Tematyka określania poziomu ryzyka dla przetwarzanych w organizacji danych to temat obowiązkowy w kontekście omawiania zagadnień dotyczących ochrony danych osobowych oraz bezpieczeństwa informacji.
Tym razem skupimy się na kwestiach dotyczących metodologii oceny ryzyka, roli inspektora ochrony danych w tym procesie, a także przyjrzymy się bliżej podejmowaniu decyzji o dokonaniu zgłoszenia naruszenia ochrony danych lub pozostawienia naruszenia bez zgłoszenia. Innymi słowy kiedy naruszenie bezpieczeństwa nie skutkuje obowiązkiem zgłoszenia i na jakiej podstawie taką decyzję podjąć.
Metodologia analizy ryzyka
W celu przeprowadzania oceny ryzyka, która jest mierzalna i możliwie najlepiej oddaje stan faktyczny w danej organizacji, kluczowe jest przyjęcie odpowiedniej metodologii. Od poprawnej oceny będzie zależało również podejmowanie decyzji dotyczących zgłaszania do organu nadzorczego ewentualnych naruszeń. Takie wewnętrzne rozstrzygnięcia mogą być bowiem przez organ podważone, dlatego musimy mieć (również w celu zadośćuczynienia zasadzie rozliczalności) dokumentację stanowiącą potwierdzenie rozliczalności takiego procesu, opierającego się o wymierne dane. Analiza będzie także podstawą do podjęcia decyzji o dokonaniu, bądź nie, zgłoszenia do organu nadzoru.
W celu przeprowadzenia analizy ryzyka należy wziąć pod uwagę konkretne czynniki takie jak:
- rodzaj naruszenia (zdefiniowanego w art. 4 pkt 12 RODO);
- charakter i zakres danych osobowych (w przypadku danych szczególnie chronionych, ryzyko jest zwykle wyższe, im szerszego zakresu danych dotyczy naruszenie, tym z zasady wyższe ryzyko);
- łatwość identyfikacji osób fizycznych (im większa, tym wyższe ryzyko);
- rodzaj konsekwencji dla osób, których dane dotyczą (im bardziej uciążliwe konsekwencje, tym wyższe ryzyko);
- cechy szczególne osób, których dane dotyczą (w przypadku dzieci ryzyko jest wyższe, w przypadku dorosłych – niższe);
- liczba poszkodowanych (im większa, tym wyższe ryzyko);
- cechy szczególne administratora;
- podjęte działania naprawcze;
- skuteczność zastosowanych zabezpieczeń dostępu do danych;
- skuteczność działań zapobiegawczych.
W praktyce oznacza to konieczność zweryfikowania przez administratora, która grupa podmiotów danych może zostać dotknięta danym naruszeniem oraz jakiego zakresu danych ono dotyczy. Następnie należy określić potencjalne skutki naruszenia z uwzględnieniem technicznych oraz organizacyjnych środków ochrony stosowanych w organizacji.
Finalny etap stanowi ocena na podstawie zebranych informacji wpływu danego naruszenia na osoby fizyczne. Poziom ryzyka może zostać zredukowany przez administratora poprzez stosowanie działań naprawczych już po wystąpieniu naruszenia. Te wszystkie elementy stanowią szkielet analizy ryzyka, która po uzupełnieniu wskazanych elementów powinna nam dać odpowiedź na pytanie czy i z jakim naruszeniem mamy do czynienia.
Rola inspektora ochrony danych
Nieocenioną pomocą w procesie oceny ryzyka dla organizacji jest wsparcie inspektora ochrony danych (IOD). W ramach jego obowiązków leży bowiem udzielanie administratorowi zaleceń (profesjonalne wsparcie) we wszystkich kwestiach dotyczących ochrony danych osobowych. Na proces analizy ryzyka i ważny w tym udział inspektora ochrony danych ogromny nacisk kładzie UODO. Potwierdza to tezę o ważnej roli jaką ma do wypełnienia IOD w tym obszarze. Nie zwalnia go z tego obowiązku nawet inne ujęcie jego zadań w umowie wiążącej go z ADO. W przypadku niepowołania w organizacji IOD, warto jest skorzystać ze wsparcia specjalistów zewnętrznych. Naturalnie, w przypadku większych ADO w zarządzanie ryzykiem będą zaangażowane także inne osoby w organizacji, dyrektorzy poszczególnych komórek organizacyjnych oraz specjalistów ds. bezpieczeństwa informacji, IT, prawnicy.
Ocena naruszenia
Zagadnieniem dostarczającym wielu problemów administratorom danych jest ocena czy dane zdarzenie kwalifikuje się jako naruszenie, które należy następnie zgłosić organowi nadzoru. Wyniki badania przeprowadzonego przez Związek Firm Ochrony Danych Osobowych pokazują, że niemal 60% naruszeń nie zostało zgłoszonych Prezesowi UODO[1]. Podjęcie takiej decyzji nie jest zatem oczywiste i proste.
Na powyższe ma z pewnością duży wpływ obawa przed jakimkolwiek kontaktem z urzędem a szczególnie w takiej sytuacji a dodatkowo inna „filozofia RODO”, gdzie mamy odejście od statycznej dokumentacji w kierunku dynamicznego zarządzania procesami. Brak jest zamkniętego katalogu nakazów i zakazów, które umożliwią uniknięcie negatywnych konsekwencji finansowych. W ich miejsce wprowadzony został obowiązek prowadzenia każdorazowej dynamicznej oceny sytuacji z uwzględnieniem kontekstu danego zdarzenia (podejście oparte na ryzyku). Z uwagi na to najbezpieczniejszym rozwiązaniem wydaje się profilaktyczne zgłaszanie naruszenia w przypadku wystąpienia wątpliwości. To co jednak zawsze broni administratorów – to precyzyjna, przejrzysta, wdrożona i konsekwentnie stosowana metodologia.
[1] Raport ZFODO, s. 4, www.zfodo.org.pl
Polecamy także:
Analiza ryzyka- czyli o co tyle hałasu
Zapraszamy na szkolenie: „Analiza ryzyka w RODO”
POZNAJ TERMINY I ZAPISZ SIĘ klikając tutaj
Polecamy szkolenie: 5-dniowe Kompleksowe szkolenie dla Inspektorów Ochrony Danych
Szczegóły znajdują się tutaj
