Szacowanie ryzyka zgodnie z RODO

Szacowanie

Zarówno w preambule, jak i w części normatywnej RODO wielokrotnie poruszana jest kwestia ryzyka związanego z przetwarzaniem danych osobowych (dokładnie 72 razy).

Tym samym przepisy wskazują wagę, jaką trzeba przyłożyć do procesu zarządzania ryzykiem, czyli procesu identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, mającego w sposób racjonalny zapewnić, że cele organizacji zostaną zrealizowane


Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane „RODO”, zobowiązuje organizacje wykonujące operację lub zestaw operacji na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO), do zarządzania ryzykiem ich przetwarzania.

RODO w wielu aspektach jest podobne do norm ISO, a zwłaszcza do normy ISO/IEC 27001 „Zarządzanie systemem bezpieczeństwa informacji”. W szczególności podobieństwo widać w założeniu budowania systemu ochrony danych, działającego zgodnie z podejściem opartym na ryzyku (ang. risk-based approach). Oznacza to zalecenie stosowania takich środków bezpieczeństwa, które mają odpowiednio zabezpieczyć dane osobowe przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem (art. 32 ust. 2 RODO). W razie naruszenia, polecamy artykuł „Zarządzanie naruszeniami – plan działania”.

Należy zauważyć, że „ryzyko” w RODO występuje przy takich sformułowaniach, jak: ryzyko naruszenia praw lub wolności osób fizycznych, ryzyko wiążące się z przetwarzaniem, ryzyko wynikające z operacji przetwarzania, ryzyko w zakresie bezpieczeństwa danych, ryzyko związane z przetwarzaniem danych osobowych. Dlatego nie mówimy tu o jednym procesie zarządzania ryzykiem, lecz o minimum dwóch.

Pierwszy proces zarządzania ryzykiem

Pierwszy proces zarządzania ryzykiem wchodzi w skład oceny skutków dla ochrony danych (DPIA). Dokładnie rzecz ujmując, jest to element oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c RODO). Jak wskazuje RODO, w ramach tego procesu analizuje się operacje przetwarzania. Wskazówki oraz parametry do wykonania tego procesu znajdują się w tekście RODO, mianowicie:

  • Zagrożenia dla osób fizycznych są wskazane w motywie 75 RODO: „Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi”.
  • Zdarzenia mogące doprowadzić do zmaterializowania się zagrożeń są wskazane w art. 32 ust. 2 RODO: „Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
  • Poziomy ryzyka są wskazane w motywie 76 RODO: „Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko”. Więcej w artykule „Ocena skutków dla ochrony danych (DPIA)”.

Usługa DPIA

Drugi proces zarządzania ryzykiem

Drugi proces zarządzania ryzykiem skupia się na ryzyku w zakresie bezpieczeństwa danych, a dokładniej mówiąc – na ocenie, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne do ochrony danych osobowych (na obowiązek ten wskazuje art. 24 oraz art. 32 RODO). Tak więc chodzi tu o zasoby, za pomocą których organizacja przetwarza dane osobowe, tj. personel, komputery, systemy informatyczne, strony internetowe czy lokalizacje i pomieszczenia. To właśnie zasoby – a nie operacje przetwarzania – zabezpiecza się za pomocą technicznych i organizacyjnych środków ochrony danych, dlatego tak istotne jest przypisanie zasobów do operacji przetwarzania. Organizacja i wykonanie procesu zarządzania ryzykiem wymagają zastosowania odpowiedniej metodyki, której niestety nie znajdziemy w RODO.

Dlatego mając na uwadze podobieństwo RODO do ISO/IEC 27001, możemy wykorzystać elementy metodyki zarządzania ryzykiem w bezpieczeństwie informacji z normy ISO/IEC 27005 lub normy ISO 31000. Stosowanie międzynarodowych norm do wykonania tego procesu zarządzania ryzykiem jest uzasadnione jeszcze z jednego powodu, a mianowicie Prezes Urzędu Ochrony Danych Osobowych udostępnił publikacje: „Jak rozumieć podejście oparte na ryzyku” oraz „Jak stosować podejście oparte na ryzyku?”, w których sam wykorzystał właśnie międzynarodowe normy ISO.

Pomimo możliwości zastosowania norm ISO do zarządzania ryzykiem zgodnie z RODO, niewskazującym rozwiązań technologicznych, są też pewne zmienne, które należy uwzględnić, tj.:

  • skuteczność zabezpieczeń, czyli jak wskazuje art. 32 ust. 1 lit. d RODO: regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
  • rodzaje zabezpieczeń, wskazane m.in. w art. 32 ust. 1 lit. a–c RODO:
    • pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 5 RODO),
    • szyfrowanie – jest to środek minimalizujący ryzyko, wskazany np. w motywie 83 RODO,
    • zapewnienie poufności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne tylko tym osobom, które mają odpowiednie upoważnienia i nadane dostępy do danych,
    • zapewnienie integralności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane mogą edytować lub w nie ingerować tylko te osoby, które są do tego upoważnione i mają odpowiednie uprawnienia,
    • zapewnienie dostępności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są dostępne dla osób chcących z nich skorzystać w określonym czasie,
    • zapewnienie odporności systemów i usług przetwarzania – polega na zagwarantowaniu, że dane są zabezpieczone przed ich nieuprawnionym lub przypadkowym usunięciem, modyfikacją, ujawnieniu lub udostępnieniu,
    • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego – rozumiana jako element systemu zachowania ciągłości działania, nakierunkowany na przywróceniu dostępności danych osobowych w zadanym czasie odtworzenia, tzw. RTO (Recovery Time Obtect).

Metoda szacowania ryzyka

W dalszej części artykułu przedstawiamy metodykę skupiającą się na powyższych dwóch procesach zarządzania ryzykiem, które są osobnymi działaniami, jednakże wzajemnie od siebie zależnymi. Opisujemy krok po kroku, jak wykonać analizę ryzyka, w jaki sposób nadzorować poprawność jej wykonania oraz jak wygląda utrzymanie procesu zarządzania ryzykiem w organizacji.

Kontekst przetwarzania i ryzyka

Pierwszym krokiem do przeprowadzenia analizy ryzyka jest przygotowanie kontekstu przetwarzania danych osobowych oraz samego ryzyka dla danych i zasobów biorących udział procesie analizy ryzyka. Aby to zadanie wykonać, należy opisać operacje i cele przetwarzania danych osobowych, a zatem zacząć od identyfikacji operacji przetwarzania w organizacji. W praktyce polega to na tym, że kierownicy komórek organizacyjnych otrzymują arkusz opisu operacji przetwarzania (przykład poniżej) wraz z instrukcją jego uzupełnienia. Można też na wstępie zorganizować spotkanie z kierownikami komórek organizacyjnych w celu ich przeszkolenia i przeprowadzenia warsztatów, jak prawidłowo uzupełniać arkusz. Organizacja takiego spotkania, które będzie trwało ok. 2–3 godzin, jest w praktyce najbardziej efektywnym i wartościowym rozwiązaniem, gdyż często po warsztatach zostaje zidentyfikowanych i opisanych ok. 70–80% operacji przetwarzania.

Opis kontekstu przetwarzania realizuje wymaganie z art. 35 ust. 7 lit. a RODO, tj. odnośnie do minimalnego zakresu DPIA.

Analiza operacji przetwarzania

Drugim krokiem przy analizie ryzyka jest przeprowadzenie analizy operacji przetwarzania pod kątem spełnienia wymagania z art. 35 ust. 7 lit. b RODO. Mowa o ocenie, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów. Zaleca się dodać do przedmiotowej analizy również wymagania formalno-prawne z zakresu RODO, aby jednocześnie przeprowadzić audyt zgodności operacji przetwarzania z jego wymogami.

Pomiar i analiza ryzyka

Trzeci, ostatni krok to szacowanie prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat. Zalicza się do niego również proces analizy ryzyka, który składa się trzech komponentów: oceny ryzyka, postępowania z ryzykiem i informowania o ryzyku.

Szacowanie prawdopodobieństwa i określenie wartości prawdopodobnych strat

W terminologii zarządzania ryzykiem prawdopodobieństwo to możliwość wystąpienia jakiegoś zdarzenia (np. jako prawdopodobieństwo lub częstość w określonym przedziale czasu).

Przykład
Wartość 1 – brak realnej szansy wystąpienia zidentyfikowanego zagrożenia; nigdy nie wystąpiło.
Wartość 2 – zagrożenie jest mało realne; zagrożenie nie wystąpiło w okresie ostatnich 24 miesięcy.
Wartość 3 – zagrożenie jest realne lub bardzo realne; wystąpiło w okresie ostatnich 24 miesięcy.

Prawdopodobne straty, nazywane w RODO „skutkiem”, to w terminologii zarządzania ryzykiem rezultat zdarzenia (wystąpienie lub zmiana konkretnego zestawu okoliczności; zdarzenie może być określone jako incydent lub wypadek), mający negatywny wpływ na cele. Przykładowe skutki określono w motywie 85 RODO. Są to:

  • utrata kontroli nad własnymi danymi osobowymi,
  • ograniczenie praw,
  • dyskryminacja,
  • kradzież lub sfałszowanie tożsamości,
  • strata finansowa,
  • nieuprawnione odwrócenie pseudonimizacji,
  • naruszenie dobrego imienia,
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
  • wszelkie inne znaczne szkody gospodarcze lub społeczne.

Dane osobowe, które z racji swojego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.

Przykładowe skutki prawne to:
1) wystąpienie zagrożenia nie doprowadzi do naruszenia przepisów prawa,
2) wystąpienie zagrożenia doprowadzi do naruszenia przepisów prawa, z wyłączeniem przepisów karnych, lub w przypadku niepodjęcia odpowiednich działań naprawczych naruszenie prawa zostanie uniknione,
3) bezpośrednią konsekwencją wystąpienia zagrożenia jest naruszenie przepisów karnych.

Przykładowe skutki finansowe to:
1) wystąpienie zagrożenia nie powoduje strat finansowych lub powoduje znikome straty finansowe o wartości do 10 000 euro,
2) wystąpienie zagrożenia spowoduje straty finansowe w przedziale od 10 001 do 10 000 000 euro,
3) wystąpienie zagrożenia spowoduje straty finansowe powyżej 10 000 001 euro.

Przykładowe skutki wizerunkowe to:
1) wystąpienie zagrożenia nie ma wpływu na wizerunek organizacji lub ten wpływ jest znikomy, nie wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku,
2) wystąpienie zagrożenia ma mało znaczący negatywny wpływ na wizerunek organizacji lub krótkoterminową utratę wizerunku, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości do 10% środków własnych,
3) wystąpienie zagrożenia powoduje istotny lub duży negatywny wpływ na wizerunek organizacji, wiąże się z zaangażowaniem środków organizacyjno-finansowych w celu odbudowania wizerunku o wartości od 10% środków własnych.

Zarówno dla prawdopodobieństwa, jak i dla skutków zaleca się stosowanie podejścia łączonego, czyli ilościowo-jakościowego.

Podejście ilościowe polega na wyrażeniu atrybutu za pomocą skali liczbowej lub bezpośrednio w jednostce walutowej, jako przewidywanej wielkości strat związanych z danym rodzajem ryzyka lub rzeczywistego wystąpienia zagrożenia.

Podejście jakościowe polega na wyrażeniu atrybutu klasyfikacji w postaci opisania potencjalnych następstw (np. nigdy, często, strata finansowa, utrata poufności danych, niski, średni, wysoki). Głównym celem tego podejścia jest przedstawienie atrybutu w sposób zrozumiały. Zaleca się, aby w podejściu jakościowym korzystać z dostępnych rzeczywistych danych i informacji.

Szkolenie DPIA

Ocena ryzyka

Analiza ryzyka to proces dążący do poznania charakteru ryzyka oraz wskazania poziomu ryzyka, określonego w postaci kombinacji skutków i ich prawdopodobieństwa. W RODO wskazano 2-stopniową skalę poziomu ryzyka, czyli ryzyko oraz wysokie ryzyko. Jednak dla uzupełnienia warto dodać 3 poziom ryzyka, wyrażony jako: brak lub znikoma wartość ryzyka. Dodatkowo w RODO określono, że ryzyko należy oszacować na podstawie obiektywnej oceny, co można zapewnić dzięki zastosowaniu podejścia ilościowo-jakościowego. Analiza ryzyka stanowi również podstawę do podejmowania decyzji w zakresie postępowania z ryzykiem.

Przykład
Ocena ryzyka jest to proces porównywania wyników analizy ryzyka z kryteriami ryzyka (poziom odniesienia), względem których określa się ważność ryzyka w celu stwierdzenia, czy ryzyko i/lub jego wielkość są akceptowalne lub tolerowane. Zaleca się, aby kryteria oceny ryzyka stosowane do podejmowania decyzji były spójne ze zdefiniowanym zewnętrznym i wewnętrznym kontekstem. W praktyce wiąże się to z wyznaczeniem tzw. linii odcięcia, określającej poziom ryzyka, z którym będą podejmowane działania w celu jego obniżenia. Taki próg wyznaczają zapisy RODO – jest to poziom ryzyka o wartości „ryzyko”.

Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Postępowanie z ryzykiem

Trzeci etap procesu zarządzania ryzykiem polega na modyfikowaniu ryzyk przekraczających akceptowalny próg. Jest on często nazywany „łagodzeniem ryzyka”, „minimalizacją ryzyka”, „eliminacją ryzyka”, „zapobieganiem ryzyku” lub „redukcją ryzyka”, z zależności od sposobów postępowania z ryzykiem. Mogą być one następujące:

  • uniknięcie ryzyka dzięki decyzji o nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko,
  • podjęcie lub zwiększenie ryzyka w celu wykorzystania szansy,
  • usunięcie źródła ryzyka,
  • zmiana prawdopodobieństwa,
  • zmiana następstw,
  • dzielenie ryzyka wraz z inną stroną (innymi stronami),
  • zachowanie ryzyka na podstawie świadomej decyzji.

Zaleca się wybranie takiego wariantu lub takich wariantów, które zapewnią znaczną redukcję ryzyka przy względnie małych nakładach. Przy wybieraniu wariantów nie trzeba ograniczać się tylko do jednego, gdyż często okazuje się, że korzystne jest wybranie np. zmiany prawdopodobieństwa oraz zmiany następstw.

Przykład
W celu minimalizacji ryzyka korzysta się z zabezpieczeń, czyli środków organizacyjnych i technicznych. Powinny być one wystarczające do zapewnienia odpowiedniego poziomu ochrony procesu przetwarzania danych.

Jeżeli po uwzględnieniu wyników analizy ryzyka dla zasobów ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować rozsądnymi środkami, z punktu widzenia dostępnych technologii i kosztów wdrożenia, to przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym.

Kalkulator analizy ryzyka
Korzystając z naszego kalkulatora analizy ryzyka, krok po kroku dokonasz analizy ryzyka: zidentyfikujesz zabezpieczenia, wskażesz podatności, a także zagrożenia i ich możliwe następstwa. Na tej podstawie, obliczysz poziom ryzyka i odpowiesz, czy ryzyko przekracza próg akceptowalności.

Informowanie i konsultowanie ryzyka

Jest to ciągły proces, prowadzony przez organizację iteracyjnie, w celu zapewnienia, przekazywania lub uzyskania informacji o ryzykach. Skuteczna komunikacja pomiędzy samymi uczestnikami tego procesu, ale również podejmującymi decyzje, ma znaczący wpływ na prawidłowe działanie procesu zarządzania ryzykiem, a zwłaszcza przy podejmowaniu decyzji oraz w procesie ciągłego doskonalenia. Komunikacja musi odbywać się w sposób dwustronny, za pośrednictwem łatwo dostępnego i niezawodnego kanału komunikacyjnego. Pozwoli to na:

  • zapewnienie wiarygodności wyników zarządzania ryzykiem,
  • zbieranie informacji o ryzyku,
  • dystrybucję rezultatów,
  • uniknięcie zagrożeń braku wzajemnego zrozumienia,
  • wsparcie procesu podejmowania decyzji,
  • uzyskanie nowej wiedzy,
  • koordynowanie i planowanie reakcji,
  • wytworzenie poczucia odpowiedzialności za ryzyko,
  • zwiększenie świadomości.
-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Zespół
ODO 24

19 listopada 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się