Podejście oparte na ryzyku
Jedną z kluczowych koncepcji Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [dalej: RODO] jest podejście oparte na ryzyku naruszenia praw lub wolności osób. Ryzyku, które z różnym prawdopodobieństwem i wagą zagrożeń, może prowadzić do uszczerbku fizycznego albo do szkód majątkowych lub niemajątkowych.
W szczególności przetwarzanie danych osobowych może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości. Skutkiem tych naruszeń może być m.in. strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Może to być również wszelka inna znaczna szkoda, zarówno gospodarcza jak i społeczna. Naruszenie danych osobowych może prowadzić też do sytuacji, w której.osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi.
Stąd tak ważna jest w ochronie danych osobowych ocena ryzyka.
Szacowanie ryzyka
W związku z tym jeden z motywów RODO mówi, iż w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z zapisami Rozporządzenia administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki minimalizujące to ryzyko.
Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. RODO nie narzuca więc określonych środków ani procedur w zakresie ochrony, pozostawiając ich wybór administratorom i podmiotom przetwarzającym. Oceniając ryzyko w zakresie bezpieczeństwa danych, administrator lub podmiot przetwarzający powinien wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych. Chodzi m.in. o przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Takie rozwiązanie, poparte analizą i weryfikacją zagrożeń oraz oceną ich wagi, umożliwia koncentrację środków (w tym organizacyjnych, finansowych itd.) na czynnościach przetwarzania związanych z najwyższym ryzykiem. Powoduje to, że ocena ryzyka naruszenia danych osobowych nabiera szczególnego znaczenia w działalności przedsiębiorstwa.
Właściwa ocena ryzyka i stosowanie adekwatnych środków ochrony
Dość intuicyjnie można stwierdzić, iż inne środki ochrony będziemy stosowali w przypadku posiadania bazy danych klientów sklepu internetowego, zawierającej historię zakupów, adresów oraz przelewów, a inne – w przypadku prowadzenia niewielkiej działalności usługowej w postaci punktu stacjonarnego, gdzie większość danych znajduje się w szafie w formie papierowej. Podsumowując, należy stwierdzić, iż podejście oparte na ryzyku zobowiązuje do dostosowania środków ochrony przetwarzania danych osobowych do skali ryzyka.
Podejście oparte na ryzyku zapewnia identyfikację, ocenę oraz odpowiednie postępowanie z zagrożeniami podczas wszystkich etapów przetwarzania danych osobowych. Skutkiem prawidłowego zarządzania zidentyfikowanymi zagrożeniami powinno być prawidłowe zabezpieczenie przetwarzania danych osobowych poprzez zapewnienie adekwatnych środków bezpieczeństwa. Środki te powinny uwzględniać zarówno zdefiniowane ryzyko naruszenia praw i wolności osób, których dane dotyczą. Ważne są też możliwości organizacyjne oraz koszty ich wdrożenia w danej organizacji.
Ocena ryzyka – jak przeprowadzić ją prawidłowo?
Przedmiotem analizy ryzyka z jednej strony są aktywa jakimi dysponuje organizacja (budynki, pomieszczenia, ich dostępność dla osób trzecich, serwery itd.), a z drugiej czynności przetwarzania (operacje na danych osobowych).
Oceniając zasoby należy uwzględnić możliwe zagrożenia oraz podatność, czyli słabe punkty mogące powodować naruszenia bezpieczeństwa (słabe punkty).
Korelację pomiędzy zagrożeniem a podatnością prezentuje poniższy przykład:
Zagrożenie | Podatność |
Nieuprawniony wstęp do budynku, w którym przetwarzane są dane osobowe | Brak ewidencji osób wchodzących do budynku |
Brak ewidencji osób pobierających i zdających klucze do poszczególnych pomieszczeń | |
Brak ochrony fizycznej i/lub technicznej obiektu | |
Niesprawne zabezpieczenia przeciwpożarowe | |
Włamanie do lokalnej sieci komputerowej | Brak ochrony linii teleinformatycznych |
Brak firewall (zapory sieciowej) | |
Brak procedury wymagającej stosowania silnych haseł i wymuszającej ich okresową zmianę | |
Brak stosowania i aktualizowania programów antywirusowych |
Prawdopodobieństwo i wielkość ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określać przez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej i rzeczowej analizy, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.
Brak jednego prawidłowego wzoru postępowania
Nie ma jednej, określonej przepisami, metody szacowania ryzyka, w związku z tym możemy je oceniać na sposób ilościowy i jakościowy. Najprostszą metodą szacowania ryzyka w ogóle, stosowaną również w m.in. w ocenie ryzyka zawodowego, jak również bezpieczeństwa infrastruktury jest określenie wpływu danego zagrożenia poprzez odzwierciedlenie relacji między prawdopodobieństwem danego zdarzenia a skutkami, jakie może wywołać dla ochrony danych.
Prawdopodobieństwo:
Skutek: |
Mało prawdopodobne |
Możliwe | Prawie pewne |
Znikomy | Ryzyko małe | Ryzyko małe | Ryzyko średnie |
Średni | Ryzyko małe | Ryzyko średnie | Ryzyko duże |
Krytyczny | Ryzyko średnie | Ryzyko duże | Ryzyko duże |
Jest to oczywiście tylko przykładowy sposób określania ryzyka naruszenia ochrony danych. Równie często stosowana jest skala pięciostopniowa, bądź ocena biorąca pod uwagę więcej czynników mających wpływ na wynik.
W praktyce dokument zawierający przeprowadzoną analizę ryzyka powinien zawierać:
- opis przyjętej metody analizy ryzyka, w szczególności skalę ryzyka i matrycę jego oceny;
- kryteria akceptacji ryzyka;
- źródła danych i uzyskanych podczas identyfikacji zagrożeń informacji;
- analizę ryzyka;
- zalecenia i wnioski z przeprowadzonej analizy.
Określając ryzyko naruszenia ochrony danych musimy również brać pod uwagę sposób postępowania ze zdiagnozowanym wpływem zagrożeń na proces przetwarzania.
Przykład oceny ryzyka naruszenia ochrony danych:
Lp. | Czynność przetwarzania | Podatność zasobów | Wpływ | Prawdopodobieństwo | Wynik oceny ryzyka |
1. | Wystawianie faktur | Średnia | Odwracalne naruszenia | Mało prawdopodobne | Ryzyko średnie |
2. | Prowadzenie ewidencji pracowników | Średnia | Krytyczny | Możliwe | Ryzyko duże |
Taka ocena ryzyka skutkuje koniecznością podjęcia działań zapobiegawczych w stosunku do wszystkich czynności przetwarzania. Ryzyko ocenione jako duże wymaga podjęcia działań niezwłocznie, jest to również podstawa do wdrożenia rozwiązań wymagających wysokich nakładów finansowych. Ryzyko ocenione jako średnie również wymaga wdrożenia przynajmniej podstawowych działań zapobiegawczych, jednakże.mogą to być działania wprowadzane stopniowo, w miarę możliwości organizacyjnych i ekonomicznych organizacji. Ryzyko to jest akceptowalne, jeżeli środki zapobiegawcze okazałyby się wysoce kosztowne, przekraczające możliwości finansowe organizacji.
Artykuł 24 RODO nakłada obowiązek wdrożenia środków technicznych i organizacyjnych w zakresie ochrony danych, które będą uwzględniały.wszystkie czynniki mające wpływ na bezpieczeństwo przetwarzanych danych, a więc ich charakter, zakres, kontekst i cele przetwarzania jak również ryzyko naruszenia praw i wolności osób, których dane są przetwarzane. Środki te powinny uwzględniać różne prawdopodobieństwo i wagę każdego zidentyfikowanego zagrożenia, aby przetwarzanie odbywało się zgodnie z przepisami.
Konsekwencje jakie niesie ze sobą ocena ryzyka
Ryzyko możemy albo zaakceptować, jeżeli zostało ocenione jako małe lub niskie. Możemy ubezpieczyć się od skutków wywołanych materializacją ryzyka lub delegować ryzyko poprzez np. przekazanie niektórych realizowanych procesów podmiotom zewnętrznym (outsourcing), dbając oczywiście o odpowiednie zapisy w umowach dotyczących mitygacji skutków naruszenia ochrony danych. Kolejnym sposobem radzenia sobie z ryzykiem jest jego redukcja. Zredukować możemy słabe punkty naszych zasobów (zmniejszenie podatności), co będzie skutkowało mniejszym prawdopodobieństwem wystąpienia danego zdarzenia lub, co zdecydowanie trudniejsze, poprzez ograniczenie lub zupełną eliminację czynności mogących skutkować naruszeniem bezpieczeństwa przetwarzania danych.
Przepisy RODO nie wskazują wymaganych w konkretnym przypadku środków czy rozwiązań, które należy zastosować w celu minimalizacji ryzyka naruszenia ochrony praw i wolności osób, których dane są przetwarzane. Dlatego też należycie przeprowadzona ocena ryzyka jest tak istotna z punktu widzenia prowadzonej działalności gospodarczej. Tylko bowiem właściwa analiza zagrożeń pozwoli podjąć odpowiednie kroki, aby im zapobiec.
Ocena skutków dla ochrony danych (DPIA)
Gdy operacje przetwarzania danych mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek oceny skutków dla ochrony danych (DPIA – Data Protection Impact Assessment). Ma to na celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki tej analizy należy oczywiście uwzględnić przy określaniu środków stosowanych.dla zabezpieczenia procesu przetwarzania danych by móc wykazać, że przetwarzanie odbywa się zgodnie z RODO. W praktyce analiza ryzyka wszystkich czynności przetwarzania danych w organizacji wskazuje nam, które czynności wiążą się z wysokim (dużym) ryzykiem naruszenia praw lub wolności osób fizycznych. Dla takich czynności właśnie należy przeprowadzić pogłębioną analizę ryzyka, czyli określoną w artykule 35 RODO ocenę skutków dla ochrony danych.
O istotności oceny ryzyka i następującej po niej oceny skutków przekonywała Prezes Urzędu Ochrony Danych, dr Edyta Bielak-Jomaa.
Należy przy tym zaznaczyć, że analizę taką należy przeprowadzić przed wdrożeniem RODO w swoim przedsiębiorstwie, ale zalecane jest również częstsze prowadzenie tego typu działań celem stałego monitorowania poziomu zabezpieczeń. Pomagamy w tym naszym Klientom świadcząc dla Nich m.in. usługę wsparcia Inspektora Ochrony Danych.