Zarządzanie ryzykiem, plan postępowania z ryzykiem

Opracowanie planu postępowania z ryzykiem stanowi istotę ogólnej analizy ryzyka. RODO nie zawiera żadnych wskazówek na temat szacowania ryzyka w ramach ogólnej analizy ryzyka, nie prezentuje również żadnych konkretnych sposobów postępowania z tym ryzykiem czy zabezpieczenia poszczególnych kategorii danych osobowych. Wyjątkiem może tu być zobowiązanie administratora danych osobowych do opracowania oceny skutków dla ochrony danych w sytuacji, gdy dana operacja lub zbiór operacji przetwarzania danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób (por. kolejny dział poradnika). W konsekwencji, przy opracowywaniu planu postępowania z ryzykiem dla praw i wolności osób, których przetwa­rzane dane dotyczą, konieczne jest podparcie się wiedzą z zakresu ogólnej teorii zarządzania ryzykiem lub wykorzystanie rozwiązań oferowanych przez normy ISO. Szczególnie wartościowe mogą być w tym zakresie norma PN-ISO/IEC 27001 Technika informatyczna. Technika bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania oraz norma PN-ISO/IEC 27005 Technika informatyczna. Techniki bezpieczeństwa. Zarządzanie ryzykiem w bezpieczeństwie informacji[1]. Należy jednak pamiętać, że korzystanie z powyższych źródeł może mieć charakter wyłącznie pomocniczy. Zarówno bowiem teorie zarządzania ryzykiem (w tym operacyjnym), jak i normy ISO nakierowane są na bezpieczeństwo i sprawne funkcjonowanie organizacji, podczas gdy celem planu postępowania z ryzykiem dla praw i wolności osób, których przetwarzane dane dotyczą, jest zapewnienie bezpieczeństwa tym właśnie osobom. I tu konieczne jest poczynienie dwóch uwag.

Po pierwsze, dobrem, które ma chronić organizacja przetwarzająca dane osobowe, są nie dane osobowe jako takie, a prawa i wolności osób, których przetwarzane dane dotyczą. Zastrzeżenie to znalazło się już w motywie 1 zdanie 1 RODO: „Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych” (podkr. własne, AS) i powinno zostać szczególnie wyeksponowane. Pamiętać bowiem należy, że dobór właściwych zabezpieczeń zależy przede wszystkim od wartości chronionych dóbr. Gdyby zatem przedmiotem ochrony były dane osobowe, to przykładowo imię, nazwisko i adres e-mail konkretnej osoby powinny podlegać analogicznej ochronie w różnych organizacjach – zakres i kategoria danych jest bowiem identyczna w każdej z nich. Tak jednak nie jest. Te same dane osobowe są przetwarzane w różnych organizacjach w różnych celach i w różnych kontekstach. W konsekwencji, wyciek danych w postaci imienia, nazwiska i adresu e-mail użytkownika portalu randkowego może powodować całkowicie odmienne skutki dla praw i wolności tego użytkownika (i innych osób – por. dalej) niż wyciek analogicznych danych użytkownika forum szachistów. Pojęcie „ochrona danych osobowych” powinno być zatem traktowane jako uproszczenie, pewien „skrót myślowy”. Faktycznie przedmiotem ochrony są bowiem prawa i wolności osób, których dane dotyczą, i to właśnie przez pryzmat tych praw i wolności dobierane są środki minimalizujące ryzyko przetwarzania danych.

Po drugie, dobrem, które ma chronić organizacja przetwarzająca dane osobowe, są nie prawa i wolności osób, których dane osobowe są przetwarzane, ale prawa i wolności osób, których przetwarzane dane dotyczą. Ponownie potwierdza to motyw 1 zdanie 1 RODO, które nie mówi o ochronie danych osób fizycznych w związku z przetwarzaniem ich danych osobowych, ale danych osobowych w ogóle. Nietrudno sobie bowiem wyobrazić sytuację, gdy naruszenie poufności danych osobowych jednego członka rodziny wpłynie na prawa i wolności także pozostałych jej członków. Przykładowo, ujawnienie preferencji seksual­nych męża i ojca na skutek wycieku danych z portalu randkowego może negatywnie wpłynąć na prawa i wolności żony i dzieci mężczyzny (poczucie krzywdy, naruszenie prywatności, inne).

W konsekwencji plan postępowania z ryzykiem, opracowany w ramach ogólnej analizy ryzyka, powinien zostać zorientowany na uzyskanie takiego poziomu ryzyka, który da osobom, których przetwarzane dane dotyczą, poczucie bezpieczeństwa, a organizacji możliwość wykazania przestrzegania przepisów RODO. Podstawą opracowania planu postępowania z ryzykiem jest wybór wariantu postępowania z ryzykiem właściwego dla ustalonego poziomu ryzyka oraz wartości dóbr będących przedmiotem ochrony – praw i wolności osób, których przetwarzane dane dotyczą. W teorii zarządzania ryzykiem zostało wypracowanych siedem wariantów postępowania z ryzykiem:

zmniejszenie ryzyka poprzez zmniejszenie prawdopodobieństwa wystąpienia zagrożenia lub zmniejszenie skutków wystąpienia zagrożenia,

 1. usunięcie źródła ryzyka,
 2. usunięcie ryzyka,
 3. unikanie ryzyka,
 4. dzielenie ryzyka,
 5. transfer ryzyka,
 6. podjęcie ryzyka.

Z kolei norma PN-ISO/IEC 27005 wyróżnia cztery warianty postępowania z ryzykiem:

 • modyfikowanie ryzyka, który to wariant można utożsamić z wariantem „zmniejszenia ryzyka” znanego z teorii zarządzania ryzykiem – por. lit. a powyżej,
 • zachowanie (akceptacji) ryzyka, który to wariant w części pokrywa się z wariantem „podjęcia” ryzyka znanego z teorii zarządzania ryzykiem – por. lit. g powyżej,
 • unikanie ryzyka – por. lit. d powyżej,
 • dzielenie ryzyka – por. lit. e powyżej.

Zarządzając ryzykiem w związku z przetwarzaniem danych osobowych, spośród wymienionych wariantów można wykluczyć:

 • transfer ryzyka,
 • dzielenie ryzyka,
 • usunięcie ryzyka
 • oraz co do zasady: podjęcie ryzyka.

Transfer ryzyka to „przerzucenie” skutków finansowych materializacji ryzyka na inny podmiot. Klasycznym przykładem transferu ryzyka jest zawarcie umowy ubezpieczenia, na mocy której odpowiedzialność za skutki danego zdarzenia ubezpieczeniowego (zmaterializowanego ryzyka) ponosi ubezpieczyciel. Wyłącznym celem transferu ryzyka jest zatem odciążenie finansowe organizacji w przypadku aktualizacji ryzyka. W szczególności z transferem ryzyka nie wiąże się obniżenie jego poziomu, a tym samym zwiększenie bezpieczeństwa przetwarzania danych. Zgodnie natomiast z art. 32 ust. 1 RODO obowiązkiem administratora i procesora jest zapewnienie stopnia bezpieczeństwa odpowiadającemu ryzyku przetwarzania danych dla praw i wolności osób fizycznych. Skoro transfer ryzyka zapewnia (i to wyłącznie w wymiarze finansowym) bezpieczeństwo wyłącznie administratorowi lub procesorowi, to nie może zostać uznany za akceptowalną strategię postępowania z ryzykiem związanym z przetwarzaniem danych osobowych. Potwierdza to także Grupa Robocza Art. 29, która w „Wytycznych dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie może powodować wysokie ryzyko do celów rozporządzenia 2016/679 z dnia 4 kwietnia 2017 r.[2] – WP 248” wyklucza możliwość uniknięcia przez administratora odpowiedzialności za naruszenie praw i wolności osoby fizycznej na skutek zawarcia umowy ubezpieczenia na wypadek danego ryzyka.

Z kolei dzielenie ryzyka – to rozłożenie skutków (przede wszystkim finansowych) materializacji ryzyka pomiędzy dwa lub większą liczbę podmiotów. Podobnie jak w przypadku transferu ryzyka, celem dzielenia ryzyka jest wyłącznie „ulżenie” organizacji w poniesieniu skutków powstałych w przypadku materializacji ryzyka. Podział ryzyka, analogicznie do transferu ryzyka, nie powoduje obniżenia jego poziomu, a jedynie obniżenie dotkliwości skutków materializacji ryzyka dla organizacji. Jest to zatem strategia „zorientowana” na osiągnięcie celów organizacji, nie zaś zapewnienia bezpieczeństwa przetwarzania danych osobowych i jako taka jest wykluczona z zarządzania ryzykiem praw i wolności osób, których przetwarzane dane osobowe dotyczą.

W celu uniknięcia wątpliwości należy podkreślić, że dzielenie ryzyka jako strategia zarządzania ryzykiem nie jest także właściwa dla współadministrowania danymi osobowymi ani dla ich powierzenia. I tak, z treści art. 4 pkt 7 RODO wynika, że pojęcie współadministratora niejako zawiera się w pojęciu administratora – „administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych” (podkr. własne, AS). Stąd wszystkie obowiązki nałożone na administratora pozostają aktual­ne w stosunku do współadministratorów. Dotyczy to także obowiązku przeprowadzenia ogólnej analizy ryzyka, która będzie musiała uwzględniać specyfikę współadministrowania danymi, w tym podział odpowiedzialności dotyczącej wypełnienia przez współadministratorów obowiązków wynikających z RODO lub ewentualnie z prawa Unii lub prawa państwa członkowskiego, któremu administratorzy podlegają. Specyfika ta znajdzie przy tym odzwierciedlenie w przyjętych przez współadministratorów środkach minimalizacji ryzyka. Wielość podmiotów nie powoduje jednak zmniejszenia ryzyka związanego z przetwarzaniem danych osobowych czy jego „rozproszenia”. W konsekwencji nie ma także mowy o dzieleniu ryzyka. Przeciwnie, każdy współadministrator ponosi pełną odpowiedzialność za ryzyko oszacowane z uwzględnieniem współadministrowania danymi oraz za następcze zarządzanie tym ryzykiem. Rzecz ma się analogicznie w przypadku powierzenia danych osobowych procesorowi. Podmiotem wyłącznie odpowiedzialnym za zachowanie bezpieczeństwa praw i wolności osób w związku z przetwarzaniem danych osobowych jest administrator danych. W szczególności administrator odpowiada także za działania lub zaniechania procesora, jeśli ich skutkiem jest naruszenie praw i wolności osób, których powierzone do przetwarzania dane osobowe dotyczą. Podstawą odpowiedzialności administratora jest w tym przypadku wina w wyborze nierzetelnego procesora.

W powyższym kontekście należy odróżnić dzielenie ryzyka czy jego transfer jako sposób zarządzania ryzykiem od umownego ustalenia zasad odpowiedzialności współadministratora lub procesora w przypadku nienależytego wykonania ich obowiązków, skutkującego naruszeniem praw i wolności osób, których – odpowiednio – współadministrowane lub powierzone dane dotyczą. Zarówno dzielenie/transfer ryzyka, jak i umowne określenie odpowiedzialności zorientowane są na zabezpieczenie interesów organizacji. I o ile takie nakierowanie na organizację jest wykluczone w przypadku opracowywania planu postępowania z ryzykiem, to brak jest przeszkód do „promowania” interesu organizacji w stosunku do podmiotów współpracujących. Umowne określenie odpowiedzialności dostawcy (kontrahenta), np. w formie kary umownej odpowiadającej wysokości nałożonej przez Prezesa UODO na organizację kary administracyjnej za naruszenie przepisów RODO, stanowi powszechnie stosowany instrument prawa cywilnego. Nie ma on jednak nic wspólnego ze strategią zarządzania ryzykiem, a jest co najwyżej instrumentem aktualizującym się w przypadku, gdy zawiodą zabezpieczenia wdrożone zgodnie z planem postępowania z ryzykiem (m.in. weryfikacja rzetelności procesora, wytyczne dla procesora w zakresie zapewnienia bezpieczeństwa przetwarzania etc).

Usunięcie ryzyka jako strategia zarządzania ryzykiem jest wykluczona w kontekście przetwarzania danych osobowych ze względów praktycznych. Bez względu na formę przetwarzania danych (przetwarzania „papierowe”, przetwarzanie z użyciem nowoczesnych technologii, przetwarzanie niezautomatyzowane, przetwarzanie zautomatyzowane), nie jest możliwe całkowite wykluczenie (usunięcie) ryzyka bez równoczesnego zaprzestania przetwarzania danych osobowych, chociażby z uwagi na możliwość popełnienia błędu ludzkiego lub awaryjność systemów informatycznych.

Podjęcie ryzyka, bez wprowadzenia żadnych środków jego minimalizacji, będzie możliwe wyłącznie w przypadku, gdy ryzyko inherentne będzie tożsame z ryzykiem akceptowalnym. Ryzyko akceptowalne jest przy tym okreś­lane indywidualnie przez organizację. W szczególności organizacja nie musi akceptować wyłącznie ryzyka niskiego. W zależności od przyjętego opisu skali jakościowej ryzykiem dopuszczalnym może być także ryzyko średnie. Oczywistym jest przy tym, że ryzykiem akceptowalnym nie może być ryzyko wysokie. Podjęcie wysokiego ryzyka przetwarzania danych osobowych może nastąpić wyłącznie za zgodą organu nadzorczego, po uprzednich konsultacjach przeprowadzonych w trybie art. 36 RODO (por. kolejny dział poradnika).

W konsekwencji wykluczenia wariantów transferu ryzyka, jego dzielenia, usunięcia oraz – co do zasady – podjęcia ryzyka, do podstawowych wariantów zarządzania ryzykiem naruszenia praw i wolności osób, których przetwarzane dane dotyczą, należy zaliczyć:

 • zmniejszenie ryzyka,
 • usunięcie źródeł ryzyka,
 • unikanie ryzyka.

Zmniejszenie ryzyka może nastąpić poprzez:

 • zmniejszenie prawdopodobieństwa wystąpienia ryzyka, co z kolei można osiągnąć na skutek wprowadzenia zabezpieczeń odpowiednich do stwierdzonego poziomu ryzyka, tj. w szczególności z uwzględnieniem aktywu, na którym wykonywana jest operacja przetwarzania,

  lub

 • zmniejszenie skutków wystąpienia ryzyka, co z kolei można osiągnąć na skutek wprowadzenia innych środków minimalizujących ryzyko, tj. w szczególności ograniczenie skali lub ilości przetwarzanych danych czy ograniczenie aktywów, za pomocą których dane osobowe są przetwarzane.

Usunięcie źródeł ryzyka polega na eliminacji źródła zagrożenia, np. poprzez podjęcie decyzji o zakończeniu współpracy z nierzetelnym procesorem czy wypowiedzenie umowy o pracę pracownikowi podejrzewanemu o szpiegostwo gospodarcze.

Unikanie ryzyka polega na jego faktycznym niepodejmowaniu, jak np. nieotwieranie „podejrzanej” wiadomości
mailowej, niekorzystanie z nielegalnego oprogramowania.

Faktycznie wybór właściwego wariantu zarządzania ryzykiem rysuje się już na etapie identyfikacji zagrożeń oraz podatności aktywów na zidentyfikowane zagrożenia. Przykładowo, identyfikując zagrożenie związane z możliwością naruszenia integralności danych osobowych na skutek błędu ludzkiego, od razu przychodzi na myśl wdrożenie procedury podwójnej weryfikacji modyfikacji lub adaptacji danych, ewentualnie ustanowienie odpowiedniego
nadzoru. Z kolei identyfikując zagrożenie związane z możliwością utraty dostępu do danych na skutek fizycznego zniszczenia ich nośników (np. w wyniku pożaru), niemal automatycznie przychodzi do głowy konieczność wykonywania ich kopii zapasowych.

Szczególnie istotnym dla przyjęcia strategii zarządzania ryzykiem, a często pomijanym etapem[3] ogólnej analizy ryzyka, jest także weryfikacja przetwarzania danych osobowych w świetle fundamentalnych zasad RODO. Na skutek dokładnego zbadania przetwarzania danych osobowych w kontekście proporcjonalności i konieczności przetwarzania, w tym przy uwzględnieniu zasady minimalizmu i ograniczonej retencji danych, może się bowiem okazać, że najlepszym sposobem minimalizacji ryzyka przetwarzania danych jest ograniczenie ich ilości i czasu przetwarzania, przy zachowaniu osiągnięcia celu przetwarzania danych.

Znając dopuszczalne możliwości (strategie) postępowania z ryzykiem, można przystąpić do opracowania planu postępowania z ryzykiem. Co do zasady plan postępowania z ryzykiem można podzielić na trzy rozdziały:

 • plan postępowania przed zdarzeniem, zawierający opis środków minimalizujących prawdopodobieństwo wystąpienia zagrożenia oraz jego skutki,
 • plan postępowania w trakcie zdarzenia, zawierający opis środków minimalizujących skutki zagrożenia,
 • plan postępowania po zdarzeniu, przybierający formę planu ciągłości działania.

Plan postępowania przed zdarzeniem:

Plan postępowania przed zdarzeniem – to zbiór instrukcji, regulaminów, procedur i wytycznych składających się na dwie polityki:

 • politykę monitorowania zakłóceń,
 • politykę zapobiegania zakłóceniom.

Polityka monitorowania zakłóceń polega na opracowaniu środków minimalizujących ryzyko związane z przetwarzaniem danych osobowych o charakterze organizacyjnym.

Z kolei polityka zapobiegania zakłóceniom polega na opracowaniu i następczym wdrożeniu zabezpieczeń technicznych i jako taka ma charakter inwestycyjny. Polityki te składają się na spójny, wzajemnie się uzupełniający system minimalizacji ryzyka dla praw i wolności osób w związku z przetwarzaniem danych osobowych. W konsekwencji obie polityki pozostają w ścisłym związku i muszą być ze sobą kompatybilne. Przykładowo, jeśli pracownikowi został nadany indywidualny login do systemu informatycznego (zabezpieczenie logiczne będące rodzajem zabezpieczenia technicznego), to w regulaminie pracy, polityce bezpieczeństwa danych osobowych lub instrukcji zarządzania systemem informatycznym (ewentualnie innym dokumencie, według uznania organizacji) zostanie szczegółowo opisany sposób postępowania pracownika z tym loginem (obowiązek pracy z wykorzystaniem loginu, zakaz udostępniania loginu innym pracownikom, w tym przełożonym itd.). W praktyce na każdą z polityk składa się kilka lub kilkanaście różnych instrukcji, procedur, regulaminów i innych dokumentów uporządkowanych tematycznie.

Punktem wyjścia dla opracowania obu polityk jest analiza każdego z ryzyk zidentyfikowanych w ramach szacowania ryzyka pod kątem adekwatności środka minimalizującego ryzyko. Ochrona praw i wolności danych osób fizycznych w związku z przetwarzaniem danych osobowych może być realizowana za pomocą środków organizacyjnych i środków technicznych. „Ważność” obu środków jest przy tym analogiczna. W szczególności nie jest tak, że środki zabezpieczenia technicznego są „lepsze” od środków zabezpieczenia organizacyjnego. Na ogół całkowity koszt wdrożenia środków organizacyjnych, opierających się w znacznej mierze na procedurach i instrukcjach, jest jednak o wiele niższy niż koszt wdrożenia i utrzymania środków zabezpieczeń o charakterze technicznym. Jest to niewątpliwie ważny czynnik, gdyż ograniczenia
finansowe organizacji bezpośrednio wpływają na decyzję o przyjęciu strategii postępowania z ryzykiem. Wprawdzie załącznik F do normy PN-ISO/IEC 27005 dopuszcza brak proporcjonalności pomiędzy kosztami wdrożenia lub utrzymania zabezpieczeń a wartością typów ryzyk, dla ochrony których te środki zostały zaprojektowane, w sytuacji gdy wymaga tego przepis prawa, to jednak RODO nie kreuje takiego obowiązku. Przeciwnie, RODO wprost
nakazuje zachowanie proporcjonalności kosztu wdrożenia środków technicznych i organizacyjnych do ryzyka naruszenia praw i wolności osób fizycznych (por. m.in. art. 25 ust. 1, art. 32 ust. 1). Stąd, jeśli ten sam cel w postaci obni­żenia ryzyka do akceptowalnego poziomu może zostać osiągnięty poprzez wprowadzenie odpowiedniej procedury albo poprzez zastosowanie środka zabezpieczenia o charakterze technicznym, to tylko od organizacji zależy, który środek minimalizujący ryzyko zostanie wdrożony. Może też zdarzyć się tak, że to samo ryzyko będzie mini­malizowane przez oba rodzaje środków, choć nierzadko na różnych „poziomach”. Przykładowo, ryzyko utraty danych na skutek pożaru może zostać zminimalizowane przez wprowadzenie odpowiednich środków bezpieczeństwa technicznego (czujki i sygnalizacja przeciwpożarowa, gaśnice, spryskiwacze, wykonywanie kopii zapasowych itd.),
ale także przez odpowiednie procedury, tj. środki zabezpieczenia organizacyjnego (np. zakaz palenia w miejs­cach do tego niewyznaczonych, nakaz składowania akt i dokumentów archiwalnych w wyznaczonych miejscach, okresowa kontrola instalacji elektrycznych itd.). Należy przy tym zwrócić uwagę, że każdy z zastosowanych środków został faktycznie nakierowany na inny czynnik ryzyka. O ile ryzykiem jest utrata danych osobowych na skutek ich zniszczenia w pożarze, to:

 • celem zastosowania środków zabezpieczenia technicznego w postaci czujek i sygnalizacji przeciwpożarowej oraz gaśnic jest obniżenie prawdopodobieństwa wystąpienia zagrożenia, tj. zniszczenia danych osobowych, poprzez eliminację lub ograniczenie jego źródła, tj. pożaru,
 • celem zastosowania środków zabezpieczenia technicznego w postaci wykonywania kopii zapasowych jest ograniczenie lub zapobieżenie skutkom zagrożenia, tj. zniszczenia danych osobowych[4],
 • celem zastosowania środków organizacyjnych w postaci odpowiednich procedur postępowania jest zarówno ograniczenie prawdopodobieństwa wystąpienia zagrożenia (poprzez działania mające na celu niedopuszczenie do wystąpienia źródła zagrożenia, tj. pożaru), jak i ograniczenie skutków wystąpienia zagrożenia, tj. zniszczenia danych osobowych (np. zakaz gromadzenia dokumentów w jednym miejscu, skorzystanie ze środka zabezpieczenia technicznego – użycie gaśnicy).

Powyższy przykład obrazuje, jak istotne jest rozróżnienie zagrożenia od źródeł tego zagrożenia. Część środków technicznych lub organizacyjnych może bowiem zostać skierowana na eliminację (całkowitą lub częściową) źródła zagrożenia, co spowoduje obniżenie prawdopodobieństwa wystąpienia zagrożenia. Część środków technicznych lub organizacyjnych może zostać natomiast skierowana na wyeliminowanie (całkowite) lub ograniczenie (częściowe) skutków zagrożenia, co do którego założono, że się zmaterializuje[5]. Właściwa ide...

Dalsza część jest dostępna dla użytkowników z wykupionym planem