Ryzyko w przetwarzaniu danych – DPIA w RODO

Ogólnie znane jako RODO rozporządzenie Parlamentu Europejskiego ws. ochrony danych osobowych, obowiązuje już prawie 5 miesięcy. Boom na szkolenia, certyfikaty i ‘szafy RODO’ jakby zmalał. Może dlatego, że ‘winter is coming’, a może dlatego, że nie jest to już ‘medialny’ temat. Nie medialny, jednak wciąż aktualny temat, to analiza ryzyka – jedna z większych zmian jaka weszła z RODO.

Ryzyko – definicja

Przepisy rozporządzenia nakładają na administratorów obowiązek wdrożenia odpowiednich środków zapewniających przestrzeganie zapisów RODO oraz możliwość wykazania tych przepisów, uwzględniając przy tym m.in. „ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia” (art. 24 ust. 1). Ale czym tak naprawdę jest ryzyko w rozumieniu RODO? W art 29. Grupy Roboczej możemy przeczytać, że:

„Ryzyko” jest scenariuszem opisującym zdarzenie i jego konsekwencje, oszacowanym pod względem powagi i prawdopodobieństwa ryzyka.”

„Zarządzanie ryzykiem” można natomiast zdefiniować jako skoordynowane działania mające na celu kierowanie organizacją i kontrolowanie organizacji pod względem ryzyka. “

Analiza ryzyka ws RODO

W zapisach ogólnego rozporządzenia o ochronie danych (RODO) nie znajdziemy informacji o narzuconej przez prawo metodyce przeprowadzania procesu zarządzania ryzykiem.  Administrator musi samodzielnie dobrać metodę, która odpowiadać będzie specyfice danego podmiotu uwzględniając przy tym zakres, cel i rodzaj przetwarzanych danych. Dodatkowo ADO musi mieć na względzie wielkość, strukturę, a także możliwości organizacyjne, techniczne i finansowe, pamiętając przy tym, że ocena ryzyka, jaką otrzyma przy zastosowaniu wybranej metody, powinna dać rzetelne i obiektywne informacje.

Należy pamiętać, że analiza ryzyka jest jednym z elementów narzuconej przez RODO oceny skutków dla ochrony danych (ang. Data Protection Assessments Impact, DPIA). Grupa Robocza, art 29, definiuje DPIA jako:

“Ocena skutków dla ochrony danych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. “

Ponadto w artykule 29 możemy znaleźć informację, że DPIA są ważnym narzędziem ze względów rozliczalności. Procedury mają na celu pomóc administratorom w przestrzeganiu zapisów rozporządzenia, jak również wykazać, że podjęto odpowiednie środki w celu zapewnienia przestrzegania zapisów RODO. Podsumowując “ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności.” Jak zatem wybrać metodę, która spełni takie wymagania?

Jak dobrać metodę oceny ryzyka?

Istnieje wiele różnorodnych metod szacowania ryzyka, które najogólniej dzieli się na metody ilościowe i jakościowe. Jak już wspomniano, RODO nie wskazuje na jedną, konkretną metodę. Skąd zatem czerpać inspirację w celu dobrania odpowiedniej dla organizacji metody? Jak wskazuje UODO (obecnie PUODO) inspiracje można czerpać m.in w normach ISO/IEC, dokumencie PIA Methodology CNIL June 2015, czy dokumentach ISACA. Wymienione dokumenty powstały przed RODO (poza normą ISO/IEC 29134 Information technology Security techniques Guidelines for privacy impact assessment), niemniej powstawały na gruncie wieloletnich doświadczeń i najlepszych praktyk.

Ważne jest zatem, aby wybrana metoda umożliwiała rzetelną i obiektywną ocenę. Obecnie na rynku istnieją rozwiązania, w tym organizacyjne i techniczne, oparte na dobrych praktykach związanych z ochroną i przetwarzaniem danych. Administratorzy coraz chętniej sięgają po nie, mając na uwadze dobro organizacji oraz postęp systemów informatycznych.

Powiązane artykuły