Jednym z najtrudniejszych zadań spoczywających na administratorach danych osobowych od 25 maja 2018 r., tj. od dnia rozpoczęcia stosowania RODO jest przeprowadzanie systematycznej analizy ryzyka. Pojęcie analizy ryzyka nie zostało ściśle zdefiniowane. Przepisy RODO nie wyjaśniają również, jakimi metodami należy przeprowadzać analizę i w jaki sposób szacować ryzyko. To między innymi z tego powodu analiza ryzyka sprawia administratorom niemałe trudności. Aby ułatwić jej wykonywanie i dokumentowanie jej wyników, stworzono narzędzie o nazwie GDPR RiskTracker, które daje administratorom możliwość przeprowadzenia zautomatyzowanej analizy.

O jakie ryzyko chodzi?

Przepisy RODO (rozporządzenia ogólnego o ochronie danych osobowych) nie definiują pojęcia ryzyka. Formułują one jednak ogólną zasadę podejścia opartego na ryzyku. Aby wyjaśnić ją w najprostszy sposób należy wyjść od tego, iż obowiązkiem każdego administratora jest zapewniane, by przetwarzanie danych było zgodne z przepisami o ochronie danych osobowych. Normy RODO nie wskazują jednak, jakie środki organizacyjne i techniczne należy zastosować, aby dane były należycie zabezpieczone i przetwarzane zgodnie z RODO. Tym samym na każdym administratorze spoczął ciężar samodzielnego decydowania o sposobie przetwarzania, a w szczególności o stosowanych zabezpieczeniach.

Nienależyta ochrona danych i postępowanie niezgodne z RODO mogą mieć doniosłe konsekwencje. Wystarczy tu wspomnieć chociażby o karach finansowych, które mogą sięgać nawet 20 milionów euro lub 4 % rocznego światowego obrotu administratora będącego przedsiębiorcą. Co więcej, administrator może też ponosić odpowiedzialność odszkodowawczą wobec osób, których dane były przetwarzane niezgodnie z przepisami.

Aby więc uchronić się przed odpowiedzialnością finansową, administrator powinien przeanalizować, czy sposób, w jaki przetwarza dane, może powodować ryzyko naruszenia praw i wolności osób, których dane dotyczą, a następnie – na podstawie rezultatów tej analizy – dobrać odpowiednie środki techniczne i organizacyjne, które zapobiegną ziszczeniu się ryzyka lub to ryzyko zminimalizują. Przeprowadzając analizę ryzyka należy pamiętać, że badaniu nie podlega ryzyko naruszenia interesów administratora, lecz ryzyko mogące rzutować na prawa i wolności podmiotów danych, np. poprzez utratę danych, kradzież tożsamości lub szkody dla reputacji. Uszczerbek dotykający osoby fizyczne może mieć wymiar fizyczny, jak również stanowić szkodę majątkową lub niemajątkową. Jak wskazuje RODO, może on być wywołany takimi zagrożeniami jak zniszczenie lub utrata danych, ich modyfikacja, ujawnienie lub nieuprawniony dostęp do danych.

Kryteria niezbędne dla analizy

Tak jak wspominano, przepisy RODO nie wyjaśniają, w jaki sposób należy przeprowadzić rzetelną i prawidłową analizę ryzyka, jednakże udziela administratorom kilku wskazówek. Z całą pewnością ocenie powinien podlegać cel, charakter i kontekst przetwarzania, czyli warunki i okoliczności przetwarzania danych. Dla wyników analizy znaczenie ma również zakres przetwarzanych danych oraz liczba osób, których dane są przetwarzane. Im więcej danych znajduje się w posiadaniu administratora, tym większe ryzyko wystąpienia naruszenia. Nie bez znaczenia pozostaje również to, jakie kategorie danych są przetwarzane. Przetwarzanie danych szczególnych kategorii, np. danych o stanie zdrowia lub poglądach politycznych, może bowiem spowodować gwałtowny wzrost ryzyka naruszenia praw i wolności podmiotów danych.

Administrator powinien wziąć także pod uwagę wszelkie operacje, które wykonuje na danych. Do wzrostu ryzyka może dojść w szczególności w przypadku udostępniania lub przekazywania danych podmiotom zewnętrznym, zwłaszcza jeśli mają one swoje siedziby poza Unią Europejską i Europejskim Obszarem Gospodarczym.

Katalog kryteriów, jakie powinny być brane pod uwagę podczas analizy ryzyka, jest katalogiem otwartym i może być dostosowywany do potrzeb i uznania administratora. Ważne jest, aby analiza uwzględniała wszystkie istotne aspekty przetwarzania danych i okoliczności, które mogą wpływać na obniżenie poziomu ich ochrony.

Metody analizy ryzyka

Rozumienie pojęcia ryzyka jest tak szerokie, że w praktyce trudno wyobrazić sobie rodzaj przetwarzania danych osobowych, który nie powodowałby żadnego ryzyka dla osób, których dane dotyczą. W konsekwencji zadaniem administratora jest więc wybór takiej metody analizy, która pozwoli mu najdokładniej oszacować poziom tego ryzyka i dobrać przeciwdziałające mu środki bezpieczeństwa. W niektórych przypadkach stopień ryzyka może okazać się tak wysoki, że zapobieżenie naruszeniu będzie niemożliwe. Wówczas do decyzji administratora będzie należało, czy podejmie ryzyko i będzie przetwarzał dane z narażeniem podmiotów danych, czy zrezygnuje z zamierzonego przedsięwzięcia.

Eksperci z zakresu ochrony danych podkreślają, że nie istnieje jedna, najlepsza i niezawodna metoda analizy ryzyka. Katalog metod jest szeroki – wyróżnia się m.in. metody jakościowe, ilościowe i mieszane. Autorzy prezentują metody opisowe i obliczeniowe, które opierają się na różnorodnych algorytmach. Wybierając metodę warto pamiętać o kilku istotnych kwestiach. Po pierwsze, wybrana metoda powinna uwzględniać wszystkie kryteria przetwarzania, które mogą wpływać na ryzyko przetwarzania danych. Po drugie, metoda ta powinna być czytelna i zrozumiała, a także pozwalać na udokumentowanie analizy i jej wniosków. Może się to okazać potrzebne np. w przypadku wystąpienia naruszenia lub wszczęcia kontroli przez organ nadzoru. Po trzecie wreszcie, metoda analizy powinna odpowiadać preferencjom administratora oraz jego możliwościom organizacyjnym i finansowym. Niektóre proponowane metody analizy opierają się bowiem na skomplikowanych zasadach i algorytmach, a ich wykorzystanie może wymagać dużych nakładów pracy.

Narzędzia służące do analizy ryzyka

Aby wspomóc administratorów w realizacji obowiązku wykonywania analizy ryzyka, na rynku pojawiają się narzędzia, które pomagają w przeprowadzaniu zautomatyzowanej analizy. Jednym z takich narzędzi jest aplikacja opracowana przez zespół Kancelarii Lubasz i Wspólnicy – GDPR RiskTracker. Aplikacja jest dedykowana administratorom i inspektorom ochrony danych, którzy w prosty i zrozumiały sposób chcą wykonywać analizę ryzyka. W aplikacji wykorzystano autorską metodę szacowania ryzyka, która przy uwzględnieniu najistotniejszych kryteriów wpływających na bezpieczeństwo danych, szacuje poziom ryzyka. Narzędzie to jest owocem pracy zespołu prawników i informatyków, dzięki czemu wiedza z zakresu ochrony danych została połączona z nowatorskim rozwiązaniem technologicznym. Efektem każdej analizy jest raport, w którym zawarte są informacje dostarczone przez administratora i wnioski z analizy. Tym samym w prosty i intuicyjny sposób możliwe jest udokumentowanie analizy oraz odtworzenie kryteriów i aspektów, które zostały wzięte pod uwagę przy ocenie ryzyka.

Efekty analizy

Po wykonaniu analizy i oszacowaniu poziomu ryzyka zadaniem administratora jest podjęcie decyzji, czy ustalone ryzyko jest dla niego akceptowalne, czy nie. Jeśli nie, administrator ma dwa wyjścia. Po pierwsze, może zaprzestać przetwarzania danych lub zrezygnować z planowanego projektu związanego z przetwarzaniem danych. Po drugie, może dobrać takie techniczne i organizacyjne środki, które zabezpieczą dane, a tym samym zminimalizują ryzyko i pozwolą na kontynuowanie przetwarzania danych.

Należy pamiętać, że analiza ryzyka powinna być wykonywana systematycznie i zawsze wtedy, gdy zmieniają się zasady lub warunki przetwarzania danych, co może wpływać na ich bezpieczeństwo. Analiza w żadnym wypadku nie może być traktowana jako czynność jednorazowa. Jest bowiem procesem stałym i powinna towarzyszyć każdemu przedsięwzięciu związanemu z przetwarzaniem danych.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

2DM_3839b

Karolina Przybysz
Aplikant
karolina.gawrych@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej