Dyskusja dookoła analizy ryzyka w ochronie danych osobowych toczy się w środowisku Inspektorów Ochrony Danych od lat. Wielokrotnie odpowiedziano już na fundamentalne pytania dotyczące tego po co w ogóle wykonywać analizę ryzyka, do czego jej używać etc.
Nasza redakcja również wielokrotnie pisała już o tym, kiedy wykonywać analizę ryzyka, do czego jej używać i jak ją umiejscowić w systemie ochrony danych osobowych organizacji. Mimo, iż temat analizy ryzyka został już tak szeroko omówiony, wciąż spotykamy się niekiedy z brakiem pełnego zrozumienia czym jest analiza ryzyka, oraz mylnym założeniem, że tzw. DPIA (Data Privacy Impact Assessment – ocena skutków dla ochrony danych) jest pojęciem równoważnym do analizy ryzyka. Dzisiejsza publikacja przybliży Państwu nieco bardziej te dwa pojęcia oraz odpowie na pytanie dlaczego nie należy stawiać znaku równości pomiędzy DPIA, a analizą ryzyka.
Czym jest analiza ryzyka?
Jak pisaliśmy już w artykule pt. „Analiza ryzyka – czyli o co tyle hałasu?”
„Analiza ryzyka w najprostszym ujęciu, to proces dążący do poznania charakteru ryzyka oraz określenia jego poziomu. Ryzyko natomiast definiowane jest najczęściej jako wpływ niepewności na cele.”. Oznacza to w praktyce, że proces zarządzania ryzykiem polega na tym, aby rozpoznać jakie czynności przetwarzania funkcjonują w naszej organizacji, jakie istnieją zagrożenia, które mogą wpłynąć na poprawną realizację danej czynności przetwarzania oraz jak zabezpieczamy się przed tym, aby przebieg czynności przetwarzania nie został zakłócony oraz aby zapobiegać materializacji tych zagrożeń. Poprzez kombinację poszczególnych elementów poznajemy charakter ryzyka oraz jego poziom i jesteśmy w stanie wpływać na przebieg czynności przetwarzania, aby w przyszłości nie doszło do materializacji ocenionego przez nas ryzyka.
Czym jest DPIA
Ocena skutków dla ochrony danych osobowych uregulowana została artykułem 35 RODO, który mówi, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Jak widzimy ustawodawca wprost wskazuje, iż ocena skutków nie jest równoznaczna z oceną ryzyka. Słowami „jeżeli dany rodzaj przetwarzania (…) może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” ustawodawca wskazuje, że jednym z warunków rozpoczęcia oceny skutków jest właśnie przeprowadzenie analizy ryzyka i wykazanie, że dana czynność przetwarzania z wysokim prawdopodobieństwem może powodować wysokie ryzyko. RODO wskazuje również na kilka innych przesłanek, kiedy należy przeprowadzić DPIA jednak na potrzeby niniejszej analizy w dalszej części artykułu skupimy się jedynie na ryzyku.
Wartym zauważenia jest również fakt, iż ocenę skutków dla ochrony danych osobowych przeprowadzamy przed rozpoczęciem przetwarzania, oznacza to, iż DPIA powinna być wykonana na etapie planowania nowych czynności przetwarzania bądź na etapie planowania modyfikacji istniejących czynności. Analizę ryzyka, w odróżnieniu od DPIA wykonujemy zarówno na etapie planowania, jak również później na etapie obsługi i utrzymania danej czynności przetwarzania danych osobowych.
Co zawiera DPIA
Ocena skutków dla ochrony danych osobowych, powinna zawierać między innymi takie elementy, jak opis czynności przetwarzania wraz z opisem celu przetwarzania, podstawą prawną, opisem operacji przetwarzania danych osobowych, kategoriami osób, których dane dotyczą. Należy również przeprowadzić ocenę niezbędności i proporcjonalności przetwarzania danych, ocenę ryzyka naruszenia praw lub wolności osób fizycznych, oraz przeanalizować sposób realizacji praw osób, zarządzanie zgodami czy retencję danych. Jak widać DPIA sprowadza się tak naprawdę do szerokiej analizy czynności przetwarzania pod kątem realizacji podstawowych obowiązków wynikających z przepisów dotyczących ochrony danych osobowych – wyniki analizy ryzyka są jedynie jednym składowym elementem, który bierze się pod uwagę podczas dokonywania oceny skutków dla ochrony danych osobowych.
Analiza ryzyka a DPIA – jak się nie pomylić
Należy pamiętać o tym, iż analiza ryzyka oraz DPIA są odrębnymi instytucjami, które uzupełniają się nawzajem jednak żyją w organizacji równolegle. Wyniki analizy ryzyka dostarczają informacji, które są niezbędne do zainicjowania bądź przeprowadzenia dalej procesu oceny skutków dla ochrony danych, jednak nie wolno stawiać znaku równości pomiędzy procesem zarządzania ryzykiem a procesem DPIA. Często błędnie używa się obu pojęć zamiennie, gdyż podczas przeprowadzania oceny skutków dla ochrony danych osobowych należy również odwołać się do wyników oceny ryzyka, jednak sam proces związany z oceną ryzyka jest procesem odrębnym, szerszym i co najważniejsze służy nie tylko do przeprowadzania DPIA. Wyniki analizy ryzyka dostarczają organizacji informacji niezbędnych m.in. do doboru odpowiednich środków technicznych i organizacyjnych zabezpieczających dane osobowe w tej organizacji. Dodatkowo w oparciu o analizę ryzyka podejmuje się wiele innych decyzji w organizacji oraz inicjuje się różne procesy w zależności od kontekstu, w którym dana analiza została przeprowadzona. Analiza ryzyka może służyć nam również do przeprowadzenia oceny skutków incydentu bezpieczeństwa informacji bądź naruszenia ochrony danych osobowych, o czym więcej w artykule pt. „Analiza ryzyka a zgłaszanie naruszeń.”