Trafna analiza ryzyka podstawą zapewnienia zgodności z RODO
2020-03-06
U podstaw RODO leżą dwa założenia regulacyjne: neutralność technologiczna i podejście oparte na ryzyku. Kluczem do prawidłowego wdrożenia RODO jest dokonanie analizy ryzyka. Jest ono związane z przetwarzaniem danych osób, których dane przetwarza konkretny podmiot i stanowi podstawę do podjęcia uzasadnionej decyzji o wdrożeniu środków technicznych i organizacyjnych mających zminimalizować ryzyko. W ten sposób osiągnięty ma zostać adekwatny poziom ochrony praw osób, których dane są przetwarzane.
Podejście oparte na ryzyku stanowi fundament ogólnego rozporządzenia unijnego o ochronie danych osobowych (RODO) i jest podstawą konstrukcji obowiązków nałożonych na administratora i podmiot przetwarzający.
Jakie podejście
Podstawą oceny zgodności z rozporządzeniem oraz oceny adekwatności z perspektywy bezpieczeństwa wdrożonych środków technicznych i organizacyjnych jest osadzona w charakterze, kontekście, celu i zakresie przetwarzania danych osobowych przez konkretny podmiot analiza ryzyka takiego przetwarzania dla praw i wolności podmiotów danych.
Jakie etapy oszacowania
W RODO pojęcie „ryzyko”, pomimo, że jest rozstrzygające dla konstrukcji wielu obowiązków, nie jest zdefiniowane. W tym celu można posiłkowo sięgnąć do definicji z normy „ISO/IEC 31000. Zarządzanie ryzykiem. Zasady i wytyczne” opisującej ryzyko jako „wpływ niepewności na cele, który powoduje pozytywne lub negatywne odchylenie od oczekiwań”. Jest to zatem pewien scenariusz opisujący konkretne zdarzenie i jego konsekwencje oszacowane pod kątem ich dotkliwości i prawdopodobieństwa. Zwrócić jednak należy uwagę, że na gruncie rozporządzenia, niepewność i dotkliwość oceniana ma być nie z perspektywy organizacji, a z perspektyw osób, których dane są przetwarzane. Zważyć bowiem należy czy to na ich sferę praw i wolności następuje oddziaływanie, z jakim prawdopodobieństwem. Wdrażane rozwiązania noszą natomiast ryzyko takiego negatywnego wpływu w sposób adekwatny minimalizować.
Negatywne skutki, które przy analizie ryzyka należy wziąć pod uwagę mogą mieć różny charakter począwszy od utraty kontroli nad danymi, poprzez szkody niemajątkowe a skończywszy na szkodach majątkowych związanych z kradzieżą tożsamości czy dyskryminacją. Do naruszenia praw i wolności osób fizycznych dojść może w wyniku nieprawidłowo wdrożonych procedur przetwarzania, w tym w fazie legalizacji, ale także nieprawidłowego zabezpieczenia przetwarzania danych osobowych, np. przed dostępem osób nieuprawnionych. Przyczyną naruszenia bezpieczeństwa przetwarzania może być zdarzenie losowe, jak i celowe działanie.
Co brać pod uwagę
- zidentyfikowanie ryzyka i potencjalnych skutków wystąpienia ryzyka,
- analizę ryzyka – jego źródeł pochodzenia i kryteriów, które mają na nie wpływ,
- ustalenie poziomu ryzyka i możliwości jego minimalizacji,
- dobranie środków technicznych i organizacyjnych, które będą odpowiadały ustalonemu ryzyku.
Metody analityczne
Prawodawca unijny nie wskazuje jednak konkretnych metod analizy ryzyka, pozostawiając wybór podmiotom zobowiązanym, adekwatnie do ich konkretnej sytuacji. Podpowiedzi dotyczących wyboru metody analitycznej można natomiast poszukiwać w źródłach nienormatywnych np. w wytycznych Europejskiej Rady Ochrony Danych, opracowaniach polskiego organu nadzorczego, normach ISO przykładowo z rzędu 27001, 27005, 27701, czy 29134. W pewnym stopniu uogólniająco można stwierdzić, że metody analizy ryzyka można podzielić na trzy podstawowe typy: jakościowe, ilościowe i mieszane, których rozróżnienie bazuje przede wszystkim na stopniu szczegółowości i formalizmu oraz przypisywaniu atrybutów opisowych (metoda jakościowa) lub ilościowych (metoda ilościowa).
Rozliczalność, dokumentacja, narzędzia
W tym kontekście warto pamiętać, że analiza ryzyka nie jest czynnością jednorazową. Wykonywanie jej w sposób systematyczny i powtarzanie lub aktualizowanie wraz z każdą modyfikacją w procesie przetwarzania danych jest niezbędne. Także tak jest w przypadku zmiany stanu technicznego lub technologicznego wpływającego na pojawianie się zarówno nowych wydajniejszych i pewniejszych zabezpieczeń, ale i nowych zagrożeń.
Wybór metody
By sprostać obowiązkom w powyższym zakresie, kierując się zobiektywizowanymi kryteriami, a także pamiętając o wynikającej z zasady rozliczalności, konieczności udokumentowania wykonania nałożonych przez RODO obowiązków, podmioty zobowiązane muszą dokonać wyboru jednej z metod analizy ryzyka i wdrożyć jej stosowanie w sposób konsekwentny dla uzyskania porównywalnych i rozliczalnych wyników w całej organizacji.
W celu ułatwienia przeprowadzenia analizy, jej udokumentowania oraz wsparcia przy doborze adekwatnych środków technicznych i organizacyjnych, można sięgnąć do szeregu różnych rozwiązań eksperckich, jak i skorzystać z opracowanych aplikacji analitycznych. Przykładem może być aplikacja PIA (privacy impact assessment) opracowana przez francuski organ nadzorczy CNIL, czy też aplikacja ekspercka GDPR Risk Tracker oparta na dostosowanej normie ISO/IEC 29134.
Zdaniem autora
Podsumowując zatem, pamiętać należy, że to właśnie analiza ryzyka jest kluczem do prawidłowego wdrożenia RODO, podstawą zgodnego z wymogami wykonania wielu wynikających z tej regulacji obowiązków, np. uwzględnienia prywatności w fazie projektowania, czy prowadzenia odpowiedniej dokumentacji. Przede wszystkim jednak jest najpełniejszym wyrazem założeń regulacyjnych tj. neutralności technologicznej i podejścia opartego na ryzyku.
Artykuł ukazał się w dzienniku „Rzeczpospolita” w dniu 06-03-2020 r.