Narzędzie do zapewnienia zgodności z RODO – podejście bazujące na ryzyku

Sercem ochrony danych osobowych są prawa i wolności osób fizycznych (które w uproszeniu będą dalej określane mianem prywatności, chociaż nie są to identyczne pojęcia).

Dane osobowe mają swój cykl życia – są zbierane, przechowywane, używane, współdzielone, udostępniane, przesyłane i usuwane1. Ryzyko może być inne na każdym etapie, ale zawsze musi być brane pod uwagę.

 

RODO nakłada obowiązek wdrożenia odpowiednich środków pozwalających zapewnić przestrzeganie przepisów oraz możliwość wykazania ich przestrzegania, uwzględniając m.in. ryzyko naruszenia praw lub wolności osób
fizycznych o różnym prawdopodobieństwie i wadze zagrożenia (art. 24 ust. 1).

 

Motyw 76 RODO wskazuje:

Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy
określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

 

Motyw 83 RODO określa natomiast, że:

W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko.

 

Cała sekcja 2 RODO poświęcona jest bezpieczeństwu danych osobowych.

 

Dla działu IT najważniejsze są następujące zapisy:

Artykuł 32:

1.  Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a)  pseudonimizację i szyfrowanie danych osobowych;

b)  zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c)  zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d)  regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2.   Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Artykuł 34 ust. 1:

1.  Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

 

Artykuł 35 (dotyczący oceny skutków dla ochrony danych):

1.  Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

 

Jak widać, odniesienia do ryzyka występują dość często. W takiej czy innej formie pojawiają się one w rozporządzeniu aż 76 razy2. Dlatego, aby wdrożyć RODO, trzeba umieć szacować ryzyko i rozumieć podstawowe kwestie bezpieczeństwa, nawet nie będąc ekspertem w tej dziedzinie.

 

Pojęcie analizy ryzyka brzmi bardzo specjalistycznie, ale w gruncie rzeczy posługujemy się nim na co dzień, nie zdając sobie z tego sprawy. Przykładowo, kupując opony do samochodu, dokonuje się analizy ryzyka. Jeśli ktoś dużo podróżuje, jeździ dość szybko, a często z rodziną – to skłania się do wyboru opon, które będą zapewniały dobre hamowanie, odpowiednie odprowadzanie wody i z odpowiednim indeksem szybkości (np. V).

 

Można nie zdawać sobie z tego sprawy, ale w tym rozumowaniu występują elementy zarządzania ryzykiem:

  • identyfikacja zasobów (opony),
  • identyfikacja zagrożeń (warunki drogowe, śliska nawierzchnia, konieczność gwałtownego hamowania),
  • identyfikacja podatności (zużyty bieżnik),
  • identyfikacja następstw (uszczerbek na życiu i zdrowiu własnym, pasażerów, uczestników ruchu, zniszczenie auta itd.),
  • szacowanie prawdopodobieństwa (częsta jazda – większe szanse na zdarzenie),
  • ocena ryzyka („łyse opony” i częste podróże po ruchliwych drogach z rodziną – to wysokie ryzyko),
  • postępowanie z ryzykiem (nowe opony w celu zmniejszenia ryzyka).

 

W sytuacji gdy trzeba wymienić opony na nowe i jednocześnie naprawić klimatyzację, ale nie dysponuje się wystarczającymi środkami na jedno i drugie, trzeba wybierać pomiędzy oponami a działającą klimatyzacją. Jakikolwiek wybór zostanie podjęty, decyzja będzie także bazować na ryzyku, chociaż w większości przypadków pewnie nie będzie
to świadome.