Wstęp
Do jednego z kluczowych zadań administratora w momencie stwierdzenia takiego naruszenia należy ocena ryzyka naruszenia praw i wolności osób fizycznych, jakie może wynikać z naruszenia. Administrator musi zatem dokonać analizy, w której uwzględni wagę potencjalnych konsekwencji oraz prawdopodobieństwo ich wystąpienia. Pamiętajmy jednak, że nie jest to jedyny moment pomiaru ryzyka procesie ochrony danych osobowych w organizacji. Zapewnienie im wysokiego poziomu bezpieczeństwa wymaga bowiem, aby analizie ryzyka poddawane były wszystkie procesy przetwarzania danych osobowych.
Ocena ryzyka jako element bezpieczeństwa procesu przetwarzania danych
Jednym z elementów zapobiegania naruszeniom ochrony danych osobowych jest analiza ryzyka dla czynności przetwarzania danych osobowych. W tym przypadku administratorzy analizują hipotetyczne zagrożenia dla przetwarzania danych osobowych i ich wpływ na prawa i wolności osób, których dane dotyczą. Należy przyjrzeć się wszystkim zagrożeniom, w odwołaniu do atrybutu poufności, dostępności lub integralności, które związane są z daną czynnością przetwarzania. Następnie uwzględnić opis podatności oraz zastosowane zabezpieczenia. Poziom ryzyka można ustalić, opierając się na macierzy, w której uwzględnia się określone wartości dla prawdopodobieństwa wystąpienia oraz jego skutków. Pozwala to na odpowiednie przygotowanie się do przetwarzania danych, zapobieżenie ryzyku lub ewentualne zrezygnowanie z przetwarzania (gdy ryzyko jest na poziomie nie do zaakceptowania).
Jeżeli analiza ryzyka wykazuje na wysokie prawdopodobieństwo naruszenia praw i wolności osób fizycznych każdy administrator musi przeprowadzić ocenę skutków dla ochrony danych osobowych. Należy także pamiętać o aktualizowaniu analizy w momencie pojawienia się nowych okoliczności.
Ocena ryzyka związanego z naruszeniem ochrony danych
W momencie stwierdzenia naruszenia ochrony danych osobowych odpowiedzialny za nie administrator musi przeprowadzić ocenę ryzyka naruszenia praw i wolności osób fizycznych. Taka ocena powinna być wykonana w sposób indywidualny i co ważne – aktualizowana, w momencie kiedy pojawiają się nowe informacje o incydencie. Przy ustalaniu poziomu ryzyka należy zatem oszacować wagę potencjalnych konsekwencji oraz prawdopodobieństwo ich zmaterializowania. W ocenie uwzględnia się rodzaj naruszenia (czy dotyczy ono integralności, dostępności czy poufności danych osobowych), a także zakres, charakter i wrażliwość danych osobowych. Należy również ustalić, czy naruszenie doprowadzi do zidentyfikowania, w łatwy sposób, osób, których dane dotyczą oraz jakie będą tego konsekwencje (np. kradzież lub sfałszowanie tożsamości). Ważny jest również aspekt cech szczególnych administratora jak i osób, których dane dotyczą. Na wysokość oceny ryzyka wpłynie również liczba takich osób (jest ona uwzględniana w ocenie wagi naruszenia przeprowadzanej np. na podstawie wytycznych ENISA).
Ocena ryzyka, która uwzględni wskazane powyżej elementy, pozwoli na ustalenie:
- czy mamy do czynienia z brakiem wystąpienia ryzyka naruszenia praw lub wolności (pamiętajmy o konieczności jest udokumentowanie incydentu i oceny),
- czy takowe ryzyko występuje – co należy udokumentować i zgłosić do organu nadzorczego,
- czy mamy do czynienia z ryzykiem na poziomie wysokim – potencjalne konsekwencje incydentu mogą mieć znaczną wagę i/lub stanowić duże prawdopodobieństwo naruszenia praw lub wolności, dlatego należy je udokumentować, a naruszenie zgłosić do Prezesa UODO i poinformować osoby, których dane dotyczą.
.
Podsumowanie:
Ocena ryzyka w RODO odbywa się zarówno na etapie zapobiegania, gdzie analizuje się ryzyka dla procesów przetwarzania danych osobowych, a także po wystąpieniu naruszenia. Są to odrębne procesy, niemniej jednak będą na siebie oddziaływały. Dokładniejsze zidentyfikowanie zagrożeń i dobranie odpowiednich zabezpieczeń na etapie organizacyjnych ochrony danych osobowych będzie wpływało na lepszą ochronę przed naruszeniami. Z drugiej strony ocena ryzyka po naruszeniu ochrony danych osobowych będzie pokazywała obszary bezpieczeństwa, które wymagają wprowadzenia zmian.