Szacowanie ryzyka jest jednym z podstawowych obowiązków nakładanych przez RODO na podmioty przetwarzające dane osobowe (art. 24 i 32 RODO).

Brak przeprowadzenia analizy lub nieprawidłowe jej przeprowadzenie może skutkować bardzo surowymi sankcjami dla podmiotu przetwarzającego dane osobowe. Przystępując do szacowania ryzyka na potrzeby RODO, odpowiedzieć powinniśmy sobie w szczególności na następujące pytania:

O jakie prawa i wolności chodzi? Czy szacujemy ryzyko naruszenia przepisów RODO?

RODO posługuje się pojęciem naruszenia praw i wolności osób, których dane są przetwarzane. Nie chodzi tu więc de facto o ryzyko naruszenia przepisów RODO, a o ryzyko, jakie przetwarzanie przez nas danych osobowych może nieść dla praw i wolności osób, których dane są przetwarzane. O jakie prawa i wolności chodzi? Z pewnością chodzić może tu m.in. o:

  • prawo do ochrony danych osobowych;
  • prawo do ochrony życia prywatnego;
  • prawo do tajemnicy korespondencji;
  • prawo do swobody wyznania;
  • prawo do zrzeszania się w związkach zawodowych;
  • wolność od dyskryminacji;
  • inne prawa i wolności wynikające np. z RODO, Konstytucji lub Powszechnej deklaracji praw człowieka.

Czy proces analizy ryzyka naruszenia praw i wolności osób może przebiegać w sposób dowolny?

W dużej mierze tak. RODO nie narzuca wyboru konkretnej metody przeprowadzania analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą, wskazuje jednak, że proces oceny winien mieć charakter obiektywny. Zgodnie z motywem 76 RODO „ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko”.

W zależności od możliwości i potrzeb, wybierając metodę szacowania ryzyka można się kierować podejściem ilościowym, jakościowym lub mieszanym. Zalecanymi są metody mieszane, które łączą bardziej obiektywne wskaźniki ilościowe (wyrażane w postaci określonych wielkości) z bardziej szczegółowym (i więcej mówiącym) opisem poszczególnych ryzyk i ich skutków. Najważniejszym jest jednak, by analiza była przeprowadzona w sposób możliwie obiektywny, konsekwentny i rozliczalny. Posiłkować można się np. aplikacją PIA opracowaną przez CNIL (francuski organ nadzorczy) na potrzeby oceny skutków operacji przetwarzania dla ochrony danych osobowych (art. 35 RODO) - przy użyciu tej aplikacji (przetłumaczonej na język polski) dokonać można również analizy ryzyka w rozumieniu art. 24 i 32 RODO.

Jak rozumieć ryzyko?

Ryzyko naruszenia praw i wolności osób, których dane dotyczą rozumiemy jako wypadkową: (A) prawdopodobieństwa ziszczenia się ryzyka oraz (B) wagi ryzyka dla osoby, której dane dotyczą. Przyjąć można jeszcze trzecią wypadkową: (C) prawdopodobieństwo wykrycia wystąpienia ryzyka. Dokonując szacowania ryzyka na potrzeby czynności polegającej na wysyłce korespondencji do klientów przedsiębiorcy musimy ocenić więc prawdopodobieństwo bezprawnego ujawnienia, utraty lub modyfikacji danych osobowych naszego klienta oraz znaczenie takiego incydentu dla praw i wolności naszego klienta – tym wyższe, im bardziej newralgiczne dane znajdują się w korespondencji. Możemy również pokusić się o ocenę tego z jakim prawdopodobieństwem wykryjemy to, że doszło do nieuprawnionego ujawnienia, modyfikacji lub utraty danych osobowych naszego klienta.

Jak rozumieć zagrożenia?

Zagrożeniem jest okoliczność prowadząca do wystąpienia ryzyka. Przykładowo więc pożar lub atak hakerski prowadzić mogą do nieuprawnionej utraty danych lub nieuprawnionego dostępu do nich przez osoby trzecie. Zagrożenia możemy podzielić na: osobowe wewnętrzne (np. nieuwaga pracownika), osobowe zewnętrzne (np. atak hakera) oraz nieosobowe (np. pożar).

Jak stopniować i nazywać ryzyko?

RODO dzieli ryzyko na zwykłe – „ryzyko” i kwalifikowane – „wysokie ryzyko”. Zasadnym jest przyjęcie przy tym kategorii trzeciej – „znikome ryzyko” lub "pomijalne ryzyko". W praktyce przetwarzanie danych osobowych prawie zawsze wiąże się z ryzykiem naruszenia praw i wolności osób, których dane są przetwarzane. Celem każdego podmiotu przetwarzającego dane osobowe powinno być ograniczanie przypadków występowania wysokiego ryzyka i wprowadzanie odpowiednich zabezpieczeń i środków zaradczych na wypadek, gdy takie wysokie ryzyko zostało stwierdzone.

Jak szacować ryzyko?

Najlepiej w postaci skali (może to być skala od 1 do 10 lub inna wybrana i konsekwentnie stosowana przez administratora). Określone wartości skali winny zostać w przekonujący i obiektywny sposób opisane a poszczególne przedziały tych wartości kwalifikować powinny się jako: (A) pomijalne ryzyko – np. dla wartości 1-3, (B) ryzyko umiarkowane – np. dla wartości 4-7 oraz (C) wysokie ryzyko – np. dla wartości 8-10. Wartości nadajemy wszystkim przyjętym przez nas wypadkowym, a więc w szczególności prawdopodobieństwu wystąpienia ryzyka i wagi tego ryzyka dla osoby, której dane osobowe przetwarzamy. Uzyskany iloczyn wartości nadanych poszczególnym wypadkowym dla danej czynności przetwarzania pozwala nam ocenić stopień ryzyka związanego z daną czynnością przetwarzania. Kluczowym jest przy tym aby wartości nie przypisywać w sposób arbitralny i potrafić się z nich rozliczyć na wypadek ewentualnej kontroli.

Stwierdziliśmy wysokie ryzyko. Co teraz?

Po pierwsze, zgodnie z art. 35 ust.1 RODO, jeśli dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania zobowiązany jest dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W art. 35 ust.3 RODO wskazano w jakich przykładowych przypadkach ocena skutków dla ochrony danych jest w szczególności wymagana. Sformułowanie „w szczególności” użyte w tym przepisie oznacza niestety, że lista wskazana w art. 35 ust.3 RODO nie ma charakteru zamkniętego a jedynie przykładowy. W praktyce przeprowadzenie oceny skutków operacji przetwarzania dla ochrony danych bardzo często będzie zalecane a czasem może się okazać niezbędne. Nie chodzi jedynie o spełnienie wymogu wyrażonego wprost w art. 35 ust.1 RODO, ale również o zapewnienie rozliczalności, która jako zasada wyrażona została w art. 5 ust.2 RODO. Zasada rozliczalności oznacza, że administrator zobowiązany jest w razie kontroli wykazać przestrzeganie przepisów RODO. Wystąpienie wysokiego ryzyka może również w niektórych przypadkach prowadzić do obowiązku konsultacji z organem nadzorczym przed rozpoczęciem przetwarzania danych osobowych (vide art. 36 ust.1 RODO).

Stwierdzenie wysokiego ryzyka powinno zawsze prowadzić do wdrożenia działań zaradczych, które nakierowane powinny być na obniżenie poziomu tego ryzyka przynajmniej do poziomu umiarkowanego (np. wprowadzenie szyfrowania dysków urządzeń elektronicznych, zabezpieczanie przesyłanych danych hasłem, szyfrowanie poczty e-mail, zakup właściwego oprogramowania typu Internet security, zmiana polityki w zakresie udzielania upoważnień do przetwarzania danych osobowych).

Jak zabrać się do przeprowadzenia analizy ryzyka?

Analiza ryzyka jest procesem bardzo czasochłonnym, przez to i kosztownym (niezależnie od tego czy w proces ten zaangażujemy zasoby wewnętrzne czy zlecimy go na zewnątrz). W analizie brać udział winni prawnicy specjalizujący się w ochronie danych osobowych oraz  informatycy – najlepiej informatyk współpracujący na co dzień z podmiotem przeprowadzającym analizę, a także pracownik odpowiadający za ochronę danych osobowych w przedsiębiorstwie podmiotu prowadzącego analizę. Konieczna jest również współpraca z poszczególnymi działami przedsiębiorstwa – w szczególności działem kadrowym i HR, specjalistą od rekrutacji, ewentualnie także działem windykacji. Przeprowadzenia analizy ryzyka nie należy co do zasady zlecać Inspektorowi Ochrony Danych - jest on podmiotem, który powinien zweryfikować poprawność przeprowadzonej analizy ryzyka, nie zaś podmiotem, który sam taką analizę powinien prowadzić.

Dlaczego analiza ryzyka się opłaca?

Bez przeprowadzenia rzetelnej, gruntownej analizy ryzyka i właściwego jej udokumentowania, niemożliwe jest w zasadzie spełnienie warunku rozliczalności wynikającego z RODO. Nie sposób w ustnych tłumaczeniach lub przez szczątkową dokumentację wykazać przestrzegania przez podmiot przetwarzający wymogów RODO. Pamiętać należy, że każdy podmiot przetwarzający dane osobowe zobowiązany jest wdrożyć zabezpieczenia adekwatne do stwierdzonego ryzyka dla praw i wolności osób, których dotyczą przetwarzane dane osobowe. Bez przeprowadzenia analizy takiego ryzyka nie sposób więc w zasadzie dobrać zabezpieczenia, które będą do takiego (nieznanego) ryzyka adekwatne. Kary za naruszenie wymogów RODO mogą być przy tym horrendalnie wysokie – przewyższając wielokrotnie koszt przeprowadzenia rzetelnej analizy ryzyka. Dotyczy to w szczególności średnich i dużych przedsiębiorców, którzy zatrudniają sporą liczbę pracowników i generują wysoki obrót a zachodzące u nich procesy przetwarzania danych osobowych mają charakter złożony. Rzetelnie przeprowadzona analiza ryzyka pomoże również z całą pewnością w należytej ochronie danych osobowych pracowników, współpracowników i kontrahentów przedsiębiorcy, a także danych wszelkich innych osób, których dane osobowe przetwarzane są przez przedsiębiorcę. Pozwoli to nie tylko uniknąć kar, ale również utraty prestiżu i zaufania jakimi cieszy się przedsiębiorca, jako konsekwencji wycieku danych osobowych.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Rejestr czynności przetwarzania danych osobowych.

Kary pieniężne wynikające z RODO.

Bezpieczeństwo przetwarzanych danych.

Zasady RODO.

Zasada rozliczalności.

Wdrożenie RODO.

Kontrola zgodności z RODO.

Powierzenie przetwarzania danych osobowych.

Data publikacji: 29.06.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz