Analiza ryzyka w RODO to temat, który od samego początku wzbudzał dużo emocji i wątpliwości. Rozporządzenie często o niej wspomina, nie dając jednocześnie żadnych narzędzi i szczegółowych wytycznych odnośnie jej stosowania. I w sumie dobrze, bo to administrator powinien dobrać metodę, która będzie najlepsza dla jego organizacji. Jeśli jesteś w stanie udowodnić, że Twoje podejście, pozwala na prawidłowe określenie poziomu ryzyka naruszenia praw i wolności osób fizycznych, nikt Twojej metody nie podważy. Sęk w tym, aby przedmiotem Twojej analizy było ryzyko naruszenia praw i wolności osób fizycznych. Wbrew pozorom nie dla wszystkich jest to oczywiste.

Czego RODO wymaga w analizie ryzyka?

RODO kilkukrotnie w rożnych kontekstach wspomina o konieczności oszacowania poziomu ryzyka. Teraz zajmiemy się przypadkiem najbardziej oczywistym. Artykuł 35 ust. 1 RODO mówi:

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Ten fragment nie mówi wprost o “analizie ryzyka”, natomiast każe nam to ryzyko ocenić, aby podjąć decyzję, czy należy wykonać ocenę skutków dla ochrony danych (oznaczaną także akronimem OSOD lub angielskim DPIA). Zwracam uwagę na pierwsze wytłuszczenie w cytacie. Tam wprost określono czego to ryzyko ma dotyczyć. Napiszę i wytłuszczę to jeszcze raz “wysokie ryzyko naruszenia praw i wolności osób fizycznych”.

Najczęstszy błąd w analizie ryzyka w RODO

Skoro to takie oczywiste, to gdzie pojawia się błąd i dlaczego? Na początku nikt nie wiedział jak zrobić analizę ryzyka w RODO, bo w RODO nie było napisane jak ją zrobić :). Trzeba było “coś wymyślić”, a najlepiej oprzeć się o dobre, istniejące wzorce. Ochronę danych osobowych można potraktować jako element bezpieczeństwa informacji. Tę dziedzinę opisują normy serii ISO 27000. W tych normach znajdziemy m.in. wymagania dotyczące prowadzenia analizy ryzyka i warto z nich skorzystać, ale… z rozwagą. Normy dotyczące systemów zarządzania wydawane przez ISO, to normy dla biznesu. Spełnienie ich wymagań i wytycznych ma chronić organizację. Tak więc szacowanie ryzyka również jest robione w interesie organizacji (nie osoby fizycznej). Zaadaptowanie wytycznych normy ISO 27005 Zarządzanie ryzykiem w bezpieczeństwie informacji i zastosowanie ich w swoich systemach ochrony danych osobowych jest dobrym krokiem o ile rozumie się cel szacowania ryzyka, który stawia przed nami RODO. W większości przypadków dobra idea oparcia się o normę ISO 27005, została urzeczywistniona błędnie. Nie zmieniono kluczowego elementu – podmiotu, którego dotykają skutki realizacji ryzyka. Zamiast skutków jakie dotykają osobę fizyczną, rozpatrują skutki dla organizacji. Mimo, że metoda jest co do zasady prawidłowa, to taka analiza nie prowadzi nas do wniosków, których wymaga od nas RODO, czyli do oszacowania prawdopodobieństwa spowodowania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

Skutki realizacji ryzyka dla osoby fizycznej

Przejdźmy od teorii do czynu. Zrealizowanie się ryzyka, może wywołać określone skutki dla osoby fizycznej. Wartość tych skutków jest jednym z czynników, który wpływa na poziom ryzyka. Jak ocenić skutki dla osoby fizycznej? Trzeba stworzyć jakieś ramy tej oceny, najlepiej w postaci skali. I jak zwykle skala ta powinna być stworzona indywidualnie i dostosowana do specyfiki administratora. Nie zostawię Cię z tym jednak samego. Poniżej przedstawiam Tobie tabelę, która służy do oceny skutków realizacji ryzyka dla osoby fizycznej.

OcenaPoziomSkutki finansoweSkutki dla reputacjiSkutki dla zdrowiaSkutki prawne
1PomijalnyNie wywołuje skutkuNie wywołuje skutkuNie wywołuje skutkuNie wywołuje skutku
2UmiarkowanyOsoba może napotkać kilka niedogodności  finansowych, które powinna być w stanie przezwyciężyć np.: – utrata w wysokości jednokrotności średniego krajowego wynagrodzenia – itp.Osobę może spotkać naruszenie reputacji w sferze zawodowej, powodujące umiarkowany dyskomfort.Osoba może napotkać kilka niedogodności  zdrowotnych, które powinna być w stanie przezwyciężyć np.: – niewielkie dolegliwości fizyczne – naruszenie czynności narządu ciała lub rozstrój zdrowia trwający nie dłużej niż 7 dni, – chwilowe rozdrażnienie, podirytowanie, – itp.Osoba może napotkać kilka niedogodności prawnych,   które powinna być w stanie przezwyciężyć np.: – sankcje nałożone w ramach Kodeksy wykroczeń (nagana, grzywna do wysokości jednego średniego krajowego wynagrodzenia) – brak możliwości zawarcia umowy mającej umiarkowany wpływ na komfort życia podmiotu danych, – inne skutki prawne mające umiarkowany wpływ na podmiot danych.
3ZnaczącyOsoba może napotkać znaczące konsekwencje finansowe, które powinna być w stanie przezwyciężyć chociaż z poważnymi trudnościami, np.: – utrata wiarygodności kredytowej, – utrata w wysokości do wartości trzech wynagrodzeń średnich krajowych, – itp.Osobę może spotkać naruszenie reputacji w  sferze zawodowej, powodujące znaczny dyskomfort.Osoba może napotkać znaczące konsekwencje zdrowotne, które powinna być w stanie przezwyciężyć chociaż z poważnymi trudnościami, np.: – naruszenie czynności narządu ciała lub rozstrój zdrowia trwał dłużej niż 7 dni, – strach, brak zrozumienia, stres, – itp.Osoba może napotkać znaczące konsekwencje prawne, które powinna być w stanie przezwyciężyć chociaż z poważnymi trudnościami, np.: – wezwanie do sądu, – utrata zatrudnienia, – grzywna powyżej wysokości jednego średniego krajowego wynagrodzenia, – brak możliwości zawarcia umowy mającej znaczący wpływ na komfort życia, – inny skutek prawny mający znaczący wpływ na podmiot danych.
4KatastrofalnyOsoba może napotkać krytyczne konsekwencje finansowe, których może nie przezwyciężyć np.: – całkowita utrata zdolności kredytowej, – powstanie długów powyżej wartości trzech wynagrodzeń średnich krajowych, – itp.Osobę może spotkać naruszenie reputacji w sferze zawodowej, prywatnej oraz publicznej powodujące krytyczny dyskomfort.Osoba może napotkać krytyczne konsekwencje zdrowotne, których nie może przezwyciężyć np.: – długoterminowe dolegliwości psychologiczne, – ciężkie kalectwo lub śmierć, – itp.Osoba może napotkać krytyczne konsekwencje prawne, których nie może przezwyciężyć np.: – kara pozbawienia wolności, – brak możliwości zatrudnienia, – brak możliwości zawarcia umowy mającej krytyczny wpływ na komfort życia, –  inny skutek prawny mający krytyczny wpływ na  podmiot danych.
Tabela – Skala skutków realizacji ryzyka

Na koniec

RODO nie wskazuje, jakiej konkretnie metody szacowania ryzyka powinieneś używać. Każda metoda będzie dobra, jeśli potrafisz dowieść, że prowadzi Cię do celu, jaki stawia przed Tobą RODO. Celem nadrzędnym RODO jest ochrona osób fizycznych i danych osobowych. Jeśli będziesz o tym pamiętać, będzie Ci łatwiej rozwiać swoje wątpliwości związane z kwestiami szacowania ryzyka i wieloma innymi aspektami poruszanymi w RODO.

Newsletter RODO

Newsletter

 

Dla Ciebie trzymamy rękę na pulsie.

Chcesz być na bieżąco z RODO i bezpieczeństwem informacji?

Zapisz się na nasz newsletter. 

 

You have Successfully Subscribed!

Pin It on Pinterest

Więcej w Artykuły
Złe wdrożenie RODO zniszczy Twój biznes, a dobre pozwoli mu rozwinąć skrzydła. Którą opcję wybierasz?

Jako przedsiębiorca masz do wyboru dokładnie trzy opcje. Możesz udawać, że problem RODO Cię nie dotyczy i nie zrobić nic...

Zamknij