Szacowanie ryzyka zgodnie z RODO cz. 2

Kolejny etap szacowania ryzyka to proces oceny prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. Etap ten zawiera również proces analizy ryzyka, który składa się trzech komponentów: oceny ryzyka, postepowania z ryzykiem i informowania o ryzyku. Zapraszam do lektury.

blog-126

Zaktualizowana treść artykułu:
Szacowanie ryzyka zgodnie z RODO

Kolejny etap szacowania ryzyka to proces oceny prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. Etap ten zawiera również proces analizy ryzyka, który składa się trzech komponentów: oceny ryzyka, postepowania z ryzykiem i informowania o ryzyku. Zapraszam do lektury.

Identyfikacja ryzyka (zagrożeń i podatności)

Pierwszy etap procesu zarządzania ryzykiem polega najogólniej mówiąc na wyszukaniu i nazwaniu każdego ryzyka zagrażającego podmiotowi przetwarzającemu dane, wraz z ich źródłami, przyczynami i wstępnym określeniem szkód im towarzyszących. Ten etap posiada odzwierciedlenie w treści rozporządzenia w postaci zapisu „należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Nieocenioną pomocą przy realizacji tego etapu jest treść 75 punktu preambuły Rozporządzenia, gdzie wyszczególnione zostały zagrożenia związane z przetwarzaniem danych z wyszczególnieniem prowadzących do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:

  • jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną,
  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi,
  • jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa,
  • jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych,
  • lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci,
  • jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Podczas realizacji pierwszego etapu zarządzania ryzykiem możemy posiłkować się międzynarodową normą ISO 31000, w której przedstawiono proces określania kontekstu organizacji w zakresie środowiska wewnętrznego oraz zewnętrznego, przez co zdefiniowane zostaną kluczowe parametry dla procesu zarządzania ryzykiem.

Zgodnie z zapisami 77 punktu preambuły do identyfikacji ryzyka można wykorzystać również najlepsze praktyki, które mogą być przekazane w szczególności w formie zatwierdzonych kodeksów postępowania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych.

Pomiar i analiza ryzyka

Kolejny etap to proces szacowania prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. Etap ten zawiera również proces analizy ryzyka, który składa się trzech komponentów: oceny ryzyka, postepowania z ryzykiem i informowania o ryzyku.

Prawdopodobieństwo w terminologii zarządzania ryzykiem to możliwość wystąpienia jakiegoś zdarzenia (np. jako prawdopodobieństwo lub częstość w określonym przedziale czasu).

Przykład:

wartość 1 - nie ma realnej szansy wystąpienia zidentyfikowanego zagrożenia; zagrożenie nigdy nie wystąpiło,
wartość 2 - zagrożenie jest mało realne; zagrożenie nie wystąpiło w okresie ostatnich 24 miesięcy,
wartość 3 - zagrożenie jest realne lub bardzo realne; zagrożenie wystąpiło w okresie ostatnich 24 miesięcy.

Prawdopodobne straty nazywane w rozporządzeniu „skutkiem” to w terminologii zarządzania ryzykiem rezultat zdarzenia (wystąpienie lub zmiana konkretnego zestawu okoliczności; zdarzenie może być określone jako incydent lub wypadek) mający negatywny wpływ na cele. Przykładowe skutki zostały określone są w 85 punkcie preambuły:

  • utrata kontroli nad własnymi danymi osobowymi,
  • ograniczenie praw,
  • dyskryminacja,
  • kradzież lub sfałszowanie tożsamości,
  • strata finansowa,
  • nieuprawnione odwrócenie pseudonimizacji,
  • naruszenie dobrego imienia,
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
  • wszelkie inne znaczne szkody gospodarcze lub społeczne.

WAŻNE

Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.

Przykład

Skutek prawny

  • wystąpienie zagrożenia nie doprowadzi do naruszenia przepisów prawa,
  • wystąpienie zagrożenia doprowadzi do naruszenia przepisów prawa z wyłączeniem przepisów karnych; lub w przypadku nie podjęcia odpowiednich działań naprawczych naruszenie prawa zostanie uniknione,
  • bezpośrednią konsekwencją wystąpienia zagrożenia jest naruszenie przepisów karnych.

Skutek finansowy

  • wystąpienie zagrożenia nie powoduje strat finansowych lub powoduje znikome straty finansowe o wartości do 10 000 EURO,
  • wystąpienie zagrożenia spowoduje straty finansowe w przedziale od 10 001 – 10 000 000 EURO,
  • wystąpienie zagrożenia spowoduje straty finansowe powyżej 10 000 001 EURO.

Skutek wizerunkowy

  • wystąpienie zagrożenia nie ma wpływu na wizerunek organizacji lub ten wpływ jest znikomy, nie wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku,
  • wystąpienie zagrożenia ma mało znaczący negatywny wpływ na wizerunek organizacji lub krótkoterminową utratę wizerunku, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości do 10% środków własnych,
  • wystąpienie zagrożenia powoduje istotny lub duży negatywny wpływ na wizerunek organizacji, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości od 10% środków własnych.

Szacowanie ryzyka zgodnie z RODO cz. 1

Szacowanie ryzyka zgodnie z RODO cz. 3

Czytaj także:

-
4.47/5 (49) 1
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".