Na stronie internetowej kanadyjskiego organu ds. ochrony danych osobowych (Privacy Commissioner’a of Canada – OPC) zostało udostępnione narzędzie służące do automatycznej oceny ryzyka związanego z naruszeniami ochrony danych osobowych. Narzędzie – mające postać formularza z konkretnymi pytaniami – przekazuje informacje na temat poziomu ryzyka związanego z ocenianym naruszeniem. Oczywiście, regulator zastrzega, że wynik oceny jest niewiążący i ma charakter pomocniczy.
Ocena ryzyka w świetle RODO
Jednym z założeń leżących u podstaw RODO jest przyjęcie podejścia opartego o ryzyko (risk based approach), jako jednego z podstawowych elementów systemu zapewnienia bezpieczeństwa danych. W praktyce, o ocenie i zarządzaniu ryzykiem w RODO mówi się przede wszystkim w dwóch kontekstach, tj. w kontekście oceny ryzyka związanego z danym procesem przetwarzania danych oraz w kontekście ryzyka naruszenia praw lub wolności, związanego z konkretnym naruszeniem ochrony danych osobowych.
Szczególna doniosłość oceny ryzyka wynikającego z konkretnego naruszenia wynika z faktu, że RODO uzależnia powstanie określonych obowiązków prawnych od tego, czy jest prawdopodobne, że konkretne naruszenie wiąże się z ryzykiem, a jeżeli tak, czy ryzyko to jest wysokie. Od tych ustaleń zależy bowiem, czy administrator zobowiązany będzie do zgłoszenia naruszenia do organu nadzorczego oraz czy będzie on musiał powiadomić o naruszeniu osoby, których dane dotyczą. Ocena ryzyka jest więc bardzo ważnym zagadnieniem, a organy nadzorcze w UE regularnie publikują wytyczne mające wesprzeć administratorów w tym zakresie. Warto tu wspomnieć choćby poradnik opublikowany niedawno przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Polski regulator wyjaśnia w nim m.in. kwestie związane z oceną ryzyka wynikającego z naruszenia.
Podejście kanadyjskie – gotowy formularz
Choć RODO w Kanadzie co do zasady nie obowiązuje, to kanadyjskie przepisy o ochronie danych osobowych (główny akt prawny w tym zakresie to – Personal Information Protection and Electronic Documents Act), również uzależniają obowiązek zgłoszenia naruszenia / powiadomienia osób, których dane dotyczą, od ryzyka związanego z konkretnym naruszeniem. Kanadyjski regulator postanowił pójść w tym zakresie o krok dalej, udostępniając administratorom formularz (Privacy breach risk self-assessment), umożliwiający samodzielne przeprowadzenie analizy ryzyka związanego z naruszeniem.
Każdy może przeprowadzić ocenę
Dzięki temu narzędziu, de facto każdy użytkownik Internetu może uzyskać wstępną ocenę ryzyka dla opisanego przez siebie stanu faktycznego. Formularz składa się z kilkudziesięciu pytań, w tym m.in. o kategorie danych dotkniętych naruszeniem, ilość dotkniętych osób, czy też kto uzyskał dostęp do danych wskutek naruszenia. Po wprowadzeniu niezbędnych informacji, narzędzie przekaże użytkownikowi odpowiedź na temat poziomu ryzyka i możliwych dalszych działań. OPC zaznacza, że oceny przeprowadzone przez narzędzie nie są wiążące i mają charakter wyłącznie pomocniczy, a każda ocena powinna być przeprowadzona z wykorzystaniem wszystkich informacji i znanej administratorowi specyfiki procesu przetwarzania.
Pytania zaprezentowane w formularzu oraz generowane odpowiedzi mogą być dobrym materiałem do analizy podejścia kanadyjskiego regulatora do oceny konkretnych naruszeń. Wydaje się, że takie narzędzie mogłoby być bardzo pomocne również w Polsce, gdzie kwestia oceny naruszeń ochrony danych osobowych wciąż wiąże się z wieloma wątpliwościami, m.in. właśnie w zakresie oceny ryzyka.
Link do formularza: https://services.priv.gc.ca/rrpg-rrosh/
