Analiza ryzyka – nowy obowiązek administratora danych osobowych

Przepisy RODO mówią, że obowiązkiem administratora danych (ADO) oraz podmiotów przetwarzających dane jest przeprowadzenie szacowania ryzyka związanego z przetwarzaniem danych osobowych. Szacowanie ryzyka ma w szczególności posłużyć jako jeden z elementów systemu realizacji prawa osób fizycznych do skutecznej ochrony ich danych osobowych. Słusznie RODO zwraca uwagę na to, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, które to środki muszą być odpowiednie do zagrożeń oraz kategorii danych objętych ochroną.

W art. 1 ust. 2 RODO stwierdzono, że celem rozporządzenia jest ochrona podstawowych praw osób fizycznych, w szczególności ich prawa do ochrony danych osobowych.

Sposoby na osiągnięcie powyższego celu zostały określone w rozporządzeniu, a w szczególności w zapisach, które wskazują na konieczność zabezpieczenia danych:

  • Punkt 83 rozporządzenia, który dla zachowania bezpieczeństwa przetwarzania danych i zapobiegania niezgodnemu z RODO przetwarzaniu danych obligujeadministratora do oszacowania ryzyk właściwych dla procesu przetwarzania i wdrożenia środków minimalizujących te ryzyka. Środki te powinny zapewniać odpowiednie bezpieczeństwo i odpowiadać podatności zasobów na wskazane ryzyka.
  • Artykuł 24 ust. 1 rozporządzenia, w którym mowa o wdrożeniu odpowiednich środków technicznych i orga­nizacyjnych celem zapewnienia zgodności przetwarzania danych z RODO. Wdrożenie środków wymaga oceny ryzyka naruszenia praw i wolności osób fizycznych, prawdopodobieństwa wystąpienia różnych zagrożeń.
  • Artykuł 32 ust. 1 i 2 rozporządzenia zobowiązujący administratora i podmiot przetwarzający do zapewnienia należytego stopnia bezpieczeństwa danych osobowych odpowiadającego ryzyku naruszenia praw i wolności osób fizycznych, wynikającego z wdrożenia odpowiednich środków technicznych i organizacyjnych, które, by móc spełnić swoją funkcję, muszą gwarantować bezpieczeństwo danych na odpowiednim poziomie. Poziom ryzyka wiąże się z przetwarzaniem danych.

Analizując powyższe zapisy rozporządzenia, należy zwrócić uwagę na fakt, że szacowanie ryzyka jest obowiązkiem administratora oraz podmiotu przetwarzającego i stanowi punkt wyjściowy do doboru i wdrożenia odpowiednich środków technicznych i organizacyjnych. Środki te muszą skutecznie zapobiegać (z uwzględnieniem poziomu bezpieczeństwa) przetwarzaniu danych osobowych niezgodnie z RODO. Właściwa analiza i szacowanie ryzyka daje podstawę do zastosowania odpowiednich zabezpieczeń, które w rezultacie dadzą gwarancję właściwej ochrony podstawowych praw i wolności osób fizycznych, których dane osobowe są przetwarzane.

Operacjami niosącymi za sobą wysokie ryzyko naruszenia praw lub wolności osób fizycznych są operacje związane z wprowadzaniem nowych technologii przetwarzania danych (np. przetwarzanie danych online). Innym czynnikiem mającym wpływ na wzrost ryzyka naruszenia przy przetwarzaniu danych osobowych jest wprowadzenie istotnych zmian w systemie (procesie) przetwarzania (np. transfer danych do innych odbiorców, którzy na podstawie umów otrzymali możliwość ich przetwarzania). Każda zmiana technologii przetwarzania danych lub wdrażania nowych aplikacji będzie wymagała dokonania szacowania ryzyka.

Artykuł 35 ust. 3 RODO wskazuje, kiedy może zajść wysokie ryzyko naruszenia praw lub wolności osób fizycznych:

  1. przy przetwarzaniu danych opartym na zautomatyzowanych systemach, które są wykorzystywane do profilowania danych,
  2. przy przetwarzaniu danych na dużą skalę, a szczególnie danych sensytywnych (art. 9 RODO),
  3. przy przetwarzaniu danych pochodzących z miejsc pub­licznych objętych monitoringiem na dużą skalę.

Przepisy RODO zobowiązują administratora danych oraz podmioty przetwarzające do zapewnienia prawa i wolności osób fizycznych, których dane przetwarzają. Aby zrea­lizować ten cel, administratorzy oraz podmioty przetwarzające muszą zapewnić właściwe środki ochrony przetwarzanych danych, adekwatne do poziomu ryzyka naruszenia wyżej wymienionych praw. Nienależyte wykonanie szacowania ryzyka i nienależyte dobranie środków bezpieczeństwa może skutkować odpowiedzialnością za naruszenie praw i wolności osób fizycznych, których dane przetwarzają.

Odpowiedzialność administratora i podmiotu przetwarzającego jest związana z:

  1. niewłaściwym zidentyfikowaniem ryzyk,
  2. niewłaściwym oszacowaniem zidentyfikowanych ryzyk,
  3. nieodpowiednim zastosowaniem środków ochrony danych osobowych do zidentyfikowanych ryzyk.

Nałożenie przez rozporządzenie obowiązku szacowania ryzyka związanego z przetwarzaniem danych osobowych nie zbiegło się z określeniem w RODO zasad prowadzenia szacowania ryzyka ani określeniem definicji „szacowania ryzyka” czy też „ryzyka”, a także określenia metody prowadzenia tego szacowania. Zapewne taka konstrukcja RODO w tym zakresie miała na celu pozostawienie admi­nistratorom danych, którzy swoje obowiązki wykonują w różnych krajach i przy wykorzystaniu zróżnicowanych przepisów krajowych w zakresie ochrony danych osobowych, pewnej swobody w stosowaniu metod szacowania. Warto również zwrócić uwagę na fakt, że szacowanie ryzyka jest prowadzone dla różnych rodzajów przetwarzanych informacji i danych w podmiotach europejskich i krajowych. Daje to możliwość stosowania wypróbowanych w jednostce standardów i metod szacowania ryzyka bez konieczności implementowania nowych rozwiązań.

Czym więc jest ryzyko?

Pojęcie ryzyka jest definiowane na wiele sposobów i nie jest jednoznaczne, a jego interpretacja zależy od dziedziny nauki, której dotyczy. W sferze ochrony danych osobowych administratorzy oraz podmioty przetwarzające dane osobowe powinny wykorzystywać wytyczne zarządzania ryzykiem zawarte w:

  1. PN-ISO 31000:2012 Zarządzanie ryzykiem. Zasady i wytyczne,
  2. PN-ISO/IEC 27005:2014-01 Zarządzanie ryzykiem w bezpieczeństwie informacji.

 

Wyżej wymienione wytyczne definiują pojęcie ryzyka, które według PN-ISO/IEC 27005:2014-01 brzmi następująco: Ryzyko to wpływ niepewności na cele.

  • Następstwem jest odchylenie od oczekiwań – pozytywne lub negatywne.
  • Niepewność – to stan, również częściowy, niedoboru informacji związanej ze zrozumieniem lub wiedzą na temat zdarzenia, jego następstw lub prawdopodobieństw.
  • Ryzyko jest opisywane w odniesieniu do potencjalnych zagrożeń i następstw lub ich kombinacji.
  • Ryzyko jest często wyrażone w połączeniu z następstwem zdarzenia (w tym zmiany okoliczności) oraz związanego z nim prawdopodobieństwa wystąpienia.
  • W kontekście systemów zarządzania bezpieczeństwem informacji ryzyko w bezpieczeństwie informacji może być wyrażone jako wpływ niepewności na cele bezpieczeństwa informacji.
  • Ryzyko w bezpieczeństwie informacji wiąże się z możliwością zaistnienia sytuacji, w której zagrożenia będą wykorzystywały podatność aktywu informacyjnego lub grupy aktywów informacyjnych, a tym samym będą powodować szkodę dla organizacji.

Podsumowując, należy zwrócić uwagę na fakt, że ryzyko jest ściśle związane z pojawieniem się potencjalnego możliwego zdarzenia (sytuacji), którego pojawienie się może zaistnieć w procesie przetwarzania danych osobowych i może nieść za sobą skutki, którymi może być naru­szenie praw i wolności osób fizycznych.

Zdarzenie takie ma wpływ na realizację wyznaczonych celów – ochronę i zabezpieczenie przetwarzanych danych osobowych.

UWAGA!

Niedobór informacji związanych z możliwością wystąpienia negatywnych zdarzeń, konsekwencją których może być naruszenie praw i wolności osób fizycznych, stwarza duże prawdopodobieństwo ich wystąpienia.

Dla administratora danych oraz podmiotu przetwarzającego dane cel określony w definicji „ryzyka” jest określony w rozporządzeniu. Tym celem jest przetwarzanie danych osobowych w sposób zgodny z prawem, tak aby te dane nie zostały:

  1. zniszczone,
  2. utracone,
  3. w sposób niekontrolowany modyfikowane,
  4. ujawniane osobom lub podmiotom nieuprawnionym.

Proces zarządzania ryzykiem w bezpieczeństwie informacji (dane osobowe też są informacją) składa się z niżej wymienionych działań, które muszą być ze sobą ściśle powiązane(PN-ISO/IEC 27005:2014-01):

  1. zarządzanie ryzykiem, które w szczególności:
    1. określa podstawowe kryteria niezbędne do zarządzania ryzykiem:
  • kryteria oceny ryzyka,
  • kryteria skutków,
  • kryteria akceptowania ryzyka;
  1. definiuje zakres i granice procesu zarządzania ryzykiem;
  2. ustanawia właściwą organizację realizującą proces zarządzania ryzykiem;

 

  1. szacowanie ryzyka, na które składa się:
    1. identyfikacja ryzyk,
    2. analiza ryzyk,
    3. ocena ryzyk;
  2. postępowanie z ryzykiem – proces uruchamiany w przypadku, gdy ocena ryzyka jest satysfakcjonująca (akceptowalna); opracowuje się plan postępowania z ryzykiem i listę typów ryzyka szczątkowego przeznaczonego do akceptacji kierownika jednostki (administratora danych);
  3. akceptacja ryzyka;
  4. informowanie o ryzyku;
  5. monitorowanie i przegląd ryzyka.

Kierując się powyższym schematem procesu zarządzania ryzykiem, administrator danych (podmiot przetwarzający)
powinien dokonać szczegółowej analizy charakteru, zakresu, uwarunkowań oraz celu przetwarzania danych, a także określić rodzaje operacji przetwarzania danych osobowych.