GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Analiza ryzyka a zgłaszanie naruszeń

Analiza ryzyka w służbie RODO

Tematyka określania poziomu ryzyka dla przetwarzanych w organizacji danych to temat obowiązkowy w kontekście omawiania zagadnień dotyczących ochrony danych osobowych oraz bezpieczeństwa informacji.

Tym razem skupimy się na kwestiach dotyczących metodologii oceny ryzyka, roli inspektora ochrony danych w tym procesie, a także przyjrzymy się bliżej podejmowaniu decyzji o dokonaniu zgłoszenia naruszenia ochrony danych lub pozostawienia naruszenia bez zgłoszenia. Innymi słowy kiedy naruszenie bezpieczeństwa nie skutkuje obowiązkiem zgłoszenia i na jakiej podstawie taką decyzję podjąć.

Metodologia analizy ryzyka

W celu przeprowadzania oceny ryzyka, która jest mierzalna i możliwie najlepiej oddaje stan faktyczny w danej organizacji, kluczowe jest przyjęcie odpowiedniej metodologii. Od poprawnej oceny będzie zależało również podejmowanie decyzji dotyczących zgłaszania do organu nadzorczego ewentualnych naruszeń. Takie wewnętrzne rozstrzygnięcia mogą być bowiem przez organ podważone, dlatego musimy mieć (również w celu zadośćuczynienia zasadzie rozliczalności) dokumentację stanowiącą potwierdzenie rozliczalności takiego procesu, opierającego się o wymierne dane. Analiza będzie także podstawą do podjęcia decyzji o dokonaniu, bądź nie, zgłoszenia do organu nadzoru.

W celu przeprowadzenia analizy ryzyka należy wziąć pod uwagę konkretne czynniki takie jak:

W praktyce oznacza to konieczność zweryfikowania przez administratora, która grupa podmiotów danych może zostać dotknięta danym naruszeniem oraz jakiego zakresu danych ono dotyczy. Następnie należy określić potencjalne skutki naruszenia z uwzględnieniem technicznych oraz organizacyjnych środków ochrony stosowanych w organizacji.

Finalny etap stanowi ocena na podstawie zebranych informacji wpływu danego naruszenia na osoby fizyczne. Poziom ryzyka może zostać zredukowany przez administratora poprzez stosowanie działań naprawczych już po wystąpieniu naruszenia. Te wszystkie elementy stanowią szkielet analizy ryzyka, która po uzupełnieniu wskazanych elementów powinna nam dać odpowiedź na pytanie czy i z jakim naruszeniem mamy do czynienia.

Rola inspektora ochrony danych

Nieocenioną pomocą w procesie oceny ryzyka dla organizacji jest wsparcie inspektora ochrony danych (IOD). W ramach jego obowiązków leży bowiem udzielanie administratorowi zaleceń (profesjonalne wsparcie) we wszystkich kwestiach dotyczących ochrony danych osobowych. Na proces analizy ryzyka i ważny w tym udział inspektora ochrony danych ogromny nacisk kładzie UODO. Potwierdza to tezę o ważnej roli jaką ma do wypełnienia IOD w tym obszarze. Nie zwalnia go z tego obowiązku nawet inne ujęcie jego zadań w umowie wiążącej go z ADO. W przypadku niepowołania w organizacji IOD, warto jest skorzystać ze wsparcia specjalistów zewnętrznych. Naturalnie, w przypadku większych ADO w zarządzanie ryzykiem będą zaangażowane także inne osoby w organizacji, dyrektorzy poszczególnych komórek organizacyjnych oraz specjalistów ds. bezpieczeństwa informacji, IT, prawnicy.

Ocena naruszenia

Zagadnieniem dostarczającym wielu problemów administratorom danych jest ocena czy dane zdarzenie kwalifikuje się jako naruszenie, które należy następnie zgłosić organowi nadzoru. Wyniki badania przeprowadzonego przez Związek Firm Ochrony Danych Osobowych pokazują, że niemal 60% naruszeń nie zostało zgłoszonych Prezesowi UODO[1]. Podjęcie takiej decyzji nie jest zatem oczywiste i proste.

Na powyższe ma z pewnością duży wpływ obawa przed jakimkolwiek kontaktem z urzędem a szczególnie w takiej sytuacji a dodatkowo inna „filozofia RODO”, gdzie mamy odejście od statycznej dokumentacji w kierunku dynamicznego zarządzania procesami. Brak jest zamkniętego katalogu nakazów i zakazów, które umożliwią uniknięcie negatywnych konsekwencji finansowych. W ich miejsce wprowadzony został obowiązek prowadzenia każdorazowej dynamicznej oceny sytuacji z uwzględnieniem kontekstu danego zdarzenia (podejście oparte na ryzyku). Z uwagi na to najbezpieczniejszym rozwiązaniem wydaje się profilaktyczne zgłaszanie naruszenia w przypadku wystąpienia wątpliwości. To co jednak zawsze broni administratorów – to precyzyjna, przejrzysta, wdrożona i konsekwentnie stosowana metodologia.

[1] Raport ZFODO, s. 4, www.zfodo.org.pl

Polecamy także:

Analiza ryzyka- czyli o co tyle hałasu

Zapraszamy na szkolenie: „Analiza ryzyka w RODO”

POZNAJ TERMINY I ZAPISZ SIĘ klikając tutaj

Polecamy szkolenie: 5-dniowe Kompleksowe szkolenie dla Inspektorów Ochrony Danych

Szczegóły znajdują się tutaj