Analizą ryzyka nazywamy proces polegający na rozpoznaniu ryzyka oraz określeniu jego poziomu w ramach konkretnej operacji przetwarzania. Innymi słowy jest to przewidywanie, jakie konsekwencje przy określonych procesach mogą dotyczyć podmiotów gromadzonych przez administratora danych osobowych.
Co istotne, RODO wprowadziło do porządku prawnego podejście oparte na ryzyku. Wydaje się zatem zasadnym twierdzenie, że każda firma ma za zadanie przynajmniej oszacować ryzyko przetwarzania danych (celem wykazania, że nie dochodzi do wysokiego ryzyka naruszenia praw i wolności jednostek, których dane dotyczą). Dodatkowo RODO wymaga, aby w części sytuacji obligatoryjnie przeprowadzić analizę ryzyka w celu zastosowania określonych środków ochrony danych, a także podjęcia decyzji o dalszym przetwarzaniu danych osobowych.
Analiza ryzyka służy poznaniu charakteru ryzyka oraz określenia jego poziomu. Podczas analizy ryzyka należy wziąć pod uwagę aktualny poziom stosowanych zabezpieczeń. Co istotne, wykrywając luki w zabezpieczeniach można lepiej zabezpieczyć nie tylko dane osobowe, ale także szereg innych informacji, którymi dysponuje administrator (np. informacje o stanie majątkowym spółki, know-how, informacje o produktach itp.).
Za proces analizy ryzyka odpowiada administrator lub podmiot przetwarzający. Istotna w tym procesie jest pomoc Inspektora Ochrony Danych, który udziela administratorowi profesjonalnego wsparcia.
Proces analizy ryzyka powinien być wykonywany cyklicznie.
Ryzyko szacujemy na podstawie obiektywnej oceny, która to powinna doprowadzić nas do stwierdzenia, czy z przetwarzaniem danych wiąże się jakiekolwiek ryzyko dla jednostek, jeśli tak, czy może ono być określone jako wysokie ryzyko. Efektywnym sposobem przeprowadzenia oceny mogłoby być wdrożenie w danej instytucji procesu oceny oraz zarządzania ryzykiem jako odrębnej procedury organizacyjnej.
Chcąc przeprowadzić analizę ryzyka, w pierwszej kolejności należy określić operacje oraz cele przetwarzania danych osobowych. Następnie, aby móc przeprowadzić analizę operacji przetwarzania danych należy sprawdzić wymagania określone w art. 35 ust. 7 RODO. W szczególności zwracamy uwagę na weryfikację, czy dokonywana przez nas analiza zawiera „ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów” (pkt b). Dodatkowo należy oszacować prawdopodobieństwo pojawienia się określonych rodzajów ryzyka oraz rodzaju wartości ewentualnych strat.
Przede wszystkim:
Podczas szacowania ryzyka należy pamiętać o kumulacji zagrożeń (efekt domina). Oznacza to, że zawsze powinno się brać pod uwagę wystąpienie kilku zagrożeń jednocześnie.
Aby oszacować ryzyko należy wykonać ocenę prawdopodobieństwa zajścia określonego zdarzenia oraz oszacować jego skutki w przypadku zaistnienia. Gdy zostanie wyznaczone prawdopodobieństwo wystąpienia zdarzenia oraz określone zostaną straty, które to zdarzenie może spowodować, wtedy wyznacza się wartość ryzyka jako iloczyn prawdopodobieństwa wystąpienia danego zdarzenia i skutku.
UWAGA - Odradzamy tworzenie mocno skomplikowanych analiz z dwudziestoma kryteriami oceny. Najczęściej z takich analiz nic konkretnego nie będzie wynikać (oczywiście nie wykluczamy, że mogłoby być inaczej, jednak doświadczenie podpowiada, że czasami mniej znaczy więcej). Sztuką jest przeprowadzić analizę w taki sposób, aby była osiągała ona założone cele, jak i była czytelna dla jej potencjalnych odbiorców.
Zgodnie z art. 24 RODO administrator ma obowiązek wdrożyć środki organizacyjne oraz techniczne w celu zapewnienia bezpieczeństwa przetwarzanych danych, które będą zapewniały charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób, których dane dotyczą. Realizacja tego obowiązku ma na celu zapewnić transparentność operacji przetwarzania danych, a mianowicie kto, kiedy i jakie działania będzie na tychże danych wykonywał.
Środki i działania, które można wykorzystać w celu minimalizacji ryzyka naruszenia określa art. 32 RODO. Należą do nich:
Zasada podejścia opartego na ryzyku jest powiązana z zasadą rozliczalności określoną w art. 5 ust. 2 RODO.
Przepisy RODO nie narzucają określonej metodologii analizy ryzyka. Oznacza to, że każda instytucja może przeprowadzać analizę ryzyka w sposób indywidulany. Ważne jest to, aby rzeczywiście przeprowadzać analizę ryzyka. Administrator, który nie prowadzi analizy ryzyka nie jest w stanie wykazać, iż przetwarzane dane osobowe są zabezpieczone w sposób odpowiedni.
Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.
Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?
RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?
W przepisach RODO wskazano na zawiadomienie osoby fizycznej o naruszeniu jej danych osobowych jako jeden z możliwych obowiązków administratora. Jednakże czy każde naruszenie będzie wymagało zawiadomienia osoby, której dane dotyczą?