LexDigital

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Wejście w życie Rozporządzeni Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 27 kwietnia 2016 r. tzw. ogólnego rozporządzenia o ochronie danych (RODO) wprowadziło nie tylko zmiany dotyczące zasad przetwarzania danych osobowych, ale również nowy sposób podejścia do systemowego zapewnienia bezpieczeństwa danych osobowych u podstaw którego znajduje się proces szacowania ryzyka. Artykuł 32 RODO wprowadza wymóg stosowania procesu szacowania ryzyka w przypadku wdrażania organizacyjnych oraz technicznych środków bezpieczeństwa przetwarzania danych. Jednoczenie zgodnie z art. 35 w przypadku, gdy dane są przetwarzane w szczególności z wykorzystaniem nowych technologii, co może powodować wysokie ryzyko naruszenia praw lub wolności osób, konieczne jest przeprowadzanie oraz udokumentowanie oceny skutków dla ochrony danych OSOD (ang. DPIA - Data Protection Impact Asessment).

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Patrząc całościowo na obszar regulowany przez RODO można łatwo zauważyć, że nadrzędnym celem wprowadzenia rozporządzenia RODO jest ochrona praw i wolności osób przed zagrożeniami związanymi z przetwarzaniem danych osobowych rozumiana jako szacowanie ryzyka naruszenia praw i wolności osób w tym poufności, integralności oraz dostępności danych. Uwzględniając takie podejście można wnioskować, że propagowane przez RODO podejście oparte na ryzyku (ang. risk-based approach) jest jedynym słusznym rozwiązaniem.

Podejście takie jest już od dawna znane w obszarach biznesowych w których często zarządzanie ryzykiem stanowi integralny lub w wielu przypadkach podstawowy element zarządzania organizacjami znany jako ERM (ang. Enterprise Risk Management).

Zgodnie z RODO podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności wytycznymi rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania mające na celu zapewnienie bezpieczeństwa danych osobowych są adekwatne do poziomu ryzyka jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. 

W niniejszym artykule postaramy się przybliżyć temat stosowania procesu zarządzania ryzykiem zgodnie z RODO oraz wyjaśnić w jaki sposób zrealizować ten proces we własnej organizacji.

Definicja ryzyka

Zgodnie ze standardem IIA (The Institute of Internal Auditors) ryzyko definiowane jest jako możliwość wystąpienia zdarzenia, które ma wpływ na cele danej organizacji. Rozporządzenie RODO nie definiuje w jednoznaczny sposób jak należy rozumieć ryzyko, ale w zamian oferuje szeroki zbiór wytycznych mówiących o tym co może stanowić zagrożenie dla naruszenia praw oraz wolności osób.  

Analiza ryzyka zgodna z RODO

RODO nie definiuje jednoznacznie metody analizy ryzyka jaką należy zastosować w celu zachowania zgodności co oznacza, że mamy dowolność w zakresie wyboru metodologii, która w najbardziej optymalny sposób odpowiada specyfice naszej organizacji. Możemy zatem wykorzystywać metodologie własne pod warunkiem, że będziemy w stanie wykazać, że przyjęta metodologia zapewnia rzetelną ocenę i analizę ryzyka. Takie podejście otwiera duże pole manewru co do wyboru najskuteczniejszej metody. Daje to również możliwość dopasowania poziomu złożoności procesu do wielkości organizacji. W większości wypadków zalecane jest zastosowanie metodologii zarządzania ryzykiem opartej o sprawdzone standardy w tym zakresie. Zalicza się do nich np. COSO Enterprise Risk Management ( Committee of Sponsoring Organizaions of Treadway Commission ) lub ISO31000:2018 Risk Management, które z pewnością w zaspokoją potrzeby każdej organizacji. Jako element uzupełniający proces zarządzania ryzykiem w zakresie bezpieczeństwa informacji można wykorzystać standard PN-EN ISO/IEC 27001 definiujący system bezpieczeństwa informacji, który w znacznym stopniu ułatwia zarządzanie ryzykiem w procesach związanych z przetwarzaniem danych osobowych. 

Poziom zaawansowania i skomplikowania procesu zarządzanie ryzykiem będzie całkowicie odmienny w dużych oraz w małych, średnich czy mikro firmach. Szacowanie ryzyka zgodne z RODO w mikro firmie będzie miało z pewnością odmienną i uproszczoną formę co wcale nie oznacza, że mniej skuteczną. Dobrowolność przy wyborze metodologii jest jedną z zalet elastycznego podejścia do szacowania ryzyka w ochronie danych osobowych stosowanego przez ustawodawcę. 

Kontekst oraz zakres przetwarzania danych

Podstawową czynnością, którą należy wykonać jest określenie kontekstu oraz aktywów wykorzystywanych do przetwarzania danych osobowych w firmie. Kontekst powinien definiować elementy związane ze środowiskiem prawnym, geograficznym, politycznym oraz społecznym w jakim funkcjonuje firma i przetwarzane są dane osobowe. Dokładne określenie takich elementów jak lokalne lub branżowe regulacje prawne do przestrzegania których jesteśmy zobligowani, zakresu terytorialnego przetwarzania danych (EOG lub poza EOG) oraz inwentaryzacja aktywów jest kluczowe dla dokładności oraz skuteczności procesu szacowania ryzykiem, a tym samych efektywnej ochrony naszej firmy oraz danych osobowych, które przetwarzamy.

Identyfikacja procesów oraz zasobów

Jest to jeden z kluczowych, jeżeli nie najważniejszy etap w procesie szacowania ryzyka. Polega on na identyfikacji oraz inwentaryzacji elementów środowiska związanego z przetwarzaniem danych osobowych. Przeprowadzenie inwentaryzacji można rozpocząć od opisania procesów występujących w firmie. Bardzo skuteczną metodą w tym zakresie jest opisanie procesów w postaci graficznej tzw. diagramów przepływu danych (and. Data Flow Diagrams). Takie podejście pozwala bardzo dokładnie zweryfikować komplementarność procesów przetwarzania, które posiadamy. Diagramy przepływów stanowią również dobrą podstawę do wykonania inwentaryzacji pozostałych elementów środowiska związanego z przetwarzaniem danych do których możemy zaliczyć wykazy osób biorących udział w procesie przetwarzania, źródła pozyskiwania danych (zewnętrzne i wewnętrzne), kategorie osób i podmiotów od których dane są pozyskiwane, systemy IT służące do przetwarzania danych, monitoring wizyjny, środki elektronicznej transmisji danych, wykaz zbiorów papierowych, budynków, pomieszczeń, przypadki powierzania lub przekazywania danych wewnątrz lub na zewnątrz organizacji. 

Identyfikacja zagrożeń

Posiadając dokładną inwentaryzację możemy przejść do identyfikacji zagrożeń. Zagrożenia związane z przetwarzaniem danych osobowych możemy podzielić na dwie główne grup. Pierwszą z nich są zagrożenia dla naruszenia praw do wolności oraz prywatności osób opisane w rozporządzeniu RODO związane np. z profilowaniem danych, realizacją praw do usunięcia, przenoszeniem lub wycofaniem zgody na przetwarzanie,   spełnieniem obowiązku informacyjnego czy realizacją monitoringu wizyjnego.

Drugi obszar obejmuje ryzyka w odniesieniu do bezpieczeństwa i przetwarzania informacji, które można zdefiniować w oparciu o normie PN-EN ISO/IEC 27001. W tym obszarze znajdują się ryzyka związane z poufnością, integralnością oraz dostępnością przetwarzanych danych niezależnie od tego czy przetwarzane są w postaci elektronicznej, papierowe czy przekazywane ustnie. Przykładami zagrożeń w tym obszarze są ujawnienie danych przez partnera biznesowego, ujawnienie danych na niezaszyfrowanych nośnikach, włamanie do systemu IT, atak zakłócający dostępność systemu oraz danych DDoS, utrata danych w wyniku awarii sprzętu.

Ocena ryzyka

Ocena poziomu ryzyka RODO może zostać wyrażona w sposób ilościowy, jakościowy lub mieszany w zależności od specyfiki danej organizacji. Najczęściej stosowaną jest metoda jakościowa w której prawdopodobieństwo oraz wpływ definiowany są w sposób opisowy przyjmując wartości np. niski, średni, wysoki. Zaletą takiego podejścia jest łatwość zrozumienia chociaż nie jest ono tak dokładne jak podejściom ilościowe. Najczęściej ryzyko opisuje się za pomocą wzoru:

(R) = (P) * (W) 

gdzie (R) oznacza poziom ryzyka, (P) to prawdopodobieństwo wystąpienia, (W) określa negatywny wpływ na cele, które w przypadku RODO związane są z ochroną praw oraz wolności osób, których dane dotyczą oraz środków i środowisk, w których dane są przetwarzane. Wartości służące do oceny prawdopodobieństwa (P) oraz wpływu (W) możem określić w skali trzy stopniowej np. 1 - niskie; 2 – średnie; 3 – wysokie. Taki sposób oceny jest tylko przykładem i w zależności od organizacji stosuje się również modele rozszerzone uwzględniające w ocenie dodatkowe czynniki takie jak straty finansowe, wizerunkowe czy oddzielną ocenę skutków dla poufności, integralności lub dostępności.

Postępowanie z ryzykiem

Na podstawie wyników oceny ryzyka podejmujemy decyzję, o działaniach które możemy zastosować w celu odpowiedzi na ryzyko. Przykładem może być podejście opisane w normie PN-EN ISO/IEC 27001 definiujące 4 sposoby reagowania na ryzyko: 

1.    Obniżenie ryzyka – wprowadzenie działań mających na celu obniżenie ryzyka do poziomu akceptowalnego. Do obniżenia poziomu ryzyka możemy wykorzystać następujące mechanizmy: organizacyjne (polityki, procedury, umowy); personalne (weryfikacja uprawnień, umowy o zachowaniu poufności); techniczne (system antywirusowe, firewall); fizyczne (systemy alarmowe, monitoring wizyjny).

2.    Akceptacja ryzyka – podjęcie świadomej decyzji akceptacji zaistniałego poziomu ryzyka.

3.    Unikanie ryzyka: wyeliminowanie ryzyka poprzez zaprzestanie realizacji działań, które to ryzyko generują.

4.    Przeniesienie/podział ryzyka – polega np. na wykupieniu ubezpieczenia i ograniczenia w ten sposób skutków wystąpienia danego zdarzenia.

Bardzo ważne jest, że w przypadku wystąpienia wysokiego ryzyka, które z jakiegokolwiek powodu nie może zostać zminimalizowane np. z przyczyn technicznych lub braku opłacalności wdrożenia mechanizmów obniżających ryzyko, wtedy przed rozpoczęciem przetwarzania danych administrator danych ma obowiązek skontaktować się i skonsultować ten fakt z o organem nadzorczym RODO. 

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.