Jak przeprowadzać analizę ryzyka zgodnie z RODO

Pierwszym zadaniem administratora w ramach analizy ryzyka jest wyszczególnienie czynników mających wpływ na funkcjonowanie organizacji i przetwarzanie danych osobowych.

Analiza ryzyka dotyczy poszczególnych procesów przetwarzania danych osobowych. Nie może więc ona obyć się bez identyfikacji tych procesów.

Identyfikacja ta musi być na tyle szczegółowa, by dawała możliwość ustalenia:

• zakresu przetwarzania,
• charakteru przetwarzania,
• celów przetwarzania,
• potencjalnych zagrożeń związanych z nieuprawnionym ujawnieniem, utratą lub zniszczeniem danych osobowych.

W kolejnym kroku administrator musi też:

• poddać inwentaryzacji zasoby związanych z przetwarzaniem danych osobowych,
• wskazać osoby odpowiedzialne za poszczególne procesy przetwarzania danych osobowych (w tym ich wpływy na przetwarzanie danych
  w organizacji, zagrożenia oraz szanse, które stwarzają).

Analiza ryzyka ma dać odpowiedź na pytanie, jakie środki bezpieczeństwa przetwarzania danych wdrożyć w kontekście poziomu ryzyka. Konieczne jest więc określenie zagrożeń w zakresie ochrony danych osobowych w organizacji. W tym celu warto przyjąć następującą systematykę.

Identyfikując zagrożenia w odniesieniu do praw i wolności podmiotu danych, należy wziąć pod uwagę zarówno działania celowe użytkownika, jak i te wynikające z jego niewiedzy, które mogą prowadzić do naruszenia przepisów prawa. Konieczne jest uwzględnienie zagrożeń wynikających przetwarzania dla ochrony danych osobowych tak w formie papierowej, jak w systemach informatycznych, np. brak odpowiedniego programu szyfrującego itp.

Przykładowe zagrożenia:

• ujawnienie danych osobowych będące skutkiem umyślnego lub nieumyślnego działania pracownika,
• przetwarzanie danych osobowych w relacji administrator – podmiot przetwarzający bez zawarcia umowy powierzenia przetwarzania danych,
• przekazanie danych osobowych podmiotom lub kontrahentom do tego nieupoważnionym.

Od zagrożeń należy odróżnić podatności. Są to bowiem cechy sprzyjające urzeczywistnieniu się potencjalnego zagrożenia. Aby te podatności zidentyfikować, należy dokonać analizy zdarzeń, które dotychczas wystąpiły w organizacji.

Przykładowe podatności:

• brak procedury rekrutacji pracowników,
• brak dokumentacji bezpieczeństwa informacji w jednostce,
• wada systemu IT ujawniająca się podczas migracji danych.

Kluczowy krok w analizie ryzyka to szacowanie ryzyka. Ma ono na celu określenie potencjalnych strat, które mogą powstać w wyniku wystąpienia określonych zagrożeń. Najpierw jednak należy ustalić organizację całego procesu. W większych organizacjach uzasadnione jest powołanie zespołu odpowiedzialnego za proces zarządzania ryzykiem.

Gdy proces zarządzania ryzykiem realizuje jedna osoba, wówczas raporty oraz pojawiające się nieprawidłowości powinna ona zgłaszać bezpośrednio do administratora danych osobowych lub osoby przez niego wskazanej i koordynującej ten proces.

Bardzo istotny jest wybór metodyki szacowania ryzyka. Wiemy już, że przepisy RODO nie wprowadzają tutaj żadnych ograniczeń, co oznacza, że administrator może swobodnie wybrać metodykę, najlepiej dostosowaną do jego potrzeb.

Wybrana przez administratora metodyka szacowania ryzyka powinna uwzględniać:

• zakres i cele przetwarzania,
• rodzaj danych,
• wielkość, strukturę oraz możliwości finansowe administratora danych.

Ocena poziomu ryzyka może być wykazana metodą:

• ilościową – przyjmujemy, że najważniejsze jest określenie dwóch podstawowych parametrów: wartości skutku i prawdopodobieństwa wystąpienia danego ryzyka; zaletą jest obiektywność i porównywalność wyników),
• jakościową - korzystamy ze zdefiniowanych już zakresów takich jak np.: niskie, średnie, wysokie; wykorzystujemy subiektywne miary i oceny takie jak wartości opisowe poziomów, zakresy wartości miar liczbowych oraz przyporządkowanie miar podatnościom, zagrożeniom, skutkom itp.; zdefiniowane są także stopnie prawdopodobieństwa urzeczywistnienia się zagrożeń np.: zdarzenie rzadkie (nie odnotowano takiego przypadku w organizacji); zdarzenie możliwe (zjawisko nierozpowszechnione, ale możliwe do wystąpienia); zdarzenie prawdopodobne (prawdopodobnie wystąpi w większości okoliczności); zdarzenie bardzo prawdopodobne (wystąpi w najbliższym czasie).

Po oszacowaniu ryzyka administrator powinien ustalić plan postępowania z tym ryzykiem, czyli proces zarządzania ryzykiem. Najczęściej stosowane rozwiązania to:

• redukcja ryzyka – wprowadzamy kontroli w celu zmniejszenia prawdopodobieństwa jego wystąpienia (np. prowadzenie dedykowanych szkoleń dla pracowników, aby zminimalizować ryzyko związane z niewłaściwymi zabezpieczeniami danych osobowych),
• unikanie ryzyka – przerywamy wszelkie działania, które to ryzyko generują (np. polecenie przechowywania dokumentów w szafie zamykanej na klucz zamiast pozostawiania ich na biurku),
• przeniesienie ryzyka - zlecamy określone czynności związane z przetwarzaniem danych podmiotowi zewnętrznemu,
• akceptacja ryzyka – godzimy się z ryzykiem, przyjmując, że koszt postępowania z ryzykiem jest większy niż szkody, które by to spowodowało.

W ramach tego działania administrator powinien zadecydować o wdrożeniu odpowiednich zabezpieczeń w celu ochrony danych osobowych, takich, aby zapewnić stopień bezpieczeństwa adekwatny do stwierdzonego ryzyka (art. 32 RODO).

Przykładowe zabezpieczenia

• organizacyjne (zarządzanie personelem, incydentami, udziałem stron trzecich – podmiotów przetwarzających);
• środki kontroli logicznej (anonimizacja, pseudonimizacja, środki kontroli dostępu do zasobów informatycznych, środki wspierające weryfikację danych na etapie ich wprowadzania itp.),
• prawne (procedury, wytyczne, instrukcje).

Zgodnie z zasadą rozliczalności proces przeprowadzenia analizy ryzyka należy udokumentować. Administrator musi zapewnić sobie możliwość wykazania, że taką analizę przeprowadzić. W przeciwnym razie brak potwierdzenia (nawet jeśli nie została ona przeprowadzona). Sprawdź, jak udokumentować przeprowadzenie analizy ryzyka.

Przeczytaj także:

• Analiza ryzyka RODO zgodnie z wytycznymi ENISA

• Analiza ryzyka RODO w związku z czasową utratą dostępu do danych

Pobierz arkusz szacowania ryzyka.