Analiza ryzyka

Analiza ryzyka

 

CZYM JEST ANALIZA RYZYKA?

Analizą ryzyka nazywamy proces polegający na rozpoznaniu ryzyka oraz określeniu jego poziomu w ramach konkretnej operacji przetwarzania. Innymi słowy jest to przewidywanie, jakie konsekwencje przy określonych procesach mogą dotyczyć podmiotów gromadzonych przez administratora danych osobowych.

Co istotne, RODO wprowadziło do porządku prawnego podejście oparte na ryzyku. Wydaje się zatem zasadnym twierdzenie, że każda firma ma za zadanie przynajmniej oszacować ryzyko przetwarzania danych (celem wykazania, że nie dochodzi do wysokiego ryzyka naruszenia praw i wolności jednostek, których dane dotyczą). Dodatkowo RODO wymaga, aby w części sytuacji obligatoryjnie przeprowadzić analizę ryzyka w celu zastosowania określonych środków ochrony danych, a także podjęcia decyzji o dalszym przetwarzaniu danych osobowych.

Analiza ryzyka służy poznaniu charakteru ryzyka oraz określenia jego poziomu. Podczas analizy ryzyka należy wziąć pod uwagę aktualny poziom stosowanych zabezpieczeń. Co istotne, wykrywając luki w zabezpieczeniach można lepiej zabezpieczyć nie tylko dane osobowe, ale także szereg innych informacji, którymi dysponuje administrator (np. informacje o stanie majątkowym spółki, know-how, informacje o produktach itp.).

Za proces analizy ryzyka odpowiada administrator lub podmiot przetwarzający. Istotna w tym procesie jest pomoc Inspektora Ochrony Danych, który udziela administratorowi profesjonalnego wsparcia.

Proces analizy ryzyka powinien być wykonywany cyklicznie.

SZACOWANIE RYZYKA

Ryzyko szacujemy na podstawie obiektywnej oceny, która to powinna doprowadzić nas do stwierdzenia, czy z przetwarzaniem danych wiąże się jakiekolwiek ryzyko dla jednostek, jeśli tak, czy może ono być określone jako wysokie ryzyko. Efektywnym sposobem przeprowadzenia oceny mogłoby być wdrożenie w danej instytucji procesu oceny oraz zarządzania ryzykiem jako odrębnej procedury organizacyjnej.

Chcąc przeprowadzić analizę ryzyka, w pierwszej kolejności należy określić operacje oraz cele przetwarzania danych osobowych. Następnie, aby móc przeprowadzić analizę operacji przetwarzania danych należy sprawdzić wymagania określone w art. 35 ust. 7 RODO. W szczególności zwracamy uwagę na weryfikację,  czy dokonywana przez nas analiza zawiera „ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów” (pkt b). Dodatkowo należy oszacować prawdopodobieństwo pojawienia się określonych rodzajów ryzyka oraz rodzaju wartości ewentualnych strat.

Przede wszystkim:

  1. Oszacowanie ryzyka powinno odbywać się na podstawie obiektywnej, rzeczowej analizy.
  2. Szacowanie ryzyka należy traktować jako proces ciągły.
  3. Na każdym etapie przetwarzania danych należy zapewnić właściwy stopień ochrony danych osobowych.
  4. Wdrożone środki oraz ich skuteczność powinny być stale monitorowane i w razie potrzeby – aktualizowane i doskonalone.

Podczas szacowania ryzyka należy pamiętać o kumulacji zagrożeń (efekt domina). Oznacza to, że zawsze powinno się brać pod uwagę wystąpienie kilku zagrożeń jednocześnie.

Aby oszacować ryzyko należy wykonać ocenę prawdopodobieństwa zajścia określonego zdarzenia oraz oszacować jego skutki w przypadku zaistnienia. Gdy zostanie wyznaczone prawdopodobieństwo wystąpienia zdarzenia oraz określone zostaną straty, które to zdarzenie może spowodować, wtedy wyznacza się wartość ryzyka jako iloczyn prawdopodobieństwa wystąpienia danego zdarzenia i skutku.

UWAGA - Odradzamy tworzenie mocno skomplikowanych analiz z dwudziestoma kryteriami oceny. Najczęściej z takich analiz nic konkretnego nie będzie wynikać (oczywiście nie wykluczamy, że mogłoby być inaczej, jednak doświadczenie podpowiada, że czasami mniej znaczy więcej). Sztuką jest przeprowadzić analizę w taki sposób, aby była osiągała ona założone cele, jak i była czytelna dla jej potencjalnych odbiorców. 

ŚRODKI BEZPIECZEŃSTWA

Zgodnie z art. 24 RODO administrator ma obowiązek wdrożyć środki organizacyjne oraz techniczne w celu zapewnienia bezpieczeństwa przetwarzanych danych, które będą zapewniały charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób, których dane dotyczą. Realizacja tego obowiązku ma na celu zapewnić transparentność operacji przetwarzania danych, a mianowicie kto, kiedy i jakie działania będzie na tychże danych wykonywał.

Środki i działania, które można wykorzystać w celu minimalizacji ryzyka naruszenia określa art. 32 RODO. Należą do nich:

  1. pseudonimizacja i szyfrowanie danych osobowych;
  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Zasada podejścia opartego na ryzyku jest powiązana z zasadą rozliczalności określoną w art. 5 ust. 2 RODO.

Przepisy RODO nie narzucają określonej metodologii analizy ryzyka. Oznacza to, że każda instytucja może przeprowadzać analizę ryzyka w sposób indywidulany. Ważne jest to, aby rzeczywiście przeprowadzać analizę ryzyka. Administrator, który nie prowadzi analizy ryzyka nie jest w stanie wykazać, iż przetwarzane dane osobowe są zabezpieczone w sposób odpowiedni.

Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.

Ostatnie posty

Dane wrażliwe (art. 9 RODO)
Dane wrażliwe (art. 9 RODO)

Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?

Rejestr czynności przetwarzania
Rejestr czynności przetwarzania

RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?

Zawiadomienie osoby fizycznej o naruszeniu ochrony danych osobowych
Zawiadomienie osoby fizycznej o naruszeniu ochrony danych osobowych

W przepisach RODO wskazano na zawiadomienie osoby fizycznej o naruszeniu jej danych osobowych jako jeden z możliwych obowiązków administratora. Jednakże czy każde naruszenie będzie wymagało zawiadomienia osoby, której dane dotyczą?