
• Nowe regulacje prawne lub wytyczne – zmiany w przepisach lub wytycznych Urzędu Ochrony Danych Osobowych mogą wymagać dostosowania analizy ryzyka do nowych standardów.

Częstotliwość aktualizacji powinna być zatem elastyczna i dopasowana do specyfiki działalności organizacji. Jednak regularne przeglądy przynajmniej raz do roku oraz po każdej istotnej zmianie zapewniają to, że analiza ryzyka spełnia wymogi RODO i skutecznie chroni dane osobowe.

Analiza ryzyka – najczęstsze błędy

Mimo sześciu lat obowiązywania RODO analiza ryzyka wciąż jest obszarem, w którym organizacje popełniają częste błędy – a konsekwencje bywają kosztowne. Przykłady decyzji Urzędu Ochrony Danych Osobowych pokazują, że brak formalnej analizy ryzyka, niewłaściwe podejście do jej realizacji oraz zaniechanie wdrożenia wniosków to najczęstsze błędy w ochronie danych. Oto, czego możemy nauczyć się z głośnych przypadków ukaranych firm.

1. Brak formalnej analizy ryzyka: Morele.net

Urząd Ochrony Danych Osobowych stwierdził, że firma Morele.net, będąca jednym z największych sklepów internetowych, nie przeprowadziła formalnej, udokumentowanej analizy ryzyka dla przetwarzanych danych osobowych. Jak wynika z decyzji ZSPR.421.2.2019, analiza była wykonywana doraźnie, w sposób niesformalizowany i obejmowała wybrane procesy, a nie całe spektrum przetwarzania danych. Morele.net nie mogło więc wykazać, że ocena ryzyka została wykonana przed naruszeniem bezpieczeństwa danych. Stanowi to naruszenie art. 32 ust. 1 RODO, wymagającego oceny ryzyk i zastosowania odpowiednich środków ochrony danych. W wyniku tych zaniedbań Urząd Ochrony Danych Osobowych nałożył na Morele.net wysoką karę. Zwrócił przy tym uwagę, że nieudokumentowane podejście do zarządzania ryzykiem pozbawia firmę realnych narzędzi do ochrony danych jej klientów.

2. Niewłaściwe podejście do analizy ryzyka: Virgin Mobile

Firma Virgin Mobile popełniła inny błąd, polegający na niewłaściwej ocenie prawdopodobieństwa ryzyka. Urząd Ochrony Danych Osobowych w decyzji DKN.5112.1.2020 wskazał, że firma opierała analizę ryzyka wyłącznie na dotychczasowych doświadczeniach – na zasadzie, że skoro dany incydent nie wydarzył się w przeszłości, to jest mało prawdopodobny w przyszłości. To mylne założenie pomija możliwość wystąpienia nowych zagrożeń. Urząd Ochrony Danych Osobowych podkreślił, że ocena ryzyka powinna uwzględniać przyszłe możliwości incydentów, a nie wyłącznie dotychczasowe statystyki. W tym przypadku firma zapłaciła za swoje podejście wysoką cenę, a decyzja była sygnałem dla rynku, że analiza ryzyka musi być dynamiczna i uwzględniać szerszy kontekst bezpieczeństwa danych, nie tylko historię organizacji.

3. Niewdrożenie wniosków z analizy ryzyka: Prezes Sądu Rejonowego w Zgierzu

Innym, częstym błędem jest brak wdrożenia zaleceń wynikających z analizy ryzyka. W przypadku Prezesa Sądu Rejonowego w Zgierzu Urząd Ochrony Danych Osobowych w decyzji DKN.5131.22.2021 stwierdził, że chociaż sąd zidentyfikował średni poziom ryzyka dla zagrożenia „zagubienie sprzętu, nośników”, to zastosowane działania ograniczyły się jedynie do szkolenia pracowników. Tymczasem wdrożenie adekwatnych zabezpieczeń technicznych – jak szyfrowanie nośników czy ścisłe reguły dostępu – mogło lepiej zabezpieczyć dane. Urząd Ochrony Danych Osobowych przypomniał, że same szkolenia mogą zwiększyć świadomość personelu, ale nie są wystarczające, by zmniejszyć ryzyko utraty nośników czy wyeliminować inne zagrożenia techniczne. Decyzja ta pokazuje, że wdrażanie pełnego spektrum zabezpieczeń, technicznych i organizacyjnych jest niezbędne, aby spełnić wymagania RODO.

4. Skupienie na perspektywie organizacji zamiast na ochronie osób, których dane dotyczą

Jednym z najczęstszych, a jednocześnie bardziej subtelnych błędów jest przeprowadzanie analizy ryzyka z perspektywy organizacji, a nie osób, których dane są przetwarzane. Zdarza się, że firmy koncentrują się na ryzykach finansowych i wizerunkowych dla siebie, a pomijają realne konsekwencje dla osób fizycznych. Analiza ryzyka zgodna z RODO wymaga jednak, by priorytetem było spojrzenie na ochronę prywatności użytkowników, klientów czy pracowników. Skupienie się wyłącznie na zagrożeniach dla organizacji może prowadzić do wdrożenia niewłaściwych lub niewystarczających zabezpieczeń, co stwarza ryzyko narażenia danych osobowych na ujawnienie czy nieuprawniony dostęp.

Jakie są konsekwencje niedokonania analizy ryzyka zgodnie z RODO

Niedokonanie analizy ryzyka zgodnie z wymogami RODO może mieć poważne i szeroko zakrojone konsekwencje. W znacznym stopniu wpływają one na bezpieczeństwo danych osobowych oraz na stabilność organizacji – pod kątem zarówno finansowym, jak i wizerunkowym.

Brak formalnej i kompleksowej analizy ryzyka powoduje, że organizacja nie jest w stanie właściwie zidentyfikować zagrożeń i wdrożyć odpowiednich zabezpieczeń, aby chronić przetwarzane dane osobowe. To niedopatrzenie prowadzi do zwiększonego ryzyka wystąpienia incydentów bezpieczeństwa, takich jak nieuprawniony dostęp do danych, ich utrata, modyfikacja czy ujawnienie. Przepisy RODO jednoznacznie wskazują, że administratorzy danych muszą systematycznie oceniać ryzyko związane z przetwarzaniem danych i podejmować działania, które skutecznie te ryzyka minimalizują.

Jedną z głównych konsekwencji niedopełnienia tego obowiązku są wysokie kary finansowe. Urząd Ochrony Danych Osobowych może nałożyć grzywnę, która w zależności od stopnia naruszenia i liczby poszkodowanych osób może sięgać nawet milionów złotych. Przykładem jest sprawa Morele.net. Według decyzji Urzędu Ochrony Danych Osobowych firma nie przeprowadziła formalnej analizy ryzyka, co naraziło dane klientów na znaczące zagrożenia. W konsekwencji nałożono na nią karę, której można było uniknąć, gdyby proces analizy ryzyka był przeprowadzony zgodnie z wymaganiami RODO.

Niepodjęcie odpowiednich działań w obszarze analizy ryzyka pociąga za sobą także inne konsekwencje prawne. Jeśli dojdzie do naruszenia danych, osoby, których te dane dotyczą, mogą wystąpić z pozwami o odszkodowanie, powołując się na naruszenie ich praw do prywatności. Organizacja, która nie spełnia wymogów RODO w zakresie oceny i zarządzania ryzykiem, może mieć trudność w wykazaniu, że podjęła wszelkie niezbędne środki, aby zapobiec incydentom – co dodatkowo wzmacnia pozycję osób poszkodowanych.

Pomijanie analizy ryzyka ma również wymiar reputacyjny. W dobie powszechnej świadomości w zakresie ochrony danych osobowych klienci i partnerzy biznesowi mają wysokie oczekiwania dotyczące standardów bezpieczeństwa. Incydent związany z danymi, zwłaszcza taki, który wynika z braku oceny ryzyka i wdrożenia odpowiednich zabezpieczeń, może na trwałe zaszkodzić reputacji organizacji. Firmy z sektora handlu, jak Morele.net, szczególnie boleśnie odczuwają takie straty, gdyż incydenty bezpieczeństwa negatywnie wpływają na zaufanie klientów, a tym samym na wyniki finansowe.