Trafna analiza ryzyka podstawą zapewnienia zgodności z RODO

Podejście oparte na ryzyku stanowi fundament ogólnego rozporządzenia unijnego o ochronie danych osobowych (RODO) i jest podstawą konstrukcji obowiązków nałożonych na administratora i podmiot przetwarzający.

Jakie podejście

Podstawą oceny zgodności z rozporządzeniem oraz oceny adekwatności z perspektywy bezpieczeństwa wdrożonych środków technicznych i organizacyjnych jest osadzona w charakterze, kontekście, celu i zakresie przetwarzania danych osobowych przez konkretny podmiot analiza ryzyka takiego przetwarzania dla praw i wolności podmiotów danych.

Jakie etapy oszacowania

W RODO pojęcie „ryzyko”, pomimo, że jest rozstrzygające dla konstrukcji wielu obowiązków, nie jest zdefiniowane. W tym celu można posiłkowo sięgnąć do definicji z normy „ISO/IEC 31000. Zarządzanie ryzykiem. Zasady i wytyczne” opisującej ryzyko jako „wpływ niepewności na cele, który powoduje pozytywne lub negatywne odchylenie od oczekiwań”. Jest to zatem pewien scenariusz opisujący konkretne zdarzenie i jego konsekwencje oszacowane pod kątem ich dotkliwości i prawdopodobieństwa. Zwrócić jednak należy uwagę, że na gruncie rozporządzenia, niepewność i dotkliwość oceniana ma być nie z perspektywy organizacji, a z perspektyw osób, których dane są przetwarzane. Zważyć bowiem należy czy to na ich sferę praw i wolności następuje oddziaływanie, z jakim prawdopodobieństwem. Wdrażane rozwiązania noszą natomiast ryzyko takiego negatywnego wpływu w sposób adekwatny minimalizować.

Negatywne skutki, które przy analizie ryzyka należy wziąć pod uwagę mogą mieć różny charakter począwszy od utraty kontroli nad danymi, poprzez szkody niemajątkowe a skończywszy na szkodach majątkowych związanych z kradzieżą tożsamości czy dyskryminacją. Do naruszenia praw i wolności osób fizycznych dojść może w wyniku nieprawidłowo wdrożonych procedur przetwarzania, w tym w fazie legalizacji, ale także nieprawidłowego zabezpieczenia przetwarzania danych osobowych, np. przed dostępem osób nieuprawnionych. Przyczyną naruszenia bezpieczeństwa przetwarzania może być zdarzenie losowe, jak i celowe działanie.

Co brać pod uwagę

Szacowanie ryzyka powinno zatem uwzględniać:
  • zidentyfikowanie ryzyka i potencjalnych skutków wystąpienia ryzyka,
  • analizę ryzyka – jego źródeł pochodzenia i kryteriów, które mają na nie wpływ,
  • ustalenie poziomu ryzyka i możliwości jego minimalizacji,
  • dobranie środków technicznych i organizacyjnych, które będą odpowiadały ustalonemu ryzyku.

Metody analityczne

Prawodawca unijny nie wskazuje jednak konkretnych metod analizy ryzyka, pozostawiając wybór podmiotom zobowiązanym, adekwatnie do ich konkretnej sytuacji. Podpowiedzi dotyczących wyboru metody analitycznej można natomiast poszukiwać w źródłach nienormatywnych np. w wytycznych Europejskiej Rady Ochrony Danych, opracowaniach polskiego organu nadzorczego, normach ISO przykładowo z rzędu 27001, 27005, 27701, czy 29134. W pewnym stopniu uogólniająco można stwierdzić, że metody analizy ryzyka można podzielić na trzy podstawowe typy: jakościowe, ilościowe i mieszane, których rozróżnienie bazuje przede wszystkim na stopniu szczegółowości i formalizmu oraz przypisywaniu atrybutów opisowych (metoda jakościowa) lub ilościowych (metoda ilościowa).

Rozliczalność, dokumentacja, narzędzia

Dokonując wyboru metody pamiętać należy o obowiązku administratora wynikającym z art. 5 ust. 2 RODO, zgodnie z którym jest on zobowiązany do udokumentowania i wykazania nie tylko przeprowadzonej analizy, ale także adekwatności wyboru metody analitycznej oraz prawidłowości wniosków. Na aspekt ten zwracał także uwagę prezes UODO w decyzji z dnia 10 września 2019 r., podkreślając konieczność udowodnienia przez administratora relacji pomiędzy wdrożonymi środkami a stwierdzonymi w trakcie analizy ryzykami, a zatem wykazania adekwatności środków do ryzyk.

W tym kontekście warto pamiętać, że analiza ryzyka nie jest czynnością jednorazową. Wykonywanie jej w sposób systematyczny i powtarzanie lub aktualizowanie wraz z każdą modyfikacją w procesie przetwarzania danych jest niezbędne. Także tak jest w przypadku zmiany stanu technicznego lub technologicznego wpływającego na pojawianie się zarówno nowych wydajniejszych i pewniejszych zabezpieczeń, ale i nowych zagrożeń.

Wybór metody

By sprostać obowiązkom w powyższym zakresie, kierując się zobiektywizowanymi kryteriami, a także pamiętając o wynikającej z zasady rozliczalności, konieczności udokumentowania wykonania nałożonych przez RODO obowiązków, podmioty zobowiązane muszą dokonać wyboru jednej z metod analizy ryzyka i wdrożyć jej stosowanie w sposób konsekwentny dla uzyskania porównywalnych i rozliczalnych wyników w całej organizacji.

W celu ułatwienia przeprowadzenia analizy, jej udokumentowania oraz wsparcia przy doborze adekwatnych środków technicznych i organizacyjnych, można sięgnąć do szeregu różnych rozwiązań eksperckich, jak i skorzystać z opracowanych aplikacji analitycznych. Przykładem może być aplikacja PIA (privacy impact assessment) opracowana przez francuski organ nadzorczy CNIL, czy też aplikacja ekspercka GDPR Risk Tracker oparta na dostosowanej normie ISO/IEC 29134.

Zdaniem autora

Podsumowując zatem, pamiętać należy, że to właśnie analiza ryzyka jest kluczem do prawidłowego wdrożenia RODO, podstawą zgodnego z wymogami wykonania wielu wynikających z tej regulacji obowiązków, np. uwzględnienia prywatności w fazie projektowania, czy prowadzenia odpowiedniej dokumentacji. Przede wszystkim jednak jest najpełniejszym wyrazem założeń regulacyjnych tj. neutralności technologicznej i podejścia opartego na ryzyku.

Artykuł ukazał się w dzienniku „Rzeczpospolita” w dniu 06-03-2020 r.