Ogólnie znane jako RODO rozporządzenie Parlamentu Europejskiego ws. ochrony danych osobowych, obowiązuje już prawie 5 miesięcy. Boom na szkolenia, certyfikaty i ‘szafy RODO’ jakby zmalał. Może dlatego, że ‘winter is coming’, a może dlatego, że nie jest to już ‘medialny’ temat. Nie medialny, jednak wciąż aktualny temat, to analiza ryzyka – jedna z większych zmian jaka weszła z RODO.
Ryzyko – definicja
Przepisy rozporządzenia nakładają na administratorów obowiązek wdrożenia odpowiednich środków zapewniających przestrzeganie zapisów RODO oraz możliwość wykazania tych przepisów, uwzględniając przy tym m.in. „ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia” (art. 24 ust. 1). Ale czym tak naprawdę jest ryzyko w rozumieniu RODO? W art 29. Grupy Roboczej możemy przeczytać, że:
„Ryzyko” jest scenariuszem opisującym zdarzenie i jego konsekwencje, oszacowanym pod względem powagi i prawdopodobieństwa ryzyka.”
„Zarządzanie ryzykiem” można natomiast zdefiniować jako skoordynowane działania mające na celu kierowanie organizacją i kontrolowanie organizacji pod względem ryzyka. “
Analiza ryzyka ws RODO
W zapisach ogólnego rozporządzenia o ochronie danych (RODO) nie znajdziemy informacji o narzuconej przez prawo metodyce przeprowadzania procesu zarządzania ryzykiem. Administrator musi samodzielnie dobrać metodę, która odpowiadać będzie specyfice danego podmiotu uwzględniając przy tym zakres, cel i rodzaj przetwarzanych danych. Dodatkowo ADO musi mieć na względzie wielkość, strukturę, a także możliwości organizacyjne, techniczne i finansowe, pamiętając przy tym, że ocena ryzyka, jaką otrzyma przy zastosowaniu wybranej metody, powinna dać rzetelne i obiektywne informacje.
Należy pamiętać, że analiza ryzyka jest jednym z elementów narzuconej przez RODO oceny skutków dla ochrony danych (ang. Data Protection Assessments Impact, DPIA). Grupa Robocza, art 29, definiuje DPIA jako:
“Ocena skutków dla ochrony danych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. “
Ponadto w artykule 29 możemy znaleźć informację, że DPIA są ważnym narzędziem ze względów rozliczalności. Procedury mają na celu pomóc administratorom w przestrzeganiu zapisów rozporządzenia, jak również wykazać, że podjęto odpowiednie środki w celu zapewnienia przestrzegania zapisów RODO. Podsumowując “ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności.” Jak zatem wybrać metodę, która spełni takie wymagania?
Jak dobrać metodę oceny ryzyka?
Istnieje wiele różnorodnych metod szacowania ryzyka, które najogólniej dzieli się na metody ilościowe i jakościowe. Jak już wspomniano, RODO nie wskazuje na jedną, konkretną metodę. Skąd zatem czerpać inspirację w celu dobrania odpowiedniej dla organizacji metody? Jak wskazuje UODO (obecnie PUODO) inspiracje można czerpać m.in w normach ISO/IEC, dokumencie PIA Methodology CNIL June 2015, czy dokumentach ISACA. Wymienione dokumenty powstały przed RODO (poza normą ISO/IEC 29134 Information technology Security techniques Guidelines for privacy impact assessment), niemniej powstawały na gruncie wieloletnich doświadczeń i najlepszych praktyk.
Ważne jest zatem, aby wybrana metoda umożliwiała rzetelną i obiektywną ocenę. Obecnie na rynku istnieją rozwiązania, w tym organizacyjne i techniczne, oparte na dobrych praktykach związanych z ochroną i przetwarzaniem danych. Administratorzy coraz chętniej sięgają po nie, mając na uwadze dobro organizacji oraz postęp systemów informatycznych.