Szacowanie ryzyka zgodnie z RODO cz. 1

Zapraszam Państwa do cyklu artykułów, w których będę poruszał tematykę ryzyka przetwarzania danych osobowych dla podstawowych praw i wolności. Jak wynika z ogólnego rozporządzenia (RODO) większość organizacji będzie zobowiązanych do szacowania ryzyka przetwarzania danych oraz wykonywania oceny skutków ich przetwarzania. Proces szacowania jest złożony ale postaram się Państwu go przybliżyć w kolejnych tygodniach.

blog-112

Zaktualizowana treść artykułu:
Szacowanie ryzyka zgodnie z RODO

Każda organizacja przetwarzająca dane narażona jest na wpływ czynników wewnętrznych oraz zewnętrznych, które mogą spowodować naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Stan ten nazywany jest „Ryzykiem”, gdyż jest możliwość niezrealizowania założeń organizacji w wyniku zajścia określonych zdarzeń. Zasadniczo ryzyko można podzielić na biznesowe (lub dla niektórych podmiotów- ryzyko działalności statutowej), które jest kategorią rozpoznaną już dawno, oraz operacyjne, które wyodrębniono pod koniec XX w. Ryzyko biznesowe to możliwość poniesienia strat w wyniku niewłaściwych decyzji co do doboru klientów, kształtu produktów i usług lub zobowiązań wobec partnerów biznesowych albo w wyniku niesprawności lub niespójności systemu społeczno-gospodarczego państwa. Ryzyko operacyjne to ryzyko strat w wyniku niewłaściwego lub błędnego działania procesu, ludzi i systemów albo wpływu zagrożeń zewnętrznych. Ryzyko operacyjne obejmuje także ryzyko niewypełniania obowiązków prawnych w działalności bieżącej, co zostanie dalej omówione, na podstawie ogłoszonego Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.) (RODO).

Wymóg czy dobra praktyka?

Ogólne rozporządzenie o ochronie danych zarówno w preambule jak w samej treści właściwej wielokrotnie porusza aspekt ryzyka związanego z przetwarzaniem danych osobowych, wskazując tym samym wagę, jaką trzeba przyłożyć do procesu zarządzania ryzykiem. Zarzadzanie ryzykiem to proces identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, dostarczający racjonalnego zapewnienia, że cele organizacji zostaną zrealizowane. Wymóg prowadzenia takiego procesu został wskazany między innymi w Artykule 24 „Obowiązki administratora” Rozporządzenia.

Pojęcie i cele ryzyka

W literaturze spotyka się różne definicje pojęcia ryzyka. Najbardziej trafnym wydaje się być definicja w rozumieniu IIA (ang. The Institute of Internal Auditors (IIA) o treści „Możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia”. Rozporządzenie w Artykule 32 definiuje cele w zakresie bezpieczeństwa przetwarzania i są to:

  • pseudonimizacja i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W związku z powyższym ryzyko w przetwarzaniu danych jest związane z potencjalną sytuacją, w której określone zagrożenie wykorzysta podatność (np. niezabezpieczony hasłem sprzęt komputerowy), powodując w ten sposób szkodę dla organizacji (np. kradzież lub upublicznienie informacji). Dobrze przeprowadzona analiza ryzyka jest punktem wyjścia dla przeprowadzenia profesjonalnej oceny skutków dla ochrony danych (DPIA).

 

Czytaj także:

-
4.63/5 (49) 1
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".