Analiza ryzyka – krótki przewodnik

RODO przyniosło kres szablonowym rozwiązaniom i uniwersalnym środkom zabezpieczającym, które zastąpił system ochrony danych osobowych dostosowany do ryzyk związanych z ich przetwarzaniem.

Aby administrator mógł dobrać środki zabezpieczające odpowiednie do ryzyk, charakteru, zakresu, kontekstu i celów przetwarzania, musi najpierw zidentyfikować, w jaki sposób przetwarza dane osobowe i na jakie ryzyka to przetwarzanie jest narażone.

Privacy by design

Pierwszym krokiem do stworzenia odpowiedniego procesu analizy ryzyka jest zebranie informacji na temat planowanego przetwarzania i jego ocena pod kątem zgodności z zasadami RODO. Etap ten nazywany jest privacy by design i polega na budowaniu zgodności procesu z zasadami ochrony danych osobowych już w fazie projektowania. To właśnie wtedy należy wyeliminować wszelkie niezgodności z wymogami wynikającymi z przepisów.

Nawet proces uwzgledniający zasady RODO może jednak powodować ryzyko naruszenia praw i wolności osób fizycznych. Jeżeli z dużym prawdopodobieństwem ryzyko to może być wysokie, wówczas obowiązkowe jest przeprowadzenie oceny skutków dla ochrony danych (DPIA – Data Privacy Impact Assessment) dla danego procesu przetwarzania danych.

Preewaluacja

Skąd mamy wiedzieć, że ryzyko może być wysokie? W stosunku do procesów wymienionych w art. 35 ust. 3 RODO oraz umieszczonych w wykazie PUODO rozstrzygnął to za nas prawodawca unijny oraz polski organ nadzorczy1. W stosunku do pozostałych procesów administrator powinien określić własne kryteria oceny możliwości wystąpienia wysokiego ryzyka (tzw. preewaluacja). Najlepiej posłużyć się w tym celu wytycznymi Grupy Roboczej Art. 29 ds. ochrony danych (obecnie Europejska Rada Ochrony Danych), pomagającymi ustalić, czy przetwarzanie może powodować wysokie ryzyko2.

Grupa Robocza wskazała 9 kryteriów, których spełnienie może zwiększać prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osób fizycznych.

W ocenie tej bierze się między innymi pod uwagę:

  • czy w procesie dochodzi do zautomatyzowanego podejmowania decyzji o skutku prawnym lub innym podobnym (art. 22 RODO),
  • czy ma miejsce przetwarzanie danych szczególnych kategorii,
  • czy dochodzi do przetwarzania danych na dużą skalę,
  • czy w procesie przetwarzania danych wykorzystywane są innowacyjne rozwiązania.

Im więcej tych kryteriów zostanie spełnionych, tym wyższe prawdopodobieństwo wystąpienia wysokiego ryzyka.

DPIA

Dla procesów, które mogą powodować wysokie ryzyko naruszenia praw i wolności, trzeba – zgodnie z art. 35 ust. 1 RODO – dokonać oceny skutków dla ochrony danych. Przepisy nakazują przeprowadzenie tej oceny przed rozpoczęciem procesu przetwarzania danych osobowych. Poniżej wyjaśnienie wybranych zagadnień praktycznych dotyczących oceny skutków dla ochrony danych.

Skąd wiedzieć, że występuje obowiązek wykonania DPIA?

Aby zweryfikować, czy wykonanie DPIA jest w danym przypadku konieczne, należy sprawdzić, czy operacje przetwarzania spełniają przesłanki określone w:

  • 35 ust. 3 RODO;
  • wykazie operacji wymagających DPIA opublikowanym przez PUODO;
  • wytycznych G29, WP 248.

Do czego służy DPIA?

  • zbadania zgodności procesu z wymogami RODO;
  • oceny ryzyka związanego z przetwarzaniem danych i doboru odpowiednich środków minimalizujących ryzyko;
  • wykazania zgodności (rozliczalność).

Kto ma to robić ?

Administrator

Obowiązki związane z analizą ryzyka obciążają administratora. W praktyce to pracownicy działu odpowiedzialnego merytorycznie za proces będą musieli dostarczyć informacji potrzebnych do wykonania DPIA, gdyż posiadają o nim największą wiedzę.

Inspektor

Trudno wyobrazić sobie proces analizy ryzyka bez udziału inspektora ochrony danych (jeśli taki jest wyznaczony). RODO wskazuje na konieczność konsultacji DPIA z IOD, niemniej wskazane jest, aby uczestniczył on od początku w pracach nad oceną skutków dla ochrony danych

Dział IT, dział prawny

DPIA, z uwagi na złożoność procesu oraz przenikanie się wymaganej wiedzy specjalistycznej z dziedzin prawa i technologii, wymaga współpracy z działem prawnym oraz z działem IT.

Podmiot przetwarzający

W wielu przypadkach konieczna będzie współpraca z podmiotem przetwarzającym, który bierze udział w procesie przetwarzania danych osobowych. Prawidłowe dokonanie oceny skutków dla ochrony danych może okazać się wręcz niemożliwe bez udziału procesora.

Organ nadzorczy

Jeśli ocena skutków dla ochrony danych wskazuje na występowanie wysokiego ryzyka, pomimo podjętych środków zabezpieczających, przetwarzanie należy skonsultować z organem nadzorczym.

Podmioty danych

RODO przewiduje również – w stosownych przypadkach – obowiązek zasięgnięcia opinii osób, których dane dotyczą, lub ich przedstawicieli.

Jak to robić?

  • przygotuj opis planowanych operacji przetwarzania (charakter, zakres i kontekst przetwarzania), celów przetwarzania oraz prawnie uzasadnionych interesów, jeśli występują;
  • oceń niezbędność i proporcjonalność operacji przetwarzania w stosunku do celów;
  • oceń ryzyka naruszenia praw i wolności osób fizycznych;
  • przygotuj opis środków zapewniających bezpieczeństwo danych oraz realizację praw osób, których dane dotyczą;
  • przygotuj opis zasobów wykorzystywanych do przetwarzania danych;
  • zdiagnozuj zagrożenia związane z przetwarzaniem;
  • oceń istotność zagrożeń i prawdopodobieństwo ich wystąpienia;
  • zastosuj dodatkowe środki minimalizujące ryzyko, jeśli – na podstawie oceny istotności i prawdopodobieństwa wystąpienia zagrożenia – jest ono wysokie;

Jeśli nie da się zminimalizować wysokiego ryzyka:

  • nie rozpoczynaj przetwarzania albo
  • skonsultuj proces z Urzędem Ochrony Danych Osobowych.

A jak coś się zmieni?

Analiza ryzyka jest procesem ciągłym, wymagającym monitorowania zmian i zagrożeń. Ryzyko związane z przetwarzaniem może się zmieniać z uwagi na czynniki zależne od administratora (np. decyzje biznesowe) lub niezależne od niego (np. zmieniające się zagrożenia, podatności).

Konieczność ponownej analizy ryzyka może wynikać również ze zmian przepisów i potrzeby dostosowania do nowych wymogów procesów przetwarzania realizowanych przez administratora. Przepis art. 33 ust. 11 RODO zobowiązuje administratora do monitorowania, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.


Zobacz inne artykuły autora