Analiza ryzyka w RODO to temat, który od samego początku wzbudzał dużo emocji i wątpliwości. Rozporządzenie często o niej wspomina. Nie daje jednocześnie żadnych narzędzi i szczegółowych wytycznych odnośnie jej stosowania. I w sumie dobrze. To administrator powinien dobrać metodę, która będzie najlepsza dla jego organizacji. Jeśli jesteś w stanie udowodnić, że Twoje podejście, pozwala na prawidłowe określenie poziomu ryzyka naruszenia praw i wolności osób fizycznych, nikt Twojej metody nie podważy. Sęk w tym, aby przedmiotem Twojej analizy było ryzyko naruszenia praw i wolności osób fizycznych. Wbrew pozorom nie dla wszystkich jest to oczywiste.
Czego RODO wymaga w analizie ryzyka?
RODO kilkukrotnie w rożnych kontekstach wspomina o konieczności oszacowania poziomu ryzyka. Teraz zajmiemy się przypadkiem najbardziej oczywistym. Artykuł 35 ust. 1 RODO mówi:
Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
Ten fragment nie mówi wprost o „analizie ryzyka”. Każe nam natomiast to ryzyko ocenić, aby podjąć decyzję, czy należy wykonać ocenę skutków dla ochrony danych (oznaczaną także akronimem OSOD lub angielskim DPIA). Zwracam uwagę na pierwsze wytłuszczenie w cytacie. Tam wprost określono czego to ryzyko ma dotyczyć. Napiszę i wytłuszczę to jeszcze raz „wysokie ryzyko naruszenia praw i wolności osób fizycznych”.
Najczęstszy błąd w analizie ryzyka w RODO
Skoro to takie oczywiste, to gdzie pojawia się błąd i dlaczego? Na początku nikt nie wiedział jak zrobić analizę ryzyka w RODO, bo w RODO nie było napisane jak ją zrobić :). Trzeba było „coś wymyślić”, a najlepiej oprzeć się o dobre, istniejące wzorce. Ochronę danych osobowych można potraktować jako element bezpieczeństwa informacji. Tę dziedzinę opisują normy serii ISO 27000. W tych normach znajdziemy m.in. wymagania dotyczące prowadzenia analizy ryzyka i warto z nich skorzystać, ale… z rozwagą. Normy dotyczące systemów zarządzania wydawane przez ISO, to normy dla biznesu. Spełnienie ich wymagań i wytycznych ma chronić organizację. Tak więc szacowanie ryzyka również jest robione w interesie organizacji (nie osoby fizycznej). Zaadaptowanie wytycznych normy ISO 27005 Zarządzanie ryzykiem w bezpieczeństwie informacji i zastosowanie ich w swoich systemach ochrony danych osobowych jest dobrym krokiem. Pierw jednak trzeba zrozumieć cel szacowania ryzyka, który stawia przed nami RODO. W większości przypadków dobra idea oparcia się o normę ISO 27005, została urzeczywistniona błędnie. Nie zmieniono kluczowego elementu – podmiotu, którego dotykają skutki realizacji ryzyka. Zamiast skutków jakie dotykają osobę fizyczną, rozpatrują skutki dla organizacji. Metoda co do zasady prawidłowa. Analiza nie prowadzi nas jednak do wniosków, których wymaga od nas RODO. Nie pozwala na oszacowanie prawdopodobieństwa spowodowania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
Skutki realizacji ryzyka dla osoby fizycznej
Przejdźmy od teorii do czynu. Zrealizowanie się ryzyka, może wywołać określone skutki dla osoby fizycznej. Wartość tych skutków jest jednym z czynników, który wpływa na poziom ryzyka. Jak ocenić skutki dla osoby fizycznej? Trzeba stworzyć jakieś ramy tej oceny. Najlepiej w postaci skali. I jak zwykle skala ta powinna być stworzona indywidualnie i dostosowana do specyfiki administratora. Nie zostawię Cię z tym jednak samego. Poniżej przedstawiam Tobie tabelę, która służy do oceny skutków realizacji ryzyka dla osoby fizycznej.
Ocena | Poziom | Skutki finansowe | Skutki dla reputacji | Skutki dla zdrowia | Skutki prawne |
1 | Pomijalny | Nie wywołuje skutku | Nie wywołuje skutku | Nie wywołuje skutku | Nie wywołuje skutku |
2 | Umiarkowany | Osoba może napotkać kilka niedogodności finansowych, które powinna być w stanie przezwyciężyć np.: – utrata w wysokości jednokrotności średniego krajowego wynagrodzenia – itp. | Osobę może spotkać naruszenie reputacji w sferze zawodowej, powodujące umiarkowany dyskomfort. | Osoba może napotkać kilka niedogodności zdrowotnych, które powinna być w stanie przezwyciężyć np.: – niewielkie dolegliwości fizyczne – naruszenie czynności narządu ciała lub rozstrój zdrowia trwający nie dłużej niż 7 dni, – chwilowe rozdrażnienie, podirytowanie, – itp. | Osoba może napotkać kilka niedogodności prawnych, które powinna być w stanie przezwyciężyć np.: – sankcje nałożone w ramach Kodeksy wykroczeń (nagana, grzywna do wysokości jednego średniego krajowego wynagrodzenia) – brak możliwości zawarcia umowy mającej umiarkowany wpływ na komfort życia podmiotu danych, – inne skutki prawne mające umiarkowany wpływ na podmiot danych. |
3 | Znaczący | Osoba może napotkać znaczące konsekwencje finansowe, które powinna być w stanie przezwyciężyć chociaż z poważnymi trudnościami, np.: – utrata wiarygodności kredytowej, – utrata w wysokości do wartości trzech wynagrodzeń średnich krajowych, – itp. | Osobę może spotkać naruszenie reputacji w sferze zawodowej, powodujące znaczny dyskomfort. | Osoba może napotkać znaczące konsekwencje zdrowotne, które powinna być w stanie przezwyciężyć chociaż z poważnymi trudnościami, np.: – naruszenie czynności narządu ciała lub rozstrój zdrowia trwał dłużej niż 7 dni, – strach, brak zrozumienia, stres, – itp. | Osoba może napotkać znaczące konsekwencje prawne, które powinna być w stanie przezwyciężyć chociaż z poważnymi trudnościami, np.: – wezwanie do sądu, – utrata zatrudnienia, – grzywna powyżej wysokości jednego średniego krajowego wynagrodzenia, – brak możliwości zawarcia umowy mającej znaczący wpływ na komfort życia, – inny skutek prawny mający znaczący wpływ na podmiot danych. |
4 | Katastrofalny | Osoba może napotkać krytyczne konsekwencje finansowe, których może nie przezwyciężyć np.: – całkowita utrata zdolności kredytowej, – powstanie długów powyżej wartości trzech wynagrodzeń średnich krajowych, – itp. | Osobę może spotkać naruszenie reputacji w sferze zawodowej, prywatnej oraz publicznej powodujące krytyczny dyskomfort. | Osoba może napotkać krytyczne konsekwencje zdrowotne, których nie może przezwyciężyć np.: – długoterminowe dolegliwości psychologiczne, – ciężkie kalectwo lub śmierć, – itp. | Osoba może napotkać krytyczne konsekwencje prawne, których nie może przezwyciężyć np.: – kara pozbawienia wolności, – brak możliwości zatrudnienia, – brak możliwości zawarcia umowy mającej krytyczny wpływ na komfort życia, – inny skutek prawny mający krytyczny wpływ na podmiot danych. |
Na koniec
RODO nie wskazuje, jakiej konkretnie metody szacowania ryzyka powinieneś używać. Każda metoda będzie dobra, jeśli potrafisz dowieść, że prowadzi Cię do celu, jaki stawia przed Tobą RODO. Celem nadrzędnym RODO jest ochrona osób fizycznych i danych osobowych. Jeśli będziesz o tym pamiętać, będzie Ci łatwiej rozwiać swoje wątpliwości związane z kwestiami szacowania ryzyka i wieloma innymi aspektami poruszanymi w RODO.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.