Celem przyjęcia na poziomie Unii Europejskiej rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, było przede wszystkim wzmocnienie ochrony praw i wolności osób, których dane są przetwarzane. Cel ten jest realizowany m.in. poprzez wprowadzenie podejścia opartego na ryzyku (ang. risk-based approach) – koncepcji stanowiącej zasadniczy filar przepisów RODO.
Zasada podejścia opartego na ryzyku zobowiązuje administratorów i podmioty przetwarzające do samodzielnego przeprowadzania analizy realizowanych procesów przetwarzania danych, z uwzględnieniem ich charakteru, zakresu, kontekstu i celów przetwarzania danych, oraz do dokonywania samodzielnej oceny ryzyka naruszenia praw i wolności podmiotów danych, jakie może pojawić się w związku z przeprowadzanymi operacjami przetwarzania. Przepisy RODO nie przewidują konkretnych środków i procedur w zakresie bezpieczeństwa danych, jednak poprzez przyjęcie podejścia opartego na ryzyku, umożliwiają elastyczne dopasowanie narzędzi bezpieczeństwa do rzeczywiście występującego ryzyka związanego z przetwarzaniem danych w określonej organizacji.
Podejście to zapewnia więc możność zróżnicowania procedur bezpieczeństwa w zależności od wyników analizy ryzyka, a tym samym skoncentrowanie się na operacjach przetwarzania danych stwarzających największe niebezpieczeństwo dla praw i wolności podmiotów danych, bez konieczności implementowania tych samych środków bezpieczeństwa w przypadku operacji wiążących się z dużo niższym ryzykiem. Z tego względu podejście oparte na ryzyku jest uznawane za perspektywiczną koncepcję, zapewniającą stosunkowo dużą swobodę dla administratorów i podmiotów przetwarzających w zakresie realizowania przez nich obowiązku zapewnienia bezpieczeństwa danych osobowych, adekwatnego do skali ryzyka.
Pojęcie ryzyka w przepisach ogólnego rozporządzenia o ochronie danych pojawia się wielokrotnie, jednak nie jest ono wprost zdefiniowane. Wobec tego należy odwołać się do ogólnej definicji ryzyka rozumianego jako zagrożenie lub szansa wystąpienia zdarzenia, które może pociągnąć za sobą możliwość wystąpienia zarówno negatywnych, jak i pozytywnych konsekwencji. Można sięgać również do definicji szczegółowych, zawartych w normach ISO.
Przykładowo zgodnie z normą „ISO 31000. Zarządzanie ryzykiem. Zasady i wytyczne” ryzyko jest traktowane jako wpływ niepewności na cele, który powoduje pozytywne lub negatywne odchylenie od oczekiwań. Cele zaś mogą dotyczyć różnych aspektów, np. finansowych lub biznesowych. Z kolei w doktrynie definiuje się ryzyko jako scenariusz opisujący konkretne zdarzenie i jego konsekwencje (dla praw i wolności osób, których dane są przetwarzane), oszacowane pod kątem ich dotkliwości oraz prawdopodobieństwa.
Przenosząc powyższe wskazówki interpretacyjne na grunt przepisów RODO, wskazać należy, że zakres pojęcia ryzyka jest zawsze określany w odniesieniu do naruszenia praw i wolności osób, których dane są przetwarzane. Treść motywu 75 RODO nieco ukierunkowuje analizę pojęcia, wskazując, że przy ocenianiu ryzyka konieczne jest uwzględnienie prawdopodobieństwa wystąpienia określonego zdarzenia będącego naruszeniem, oraz powagi tego zdarzenia, tj. wielkości szkody, jakie zdarzenie to może spowodować w odniesieniu do podmiotu danych. W dalszej części motywu 75 prawodawca unijny przytoczył przykłady uszczerbku fizycznego i szkód majątkowych oraz niemajątkowych, związanych z ryzykiem naruszenia praw i wolności podmiotów danych, jak choćby dyskryminacja, kradzież tożsamości, strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową itd. Na skutek braku wprowadzenia legalnej definicji, jak również odwołania się do kryteriów o charakterze nieostrym i ocennym, prawodawca unijny zdecydował, aby pojęcie ryzyka stanowiło kategorię autonomiczną oraz było definiowane i oceniane samodzielnie przez administratora lub podmiot przetwarzający w zależności od okoliczności przetwarzania danych.
Przy definiowaniu ryzyka analizie podlega ryzyko naruszenia praw lub wolności jednostek, których dane dotyczą, nie zaś ryzyko po stronie administratora lub podmiotu przetwarzającego, np. ryzyko start majątkowych. Administrator lub procesor nie powinni więc koncentrować się na tym, jakie mogą być negatywne konsekwencje przetwarzania danych dla nich, lecz dla podmiotów danych.
W praktyce przeprowadzenie dokładnej oceny ryzyka bywa trudne, zwłaszcza w przypadku złożonych procesów przetwarzania danych, wykorzystujących nie tylko ogromne ilości danych osobowych, ale też nowoczesne narzędzia technologiczne służące przetwarzaniu danych. Analiza ryzyka może być przeprowadzana ręcznie (manualnie), np. w wersji papierowej, lub w wersji zautomatyzowanej, w szczególności z wykorzystaniem przystosowanych dla tego celu narzędzi. Wybór sposobu przeprowadzenia analizy zależy głównie od rodzaju i stopnia skomplikowania procesu przetwarzania danych, a także od potencjalnego ryzyka z nim związanego. Przy prostych procesach, w ramach których dochodzi do przetwarzania niewielkiej ilości i zakresu danych, niebędących przy tym danymi wrażliwymi, ocena ręczna może być wystarczająca. W przypadku procesów złożonych lepszym rozwiązaniem jest przeprowadzenie oceny w sposób zautomatyzowany, za pomocą dedykowanych narzędzi informatycznych, służących przeprowadzeniu kompleksowej i jednolitej analizy, jak np. dostępny na polskim rynku program GDPR Risk Tracker. Tego rodzaju programy pozwalają nie tylko na bardzo szczegółowe szacowanie ryzyka, przy uwzględnieniu wszystkich istotnych aspektów przetwarzania danych osobowych, ale też sprzyjają zachowaniu spójności pomiędzy różnymi procesami przetwarzania danych w ramach jednej organizacji. Trzeba bowiem pamiętać, że zarządzanie ryzykiem jest procedurą stałą i wymaga systematyczności. Wobec tego za każdym razem, gdy zmieniają się okoliczności lub warunki przetwarzania danych, a także w przypadku wdrażania nowych inicjatyw i przedsięwzięć, administrator powinien ponowić analizę ryzyka.
Przeprowadzenie analizy ryzyka nie kończy procesu zarządzania ryzykiem w organizacji. Kluczowe są bowiem działania, jakie podejmie administrator w następstwie przeprowadzonej analizy, w szczególności gdy wykazała ona istnienie wysokiego ryzyka naruszenia praw i wolności osób, których dane są przetwarzane. Do podjęcia określonych działań, a dokładnie do wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa danych, administrator zobowiązany jest na mocy art. 24 ust. 1 i art. 32 ust. 1 RODO. Artykuł 32 ust. 1 RODO zawiera przy tym przykładowy katalog środków ochrony danych, do których zaliczono m.in.: pseudonimizację i szyfrowanie danych osobowych, zarządzanie systemem w sposób zapewniający ciągłość poufności, integralności i dostępności przetwarzanych informacji oraz zdolność do szybkiego przywrócenia dostępu do danych osobowych w razie wystąpienia incydentu fizycznego lub technicznego, a także regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków technicznych i organizacyjnych.
Ważną rolę w procesie zarządzania ryzykiem odgrywają inspektorzy ochrony danych, których powołanie w przypadku m.in. organów i podmiotów publicznych jest na mocy art. 37 ust. 1 lit. a) RODO obowiązkowe. Wybrana na to stanowisko kompetentna osoba, dysponująca fachową wiedzą i doświadczeniem w dziedzinie ochrony danych, będzie istotnym wsparciem dla administratora lub podmiotu przetwarzającego nie tylko w zakresie analizy ryzyka i doboru środków technicznych i organizacyjnych, ale ogólnie w całym procesie przetwarzania danych osobowych przez określoną organizację.
Autor: aplikant adwokacki Adrianna Michałowicz
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl