Analiza ryzyka nie jest pojęciem bezpośrednio zdefiniowanym w RODO, przeprowadzenie jej jest jednak jednym z najważniejszych obowiązków administratorów i podmiotów przetwarzających.
A co to ta analiza ryzyka?
Analiza ryzyka wynikająca z RODO to element procesu zarządzania ryzykiem w organizacji, ale nie dla samej organizacji, która przetwarza dane osobowe. Celem analizy jest szacowanie prawdopodobieństwa wystąpienia oraz skutków – następstw naruszenia dla osób, których dane są przetwarzane. Stanowi integralną cześć etapu planowania projektu i zarządzania ryzykiem. Pozwala on na identyfikowanie i zarządzanie ryzykiem w celu jego eliminacji lub zminimalizowania do akceptowalnego poziomu.
Kiedy należy przeprowadzić analizę ryzyka?
W RODO nie jest wskazane wprost kiedy należy przeprowadzić analizę ryzyka i z jaką częstotliwością. Jednakże przepisy zobowiązują, aby stanowiła ona punkt wyjścia przy doborze odpowiednich środków technicznych i organizacyjnych dla procesów przetwarzania. Zatem już na etapie planowania przetwarzania (projektowanie nowego procesu) lub modyfikacji funkcjonującego już procesu w którym dochodzi do przetwarzania danych należy dokonać analizy ryzyka. Ponadto trzeba pamiętać, że zarządzenie ryzykiem jest procesem a nie projektem. Podlega zatem okresowym przeglądom i aktualizacjom podczas trwania procesu, kiedy to mogą się pojawić nowe zagrożenia dla praw i wolności, które wcześniej nie zostały uwzględnione.
Jak przeprowadzić analizę ryzyka?
Metoda przeprowadzenia analizy ryzyka nie jest z góry narzucona. Administrator może posłużyć się na przykład metodą ilościową zaproponowaną przez UODO, czy też jakościowa. Sama metoda powinna więc być konkretna, obiektywna i operacyjnie użyteczna. Pamiętać jednak należy, że administrator musi udokumentować przeprowadzoną analizę ryzyka. Rejestr czynności przetwarzania jest bardzo przydatny przy wstępnej analizie. Proces zarządzania ryzykiem powinien obejmować:
- Ustanowienie kontekstu,
- Szacowanie ryzyka, na który składa się jego identyfikacja, analiza oraz ocena,
- Postępowanie z ryzykiem
Jakie są korzyści wynikające z zarządzania ryzykiem ?
Zarządzanie ryzykiem w sposób świadomy i ustrukturyzowany pozwala zidentyfikować potencjalne i istniejące zagrożenia dla podmiotu danych wynikające z przetwarzania danych w różnych celach i w zakresie niezbędnym do ich osiągnięcia. Dzięki temu możliwa jest identyfikacja i ocena zagrożeń, jak również dobór odpowiednich – skutecznych środków technicznych, ograniczających poziom ryzyka już na etapie planowania. Dzięki czemu możliwa jest ocena czy dane mogą być przetwarzane w określonych celach w sposób bezpieczny. Ponadto może się okazać, że planowany proces niesie ze sobą zbyt duże zagrożenia i można dość wcześnie z niego zrezygnować.
Kto jest odpowiedzialny za przeprowadzenie analizy ryzyka według RODO?
Za przeprowadzenie analizy ryzyka odpowiada i administrator i podmiot przetwarzający, wymagane jest to w ramach realizacji obowiązków wynikających m.in. z art. 32 RODO – czyli doboru odpowiednich środków bezpieczeństwa.
Najczęściej popełniane błędy
Jednym z zasadniczych błędów popełnianych przy wdrażaniu oraz przeprowadzaniu analizy ryzyka w organizacji jest przeprowadzenie jej „dla organizacji” – czyli określenie skutków dla administratora/podmiotu przetwarzającego w przypadku wystąpienia naruszenia oraz określenie poziomu oddziaływania skutków na organizację zamiast na osoby, których dane mają być lub są przetwarzane.
Innym częstym błędem jest sporządzenie oceny ryzyka w oderwaniu od procesu. Powoduje to brak możliwości prawidłowego określenia celu, kategorii osób, których dane są przetwarzane, zakresu danych adekwatnych do tego celu, zasobów służących do jego osiągnięcia a w konsekwencji prawidłowej identyfikacji skutków oraz ich wpływu na podmiot danych. Konsekwencją takiej oceny ryzyka oderwanej od procesów jest również brak możliwości stwierdzenia, czy uruchomienie procesu w którym przetwarzane są dane w ogóle jest możliwe.
