LexDigital

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Wejście w życie Rozporządzeni Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 27 kwietnia 2016 r. tzw. ogólnego rozporządzenia o ochronie danych (RODO) wprowadziło nie tylko zmiany dotyczące zasad przetwarzania danych osobowych, ale również nowy sposób podejścia do systemowego zapewnienia bezpieczeństwa danych osobowych u podstaw którego znajduje się proces szacowania ryzyka. Artykuł 32 RODO wprowadza wymóg stosowania procesu szacowania ryzyka w przypadku wdrażania organizacyjnych oraz technicznych środków bezpieczeństwa przetwarzania danych. Jednoczenie zgodnie z art. 35 w przypadku, gdy dane są przetwarzane w szczególności z wykorzystaniem nowych technologii, co może powodować wysokie ryzyko naruszenia praw lub wolności osób, konieczne jest przeprowadzanie oraz udokumentowanie oceny skutków dla ochrony danych OSOD (ang. DPIA - Data Protection Impact Asessment).

analiza ryzyka, zarządzanie ryzykiem, bezpieczeństwo informacji

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Patrząc całościowo na obszar regulowany przez RODO można łatwo zauważyć, że nadrzędnym celem wprowadzenia rozporządzenia RODO jest ochrona praw i wolności osób przed zagrożeniami związanymi z przetwarzaniem danych osobowych rozumiana jako szacowanie ryzyka naruszenia praw i wolności osób w tym poufności, integralności oraz dostępności danych. Uwzględniając takie podejście można wnioskować, że propagowane przez RODO podejście oparte na ryzyku (ang. risk-based approach) jest jedynym słusznym rozwiązaniem.

Podejście takie jest już od dawna znane w obszarach biznesowych w których często zarządzanie ryzykiem stanowi integralny lub w wielu przypadkach podstawowy element zarządzania organizacjami znany jako ERM (ang. Enterprise Risk Management).

Zgodnie z RODO podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności wytycznymi rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania mające na celu zapewnienie bezpieczeństwa danych osobowych są adekwatne do poziomu ryzyka jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. 

W niniejszym artykule postaramy się przybliżyć temat stosowania procesu zarządzania ryzykiem zgodnie z RODO oraz wyjaśnić w jaki sposób zrealizować ten proces we własnej organizacji.

Definicja ryzyka

Zgodnie ze standardem IIA (The Institute of Internal Auditors) ryzyko definiowane jest jako możliwość wystąpienia zdarzenia, które ma wpływ na cele danej organizacji. Rozporządzenie RODO nie definiuje w jednoznaczny sposób jak należy rozumieć ryzyko, ale w zamian oferuje szeroki zbiór wytycznych mówiących o tym co może stanowić zagrożenie dla naruszenia praw oraz wolności osób.  

Analiza ryzyka zgodna z RODO

RODO nie definiuje jednoznacznie metody analizy ryzyka jaką należy zastosować w celu zachowania zgodności co oznacza, że mamy dowolność w zakresie wyboru metodologii, która w najbardziej optymalny sposób odpowiada specyfice naszej organizacji. Możemy zatem wykorzystywać metodologie własne pod warunkiem, że będziemy w stanie wykazać, że przyjęta metodologia zapewnia rzetelną ocenę i analizę ryzyka. Takie podejście otwiera duże pole manewru co do wyboru najskuteczniejszej metody. Daje to również możliwość dopasowania poziomu złożoności procesu do wielkości organizacji. W większości wypadków zalecane jest zastosowanie metodologii zarządzania ryzykiem opartej o sprawdzone standardy w tym zakresie. Zalicza się do nich np. COSO Enterprise Risk Management ( Committee of Sponsoring Organizaions of Treadway Commission ) lub ISO31000:2018 Risk Management, które z pewnością w zaspokoją potrzeby każdej organizacji. Jako element uzupełniający proces zarządzania ryzykiem w zakresie bezpieczeństwa informacji można wykorzystać standard PN-EN ISO/IEC 27001 definiujący system bezpieczeństwa informacji, który w znacznym stopniu ułatwia zarządzanie ryzykiem w procesach związanych z przetwarzaniem danych osobowych. 

Poziom zaawansowania i skomplikowania procesu zarządzanie ryzykiem będzie całkowicie odmienny w dużych oraz w małych, średnich czy mikro firmach. Szacowanie ryzyka zgodne z RODO w mikro firmie będzie miało z pewnością odmienną i uproszczoną formę co wcale nie oznacza, że mniej skuteczną. Dobrowolność przy wyborze metodologii jest jedną z zalet elastycznego podejścia do szacowania ryzyka w ochronie danych osobowych stosowanego przez ustawodawcę. 

Kontekst oraz zakres przetwarzania danych

Podstawową czynnością, którą należy wykonać jest określenie kontekstu oraz aktywów wykorzystywanych do przetwarzania danych osobowych w firmie. Kontekst powinien definiować elementy związane ze środowiskiem prawnym, geograficznym, politycznym oraz społecznym w jakim funkcjonuje firma i przetwarzane są dane osobowe. Dokładne określenie takich elementów jak lokalne lub branżowe regulacje prawne do przestrzegania których jesteśmy zobligowani, zakresu terytorialnego przetwarzania danych (EOG lub poza EOG) oraz inwentaryzacja aktywów jest kluczowe dla dokładności oraz skuteczności procesu szacowania ryzykiem, a tym samych efektywnej ochrony naszej firmy oraz danych osobowych, które przetwarzamy.

Identyfikacja procesów oraz zasobów

Jest to jeden z kluczowych, jeżeli nie najważniejszy etap w procesie szacowania ryzyka. Polega on na identyfikacji oraz inwentaryzacji elementów środowiska związanego z przetwarzaniem danych osobowych. Przeprowadzenie inwentaryzacji można rozpocząć od opisania procesów występujących w firmie. Bardzo skuteczną metodą w tym zakresie jest opisanie procesów w postaci graficznej tzw. diagramów przepływu danych (and. Data Flow Diagrams). Takie podejście pozwala bardzo dokładnie zweryfikować komplementarność procesów przetwarzania, które posiadamy. Diagramy przepływów stanowią również dobrą podstawę do wykonania inwentaryzacji pozostałych elementów środowiska związanego z przetwarzaniem danych do których możemy zaliczyć wykazy osób biorących udział w procesie przetwarzania, źródła pozyskiwania danych (zewnętrzne i wewnętrzne), kategorie osób i podmiotów od których dane są pozyskiwane, systemy IT służące do przetwarzania danych, monitoring wizyjny, środki elektronicznej transmisji danych, wykaz zbiorów papierowych, budynków, pomieszczeń, przypadki powierzania lub przekazywania danych wewnątrz lub na zewnątrz organizacji. 

Identyfikacja zagrożeń

Posiadając dokładną inwentaryzację możemy przejść do identyfikacji zagrożeń. Zagrożenia związane z przetwarzaniem danych osobowych możemy podzielić na dwie główne grup. Pierwszą z nich są zagrożenia dla naruszenia praw do wolności oraz prywatności osób opisane w rozporządzeniu RODO związane np. z profilowaniem danych, realizacją praw do usunięcia, przenoszeniem lub wycofaniem zgody na przetwarzanie,   spełnieniem obowiązku informacyjnego czy realizacją monitoringu wizyjnego.

Drugi obszar obejmuje ryzyka w odniesieniu do bezpieczeństwa i przetwarzania informacji, które można zdefiniować w oparciu o normie PN-EN ISO/IEC 27001. W tym obszarze znajdują się ryzyka związane z poufnością, integralnością oraz dostępnością przetwarzanych danych niezależnie od tego czy przetwarzane są w postaci elektronicznej, papierowe czy przekazywane ustnie. Przykładami zagrożeń w tym obszarze są ujawnienie danych przez partnera biznesowego, ujawnienie danych na niezaszyfrowanych nośnikach, włamanie do systemu IT, atak zakłócający dostępność systemu oraz danych DDoS, utrata danych w wyniku awarii sprzętu.

Ocena ryzyka

Ocena poziomu ryzyka RODO może zostać wyrażona w sposób ilościowy, jakościowy lub mieszany w zależności od specyfiki danej organizacji. Najczęściej stosowaną jest metoda jakościowa w której prawdopodobieństwo oraz wpływ definiowany są w sposób opisowy przyjmując wartości np. niski, średni, wysoki. Zaletą takiego podejścia jest łatwość zrozumienia chociaż nie jest ono tak dokładne jak podejściom ilościowe. Najczęściej ryzyko opisuje się za pomocą wzoru:

(R) = (P) * (W) 

gdzie (R) oznacza poziom ryzyka, (P) to prawdopodobieństwo wystąpienia, (W) określa negatywny wpływ na cele, które w przypadku RODO związane są z ochroną praw oraz wolności osób, których dane dotyczą oraz środków i środowisk, w których dane są przetwarzane. Wartości służące do oceny prawdopodobieństwa (P) oraz wpływu (W) możem określić w skali trzy stopniowej np. 1 - niskie; 2 – średnie; 3 – wysokie. Taki sposób oceny jest tylko przykładem i w zależności od organizacji stosuje się również modele rozszerzone uwzględniające w ocenie dodatkowe czynniki takie jak straty finansowe, wizerunkowe czy oddzielną ocenę skutków dla poufności, integralności lub dostępności.

Postępowanie z ryzykiem

Na podstawie wyników oceny ryzyka podejmujemy decyzję, o działaniach które możemy zastosować w celu odpowiedzi na ryzyko. Przykładem może być podejście opisane w normie PN-EN ISO/IEC 27001 definiujące 4 sposoby reagowania na ryzyko: 

1.    Obniżenie ryzyka – wprowadzenie działań mających na celu obniżenie ryzyka do poziomu akceptowalnego. Do obniżenia poziomu ryzyka możemy wykorzystać następujące mechanizmy: organizacyjne (polityki, procedury, umowy); personalne (weryfikacja uprawnień, umowy o zachowaniu poufności); techniczne (system antywirusowe, firewall); fizyczne (systemy alarmowe, monitoring wizyjny).

2.    Akceptacja ryzyka – podjęcie świadomej decyzji akceptacji zaistniałego poziomu ryzyka.

3.    Unikanie ryzyka: wyeliminowanie ryzyka poprzez zaprzestanie realizacji działań, które to ryzyko generują.

4.    Przeniesienie/podział ryzyka – polega np. na wykupieniu ubezpieczenia i ograniczenia w ten sposób skutków wystąpienia danego zdarzenia.

Bardzo ważne jest, że w przypadku wystąpienia wysokiego ryzyka, które z jakiegokolwiek powodu nie może zostać zminimalizowane np. z przyczyn technicznych lub braku opłacalności wdrożenia mechanizmów obniżających ryzyko, wtedy przed rozpoczęciem przetwarzania danych administrator danych ma obowiązek skontaktować się i skonsultować ten fakt z o organem nadzorczym RODO. 

Poszukujesz wsparcia w procesach związanych z RODO?

Odezwij się do nas.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk