Zaktualizowana treść artykułu:
Szacowanie ryzyka zgodnie z RODO
Kolejny etap szacowania ryzyka to proces oceny prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. Etap ten zawiera również proces analizy ryzyka, który składa się trzech komponentów: oceny ryzyka, postepowania z ryzykiem i informowania o ryzyku. Zapraszam do lektury.
Identyfikacja ryzyka (zagrożeń i podatności)
Pierwszy etap procesu zarządzania ryzykiem polega najogólniej mówiąc na wyszukaniu i nazwaniu każdego ryzyka zagrażającego podmiotowi przetwarzającemu dane, wraz z ich źródłami, przyczynami i wstępnym określeniem szkód im towarzyszących. Ten etap posiada odzwierciedlenie w treści rozporządzenia w postaci zapisu „należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Nieocenioną pomocą przy realizacji tego etapu jest treść 75 punktu preambuły Rozporządzenia, gdzie wyszczególnione zostały zagrożenia związane z przetwarzaniem danych z wyszczególnieniem prowadzących do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:
- jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną,
- jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi,
- jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa,
- jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych,
- lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci,
- jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
Podczas realizacji pierwszego etapu zarządzania ryzykiem możemy posiłkować się międzynarodową normą ISO 31000, w której przedstawiono proces określania kontekstu organizacji w zakresie środowiska wewnętrznego oraz zewnętrznego, przez co zdefiniowane zostaną kluczowe parametry dla procesu zarządzania ryzykiem.
Zgodnie z zapisami 77 punktu preambuły do identyfikacji ryzyka można wykorzystać również najlepsze praktyki, które mogą być przekazane w szczególności w formie zatwierdzonych kodeksów postępowania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych.
Pomiar i analiza ryzyka
Kolejny etap to proces szacowania prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. Etap ten zawiera również proces analizy ryzyka, który składa się trzech komponentów: oceny ryzyka, postepowania z ryzykiem i informowania o ryzyku.
Prawdopodobieństwo w terminologii zarządzania ryzykiem to możliwość wystąpienia jakiegoś zdarzenia (np. jako prawdopodobieństwo lub częstość w określonym przedziale czasu).
Przykład:
wartość 1 - nie ma realnej szansy wystąpienia zidentyfikowanego zagrożenia; zagrożenie nigdy nie wystąpiło,
wartość 2 - zagrożenie jest mało realne; zagrożenie nie wystąpiło w okresie ostatnich 24 miesięcy,
wartość 3 - zagrożenie jest realne lub bardzo realne; zagrożenie wystąpiło w okresie ostatnich 24 miesięcy.
Prawdopodobne straty nazywane w rozporządzeniu „skutkiem” to w terminologii zarządzania ryzykiem rezultat zdarzenia (wystąpienie lub zmiana konkretnego zestawu okoliczności; zdarzenie może być określone jako incydent lub wypadek) mający negatywny wpływ na cele. Przykładowe skutki zostały określone są w 85 punkcie preambuły:
- utrata kontroli nad własnymi danymi osobowymi,
- ograniczenie praw,
- dyskryminacja,
- kradzież lub sfałszowanie tożsamości,
- strata finansowa,
- nieuprawnione odwrócenie pseudonimizacji,
- naruszenie dobrego imienia,
- naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
- wszelkie inne znaczne szkody gospodarcze lub społeczne.
WAŻNE
Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.
Przykład
Skutek prawny
- wystąpienie zagrożenia nie doprowadzi do naruszenia przepisów prawa,
- wystąpienie zagrożenia doprowadzi do naruszenia przepisów prawa z wyłączeniem przepisów karnych; lub w przypadku nie podjęcia odpowiednich działań naprawczych naruszenie prawa zostanie uniknione,
- bezpośrednią konsekwencją wystąpienia zagrożenia jest naruszenie przepisów karnych.
Skutek finansowy
- wystąpienie zagrożenia nie powoduje strat finansowych lub powoduje znikome straty finansowe o wartości do 10 000 EURO,
- wystąpienie zagrożenia spowoduje straty finansowe w przedziale od 10 001 – 10 000 000 EURO,
- wystąpienie zagrożenia spowoduje straty finansowe powyżej 10 000 001 EURO.
Skutek wizerunkowy
- wystąpienie zagrożenia nie ma wpływu na wizerunek organizacji lub ten wpływ jest znikomy, nie wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku,
- wystąpienie zagrożenia ma mało znaczący negatywny wpływ na wizerunek organizacji lub krótkoterminową utratę wizerunku, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości do 10% środków własnych,
- wystąpienie zagrożenia powoduje istotny lub duży negatywny wpływ na wizerunek organizacji, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości od 10% środków własnych.