GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Analiza ryzyka – czyli o co tyle hałasu?

Autor: Daniel Niwiński
Udostępnij publikację:
Analiza ryzyka – czyli o co tyle hałasu?

Analiza ryzyka to temat przewodni, który towarzyszy nam zawsze przy okazji ochrony danych osobowych oraz bezpieczeństwa informacji. Dla jednych drobnostka, którą nie warto się zajmować, dla innych demon, który jest prawie niemożliwy do opanowania. Poniżej przedstawimy Państwu kilka wartościowych wskazówek czym jest analiza ryzyka oraz dlaczego warto zajmować się nią w każdej organizacji, niezależnie od wielkości czy charakteru wykonywanej działalności.

Analiza ryzyka dla organizacji

Analiza ryzyka w najprostszym ujęciu, to proces dążący do poznania charakteru ryzyka oraz określenia jego poziomu. Ryzyko natomiast definiowane jest najczęściej jako wpływ niepewności na cele. Co to oznacza? Każda organizacja realizuje swoje cele, czy są to cele związane z bezpieczeństwem, czy też zarobkowe związane z biznesem, generalnie każda organizacja do czegoś dąży. Na drodze do ich realizacji każdy spotka jakieś niepewne zdarzenia, które wpłyną na to, czy ten cel osiągnie – to jest właśnie ryzyko. Spójrzmy na ten problem na prostym przykładzie: Organizacja A postanawia zrealizować cel, jakim jest transport dzieła sztuki (obrazu) o wartości 1 mln zł z lokalizacji X do lokalizacji Z. Na drodze do realizacji celu (czyli doręczenia dzieła sztuki do lokalizacji Z) stoi wiele ryzyk – obraz może zostać skradziony w wyniku napadu rabunkowego, przez pracownika organizacji A, może ulec zniszczeniu w wyniku zalania/niewłaściwych warunków atmosferycznych etc. Organizacja A identyfikuje możliwe ryzyka, które wpłyną na sukces i prawidłową realizację usługi oraz rozpoczyna przygotowania do realizacji usług – wynajmuje samochód, w którym da się utrzymać odpowiednie warunki do transportu dzieł sztuki (wilgotność, temperatura etc.), wynajmuje dodatkową ochronę (konwojentów), planuje trasę przewozu, tworzy procedury postępowania oraz kontroli pracowników etc. Na koniec podejmuje też decyzję o ewentualnym ubezpieczeniu dzieła sztuki w transporcie (tzw. dzielenie ryzyka).

Powyższy przykład w uproszczeniu obrazuje czym jest ryzyko dla organizacji, na co wpływa oraz jak zazwyczaj można sobie z nim poradzić. Do czego potrzebna jest analiza ryzyka? Przede wszystkim do podjęcia odpowiednich decyzji oraz niejako przewidywania możliwych skutków działań organizacji. Wynik analizy ryzyka wskaże organizacji jakie środki powinna podjąć, aby zrealizować swój cel w najbardziej bezpieczny sposób jak to tylko jest możliwe. Odpowie na pytanie „co może się stać, jeżeli nie zrealizujemy celu” – czyli jaką stratę może przynieść zmaterializowanie się ryzyka (tzw. skutki). Ostatecznie organizacja pozna prawdziwy koszt realizacji swojej usługi, gdyż pozyska informację na temat potencjalnych wcześniejszych inwestycji, jakie musi poczynić, aby cel został skutecznie zrealizowany.

Analiza ryzyka a ochrona danych osobowych

Analiza ryzyka w ujęciu ochrony danych osobowych jest niezwykle ważna i stanowi jeden z prawnych obowiązków Administratora Danych Osobowych. Ogólne rozporządzenie o ochronie danych osobowych (RODO) w art. 24 jednoznacznie wskazuje, iż uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Dodatkowo wzmianki o analizie ryzyka naruszenia praw lub wolności osób fizycznych możemy znaleźć w art. 25 (Uwzględnianie ochrony danych w fazie projektowania czy domyślna ochrona danych), art. 30 (Rejestrowanie czynności przetwarzania), art. 32 (Bezpieczeństwo przetwarzania), art. 33 (Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu), art. 34 (Zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych), art. 35 (Ocena skutków dla ochrony danych) czy też art. 36 (Uprzednie konsultacje).

W przypadku analizy ryzyka w ujęciu ochrony danych osobowych jest zatem podobnie, jak w wyżej opisanym przypadku analizy ryzyka dla organizacji, z pewnymi jednak istotnymi różnicami. Dużą trudnością jest określenie wartości finansowej ryzyka – o ile w przypadku ryzyk dla organizacji jesteśmy w stanie wycenić finansowo straty w przypadku materializacji zdarzenia niepewnego, o tyle w przypadku ryzyk dla podmiotów danych trudnym lub wręcz niemożliwym jest dokonanie wyceny finansowej skutków w postaci np. naruszenia prywatności czy dyskryminacji.

Miejsce analizy ryzyka w organizacji

Analiza ryzyka nie jest wyłącznie zmartwieniem Inspektora Ochrony Danych (IOD). Za proces ten i to, co robimy z jego wynikami odpowiada administrator danych/podmiot przetwarzający. Analiza ryzyka w organizacji powinna być ponadto wykonywana cyklicznie, a także stanowić wspólny wysiłek zespołu specjalistów składającego się najczęściej z Przewodniczącego (prezesa/wiceprezesa, członka zarządu lub innej osoby zarządzającej organizacją), koordynatora zespołu (zwykle jest to osoba odpowiedzialna za zarządzanie ryzykiem w organizacji), właścicieli procesów biznesowych oraz zasobów (to oni dostarczają największą wiedzę o ocenianym stanie faktycznym), ekspertów (np. specjaliści ds. bezpieczeństwa informacji, cybersecurity, bezpieczeństwa fizycznego etc.). Dopiero tak dobrany zespół jest w stanie w sposób kompleksowy i rzetelny wykonać pełną analizę ryzyka, która dostarczy wartościowych informacji do organizacji.

Analiza ryzyka przewija się w wielu elementach zarządzania systemem ochrony danych osobowych i bezpieczeństwa informacji w organizacji. Aby lepiej zrozumieć na czym ona polega, poznać metody oceny ryzyka oraz w praktyce przeprowadzić analizę ryzyka dla podmiotu danych zapraszamy Państwa do śledzenia naszej strony oraz uczestnictwa w warsztatach i webinarach oraz zbliżających się szkoleniach, na których również poruszymy  tę tematykę.

ZAPRASZAMY NA SZKOLENIE „ANALIZA RYZYKA W RODO”

ZAPISY i szczegóły szkolenia znajdą Państwo tutaj

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies