Dołącz do czytelników
Brak wyników

Prawo pod lupą

12 grudnia 2018

NR 60 (Grudzień 2018)

RODO w OPS Część III – szacowanie ryzyka i reagowanie w sytuacji naruszeń

0 255

Ogólne rozporządzenie o ochronie danych osobowych z dnia 26 kwietnia 2016 r. (RODO) zobowiązuje administratorów danych (ADO) do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu przetwarzania danych zgodnie z przepisami. W szczególności środki te mają służyć zapobieżeniu lub zminimalizowaniu ryzyka naruszenia praw lub wolności osób fizycznych, których dane mogą zostać przetworzone w sposób sprzeczny z obowiązującymi przepisami.

Zgodnie z art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania i ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Po myśli art. 32 ust. 2 RODO, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w przede wszystkim ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, a nadto zgodnie z art. 32 ust. 4 administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii Europejskiej lub prawo państwa członkowskiego.

Analiza i oszacowanie ryzyka

Przepisy te zobowiązują zatem ADO do oszacowania ryzyka wystąpienia zjawisk, w związku z którymi może dojść do niezgodnego z prawem przetwarzania danych osobowych.
Zgodnie z przygotowanym przez Urząd Ochrony Danych Osobowych poradnikiem pt. RODO – Podejście oparte na ryzyku (//uodo.gov.pl/pl/123/208), „[...] uzależnienie środków ochrony przetwarzanych danych od poziomu ryzyka wymaga oszacowania ryzyka i zastosowania środków, które je wyeliminują lub zredukują do akceptowalnego poziomu, np. rezygnacja z usługi zdalnego dostępu do bazy danych osobowych. Zasada rozliczalności wymaga, aby proces szacowania ryzyka został przeprowadzony i udokumentowany – w celu wykazania, że ryzyko zostało oszacowane i wprowadzono odpowiednie środki ochrony. Zasada rozliczalności oznacza wdrożenie wewnętrznych środków (technicznych i organizacyjnych) zapewniających zgodność przetwarzania z RODO oraz pozostawania w gotowości do wykazania tej zgodności organowi nadzorczemu lub podmiotom, których dane są przetwarzane”.
Każda instytucja przetwarzająca dane osobowe narażona jest na wpływ czynników wewnętrznych oraz zewnętrznych, które mogą spowodować naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Zjawisko to określane jest mianem ryzyka, ponieważ występuje wówczas możliwość niezrealizowania założeń RODO w wyniku zajścia określonych zdarzeń. Ryzyko w przetwarzaniu danych jest związane z potencjalną sytuacją, w której określone zagrożenie wykorzysta podatność (np. niezabezpieczony hasłem sprzęt komputerowy czy niewiedzę pracownika), powodując w ten sposób szkodę dla instytucji (np. kradzież, upublicznienie informacji, pozyskanie informacji przez osobę/instytucję niemającą podstaw prawnych do jej pozyskania).
Zarządzanie ryzykiem według standardów PMI1 składa się z kilku etapów:

  • planowanie zarządzania ryzykiem – przygotowanie planu badań związanych z ryzykiem dotyczących konkretnego projektu (w tym zakresie zalecane jest, aby przygotować odpowiednie procedury, dokumentacje oraz techniki),
  • identyfikacja ryzyka – określenie stanu faktycznego oraz czynników opisujących ryzyko,
  • analiza (jakościowa i ilościowa) ryzyka – ocena istotności zagrożeń, które mogą wystąpić w trakcie realizacji oraz przeprowadzenie pomiarów prawdopodobieństwa w zakresie pojawienia się poszczególnych czynników ryzyka (przy czym prawdopodobieństwo to może być traktowane jako obiektywne lub subiektywne),
  • planowanie środków przeciwdziałania ryzyku – czyli stworzenie planu, którego celem jest zapobieganie lub minimalizacja wystąpienia potencjalnego ryzyka (opracowanie odpowiednich technik, metod oraz materialnych zabezpieczeń przed czynnikami stanowiącymi ryzyko),
  • monitoring i kontrola ryzyka – wdrożenie systemu zarządzania ryzykiem oraz przeprowadzanie działań prewencyjnych i nadzorczych.

W ujęciu przetwarzania danych osobowych identyfikacja ryzyka polegać będzie w zasadzie na wyszukaniu i określeniu każdego ryzyka, które zagraża lub może zagrozić podmiotowi przetwarzającemu dane. Na to, z jakiego rodzaju ryzykami możemy mieć do czynienia wskazuje choćby pkt 75 Preambuły do RODO, zgodnie z którym [...] ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:

  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
  • jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa;
  • jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych;
  • jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
  • jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
Tab. 1. Metoda szacowania ryzyka w skali 5-stopniowej

Z kolei analiza ryzyka sprowadzać się będzie w głównej mierze do ustalenia prawdopodobieństwa i powagi ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Zgodnie z pkt 76 Preambuły do RODO prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.
Warto wskazać także na treść pkt 77 Preambuły do RODO, według której wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane –w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko – mogą być przekazane w szczególności w formie zatwierdzonych kodeksów postępowania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych. Europejska Rada Ochrony Danych może wydawać wytyczne także w sprawie operacji przetwarzania, których nie uznaje się za mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, i wskazywać, jakie środki mogą wystarczyć w takich przypadkach dla zaradzenia takiemu ryzyku.
Procedurę zarządzania ryzykiem w zakresie przetwarzania danych osobowych można przygotować w oparciu o wskazówki, które Urząd Ochrony Danych Osobowych opracował w formie dwuczęściowego poradnika (//uodo.gov.pl/pl/123/208).
Dla celu sporządzenia analizy ryzyka RODO służy metoda szacowania ryzyka w skali 5-stopniowej (tab. 1).

Proces analizy ryzyka rekomendowany przez UODO składa się z 5 kroków:

  1. Ustalenie kontekstu:
  • określenie informacji i uwarunkowań związanych z działaniem organizacji (profil organizacji),
  • określenie aktywów (to, co ma wartość dla organizacji) zaangażowanych w proces przetwarzania,
  • opis przetwarzanych danych i właścicieli tych aktywów,
  • szczegółowy opis stosowanych zabezpieczeń,
  • określenie kryteriów akceptacji ryzyka.
  1. Mechanizmy kontrolne:
  • identyfikacja wymagań dla procesów przetwarzania danych w kontekście konkretnych celów działalności administratora (zgodność z zasadami/cel/przesłanki przetwarzania),
  • wymagania dotyczące zastosowania środków kontroli i bezpieczeństwa oraz stopień ich wypełnienia (środki techniczne, organizacyjne, logiczne).
  1. Szacowanie ryzyka:
  • identyfikacja zagrożeń (zagrożenie jest to źródło potencjalnej szkody, np. zagrożenie naruszenia integralności danych),
  • identyfikacja podatności (sprzęt, oprogramowanie, sieć, personel, siedziba, organizacja),
  • analiza i ocena następstw zmaterializowania się zagrożeń (1 i 2 = identyfikowanie następstw, jakie może spowodować zmaterializowanie się zagrożenia),
  • określenie listy zidentyfikowanych ryzyk.
  1. Postępowanie z ryzykiem – decyzja.
  2. Ogólna ocena ryzyka.

Przy szacowaniu ryzyka należy pamiętać, że podstawowe zagrożenia w pracy wykonywanej z użyciem sprzętu informatycznego w celu przygotowywania dokumentów zawierających dane osobowe to: utrata poufności, integralności i rozliczalności, przy czym:

  • poufność to zapewnienie, że ...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań czasopisma "Doradca w Pomocy Społecznej"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • pełen dostęp do archiwalnych numerów czasopisma w wersji elektronicznej
  • ...i wiele więcej!
Sprawdź

Przypisy