Zaktualizowana treść artykułu:
Szacowanie ryzyka zgodnie z RODO
Każda organizacja przetwarzająca dane narażona jest na wpływ czynników wewnętrznych oraz zewnętrznych, które mogą spowodować naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Stan ten nazywany jest „Ryzykiem”, gdyż jest możliwość niezrealizowania założeń organizacji w wyniku zajścia określonych zdarzeń. Zasadniczo ryzyko można podzielić na biznesowe (lub dla niektórych podmiotów- ryzyko działalności statutowej), które jest kategorią rozpoznaną już dawno, oraz operacyjne, które wyodrębniono pod koniec XX w. Ryzyko biznesowe to możliwość poniesienia strat w wyniku niewłaściwych decyzji co do doboru klientów, kształtu produktów i usług lub zobowiązań wobec partnerów biznesowych albo w wyniku niesprawności lub niespójności systemu społeczno-gospodarczego państwa. Ryzyko operacyjne to ryzyko strat w wyniku niewłaściwego lub błędnego działania procesu, ludzi i systemów albo wpływu zagrożeń zewnętrznych. Ryzyko operacyjne obejmuje także ryzyko niewypełniania obowiązków prawnych w działalności bieżącej, co zostanie dalej omówione, na podstawie ogłoszonego Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.) (RODO).
Wymóg czy dobra praktyka?
Ogólne rozporządzenie o ochronie danych zarówno w preambule jak w samej treści właściwej wielokrotnie porusza aspekt ryzyka związanego z przetwarzaniem danych osobowych, wskazując tym samym wagę, jaką trzeba przyłożyć do procesu zarządzania ryzykiem. Zarzadzanie ryzykiem to proces identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, dostarczający racjonalnego zapewnienia, że cele organizacji zostaną zrealizowane. Wymóg prowadzenia takiego procesu został wskazany między innymi w Artykule 24 „Obowiązki administratora” Rozporządzenia.
Pojęcie i cele ryzyka
W literaturze spotyka się różne definicje pojęcia ryzyka. Najbardziej trafnym wydaje się być definicja w rozumieniu IIA (ang. The Institute of Internal Auditors (IIA) o treści „Możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia”. Rozporządzenie w Artykule 32 definiuje cele w zakresie bezpieczeństwa przetwarzania i są to:
- pseudonimizacja i szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W związku z powyższym ryzyko w przetwarzaniu danych jest związane z potencjalną sytuacją, w której określone zagrożenie wykorzysta podatność (np. niezabezpieczony hasłem sprzęt komputerowy), powodując w ten sposób szkodę dla organizacji (np. kradzież lub upublicznienie informacji). Dobrze przeprowadzona analiza ryzyka jest punktem wyjścia dla przeprowadzenia profesjonalnej oceny skutków dla ochrony danych (DPIA).