Menu

Analiza i szacowanie ryzyka w RODO

3 marca 2019 - Aktualności
Analiza i szacowanie ryzyka w RODO

Usługa polega przeprowadzeniu w Państwa organizacji audytu zgodności z RODO, tj. zweryfikowaniu czy dane osobowe w Państwa organizacji przetwarzane są zgodnie z przepisami RODO i wydanych na jego podstawie ustaw i rozporządzeń. Podsumowaniem audytu jest raport zawierający stwierdzone uchybienia względem obowiązujących przepisów (w szczególności RODO) oraz czynności konieczne do wykonania w celu ich naprawy.

Szkolenia, wdrożenia, proceduryAudytor bada organizację w celu inwentaryzacji procesów przetwarzania danych oraz weryfikacji czy dane te przetwarzane są w zgodzie z obowiązującymi przepisami prawa. Audyt polega w szczególności na fizycznej inspekcji pomieszczeń w których przetwarzane są dane osobowe, przeprowadzeniu wywiadów z wybranymi pracownikami oraz analizie formularzy, stron internetowych, umów z kontrahentami i innych dokumentów związanych z przetwarzaniem danych osobowych.

Analiza i szacowanie ryzyka w RODO

Wejście w życie Rozporządzeni Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 27 kwietnia 2016 r. tzw. ogólnego rozporządzenia o ochronie danych (RODO) wprowadziło nie tylko zmiany dotyczące zasad przetwarzania danych osobowych, ale również nowy sposób podejścia do systemowego zapewnienia bezpieczeństwa danych osobowych u podstaw którego znajduje się proces szacowania ryzyka. Artykuł 32 RODO wprowadza wymóg stosowania procesu szacowania ryzyka w przypadku wdrażania organizacyjnych oraz technicznych środków bezpieczeństwa przetwarzania danych. Jednoczenie zgodnie z art. 35 w przypadku, gdy dane są przetwarzane w szczególności z wykorzystaniem nowych technologii, co może powodować wysokie ryzyko naruszenia praw lub wolności osób, konieczne jest przeprowadzanie oraz udokumentowanie oceny skutków dla ochrony danych OSOD (ang. DPIA – Data Protection Impact Asessment).

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Patrząc całościowo na obszar regulowany przez RODO można łatwo zauważyć, że nadrzędnym celem wprowadzenia rozporządzenia RODO jest ochrona praw i wolności osób przed zagrożeniami związanymi z przetwarzaniem danych osobowych rozumiana jako szacowanie ryzyka naruszenia praw i wolności osób w tym poufności, integralności oraz dostępności danych. Uwzględniając takie podejście można wnioskować, że propagowane przez RODO podejście oparte na ryzyku (ang. risk-based approach) jest jedynym słusznym rozwiązaniem.

Podejście takie jest już od dawna znane w obszarach biznesowych w których często zarządzanie ryzykiem stanowi integralny lub w wielu przypadkach podstawowy element zarządzania organizacjami znany jako ERM (ang. Enterprise Risk Management).

Zgodnie z RODO podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności wytycznymi rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania mające na celu zapewnienie bezpieczeństwa danych osobowych są adekwatne do poziomu ryzyka jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.

W niniejszym artykule postaramy się przybliżyć temat stosowania procesu zarządzania ryzykiem zgodnie z RODO oraz wyjaśnić w jaki sposób zrealizować ten proces we własnej organizacji.

Definicja ryzyka

Zgodnie ze standardem IIA (The Institute of Internal Auditors) ryzyko definiowane jest jako możliwość wystąpienia zdarzenia, które ma wpływ na cele danej organizacji. Rozporządzenie RODO nie definiuje w jednoznaczny sposób jak należy rozumieć ryzyko, ale w zamian oferuje szeroki zbiór wytycznych mówiących o tym co może stanowić zagrożenie dla naruszenia praw oraz wolności osób.

Analiza ryzyka zgodna z RODO

RODO nie definiuje jednoznacznie metody analizy ryzyka jaką należy zastosować w celu zachowania zgodności co oznacza, że mamy dowolność w zakresie wyboru metodologii, która w najbardziej optymalny sposób odpowiada specyfice naszej organizacji. Możemy zatem wykorzystywać metodologie własne pod warunkiem, że będziemy w stanie wykazać, że przyjęta metodologia zapewnia rzetelną ocenę i analizę ryzyka. Takie podejście otwiera duże pole manewru co do wyboru najskuteczniejszej metody. Daje to również możliwość dopasowania poziomu złożoności procesu do wielkości organizacji. W większości wypadków zalecane jest zastosowanie metodologii zarządzania ryzykiem opartej o sprawdzone standardy w tym zakresie. Zalicza się do nich np. COSO Enterprise Risk Management ( Committee of Sponsoring Organizaions of Treadway Commission ) lub ISO31000:2018 Risk Management, które z pewnością w zaspokoją potrzeby każdej organizacji. Jako element uzupełniający proces zarządzania ryzykiem w zakresie bezpieczeństwa informacji można wykorzystać standard PN-EN ISO/IEC 27001 definiujący system bezpieczeństwa informacji, który w znacznym stopniu ułatwia zarządzanie ryzykiem w procesach związanych z przetwarzaniem danych osobowych.

Poziom zaawansowania i skomplikowania procesu zarządzanie ryzykiem będzie całkowicie odmienny w dużych oraz w małych, średnich czy mikro firmach. Szacowanie ryzyka zgodne z RODO w mikro firmie będzie miało z pewnością odmienną i uproszczoną formę co wcale nie oznacza, że mniej skuteczną. Dobrowolność przy wyborze metodologii jest jedną z zalet elastycznego podejścia do szacowania ryzyka w ochronie danych osobowych stosowanego przez ustawodawcę.

Kontekst oraz zakres przetwarzania danych

Podstawową czynnością, którą należy wykonać jest określenie kontekstu oraz aktywów wykorzystywanych do przetwarzania danych osobowych w firmie. Kontekst powinien definiować elementy związane ze środowiskiem prawnym, geograficznym, politycznym oraz społecznym w jakim funkcjonuje firma i przetwarzane są dane osobowe. Dokładne określenie takich elementów jak lokalne lub branżowe regulacje prawne do przestrzegania których jesteśmy zobligowani, zakresu terytorialnego przetwarzania danych (EOG lub poza EOG) oraz inwentaryzacja aktywów jest kluczowe dla dokładności oraz skuteczności procesu szacowania ryzykiem, a tym samych efektywnej ochrony naszej firmy oraz danych osobowych, które przetwarzamy.

Identyfikacja procesów oraz zasobów

Jest to jeden z kluczowych, jeżeli nie najważniejszy etap w procesie szacowania ryzyka. Polega on na identyfikacji oraz inwentaryzacji elementów środowiska związanego z przetwarzaniem danych osobowych. Przeprowadzenie inwentaryzacji można rozpocząć od opisania procesów występujących w firmie. Bardzo skuteczną metodą w tym zakresie jest opisanie procesów w postaci graficznej tzw. diagramów przepływu danych (and. Data Flow Diagrams). Takie podejście pozwala bardzo dokładnie zweryfikować komplementarność procesów przetwarzania, które posiadamy. Diagramy przepływów stanowią również dobrą podstawę do wykonania inwentaryzacji pozostałych elementów środowiska związanego z przetwarzaniem danych do których możemy zaliczyć wykazy osób biorących udział w procesie przetwarzania, źródła pozyskiwania danych (zewnętrzne i wewnętrzne), kategorie osób i podmiotów od których dane są pozyskiwane, systemy IT służące do przetwarzania danych, monitoring wizyjny, środki elektronicznej transmisji danych, wykaz zbiorów papierowych, budynków, pomieszczeń, przypadki powierzania lub przekazywania danych wewnątrz lub na zewnątrz organizacji.

Identyfikacja zagrożeń

Posiadając dokładną inwentaryzację możemy przejść do identyfikacji zagrożeń. Zagrożenia związane z przetwarzaniem danych osobowych możemy podzielić na dwie główne grup. Pierwszą z nich są zagrożenia dla naruszenia praw do wolności oraz prywatności osób opisane w rozporządzeniu RODO związane np. z profilowaniem danych, realizacją praw do usunięcia, przenoszeniem lub wycofaniem zgody na przetwarzanie,   spełnieniem obowiązku informacyjnego czy realizacją monitoringu wizyjnego.

Drugi obszar obejmuje ryzyka w odniesieniu do bezpieczeństwa i przetwarzania informacji, które można zdefiniować w oparciu o normie PN-EN ISO/IEC 27001. W tym obszarze znajdują się ryzyka związane z poufnością, integralnością oraz dostępnością przetwarzanych danych niezależnie od tego czy przetwarzane są w postaci elektronicznej, papierowe czy przekazywane ustnie. Przykładami zagrożeń w tym obszarze są ujawnienie danych przez partnera biznesowego, ujawnienie danych na niezaszyfrowanych nośnikach, włamanie do systemu IT, atak zakłócający dostępność systemu oraz danych DDoS, utrata danych w wyniku awarii sprzętu.

Ocena ryzyka

Ocena poziomu ryzyka RODO może zostać wyrażona w sposób ilościowy, jakościowy lub mieszany w zależności od specyfiki danej organizacji. Najczęściej stosowaną jest metoda jakościowa w której prawdopodobieństwo oraz wpływ definiowany są w sposób opisowy przyjmując wartości np. niski, średni, wysoki. Zaletą takiego podejścia jest łatwość zrozumienia chociaż nie jest ono tak dokładne jak podejściom ilościowe. Najczęściej ryzyko opisuje się za pomocą wzoru:

(R) = (P) * (W)

gdzie (R) oznacza poziom ryzyka, (P) to prawdopodobieństwo wystąpienia, (W) określa negatywny wpływ na cele, które w przypadku RODO związane są z ochroną praw oraz wolności osób, których dane dotyczą oraz środków i środowisk, w których dane są przetwarzane. Wartości służące do oceny prawdopodobieństwa (P) oraz wpływu (W) możem określić w skali trzy stopniowej np. 1 – niskie; 2 – średnie; 3 – wysokie. Taki sposób oceny jest tylko przykładem i w zależności od organizacji stosuje się również modele rozszerzone uwzględniające w ocenie dodatkowe czynniki takie jak straty finansowe, wizerunkowe czy oddzielną ocenę skutków dla poufności, integralności lub dostępności.

Postępowanie z ryzykiem

Na podstawie wyników oceny ryzyka podejmujemy decyzję, o działaniach które możemy zastosować w celu odpowiedzi na ryzyko. Przykładem może być podejście opisane w normie PN-EN ISO/IEC 27001 definiujące 4 sposoby reagowania na ryzyko:

  1. Obniżenie ryzyka – wprowadzenie działań mających na celu obniżenie ryzyka do poziomu akceptowalnego. Do obniżenia poziomu ryzyka możemy wykorzystać następujące mechanizmy: organizacyjne (polityki, procedury, umowy); personalne (weryfikacja uprawnień, umowy o zachowaniu poufności); techniczne (system antywirusowe, firewall); fizyczne (systemy alarmowe, monitoring wizyjny).
  2. Akceptacja ryzyka – podjęcie świadomej decyzji akceptacji zaistniałego poziomu ryzyka.
  3. Unikanie ryzyka: wyeliminowanie ryzyka poprzez zaprzestanie realizacji działań, które to ryzyko generują.
  4. Przeniesienie/podział ryzyka – polega np. na wykupieniu ubezpieczenia i ograniczenia w ten sposób skutków wystąpienia danego zdarzenia.

Bardzo ważne jest, że w przypadku wystąpienia wysokiego ryzyka, które z jakiegokolwiek powodu nie może zostać zminimalizowane np. z przyczyn technicznych lub braku opłacalności wdrożenia mechanizmów obniżających ryzyko, wtedy przed rozpoczęciem przetwarzania danych administrator danych ma obowiązek skontaktować się i skonsultować ten fakt z o organem nadzorczym RODO.

Ostateczna cena przeprowadzenia audytu RODO ustalana jest indywidualnie dla każdej organizacji. Wiążącą ofertę jesteśmy w stanie przedstawić po krótkim zapoznaniu się z prowadzoną działalnością. Zainteresowanych prosimy o kontakt pod adresem: iod@graficom.pl bądź też telefonicznie pod numerem 605606476.

Audyt zgodności z ogólnym rozporządzeniem o ochronie danych (RODO) obejmuje w szczególności:

  1. Inwentaryzację procesów przetwarzania danych osobowych u Klienta
  2. Weryfikację procesów przetwarzania danych z zasadami dotyczącymi przetwarzania danych osobowych (Art. 5 RODO)
  3. Sprawdzenie podstaw prawnych do przetwarzanych zbiorów danych osobowych (Art. 6; Art. 9; Art. 10 RODO)
  4. Weryfikację obecnie stosowanych klauzul zgód (Art. 7 RODO)
  5. Sprawdzenie czy organizacja świadczy usługi społeczeństwa informacyjnego. Weryfikacja warunków wyrażania zgody przez dzieci w tymże obszarze (Art. 8 RODO)
  6. Weryfikację spełnienia obowiązków informacyjnych (Art. 12; Art. 13; Art. 14 RODO)
  7. Weryfikację infrastruktury klienta oraz procedur zastosowanych w organizacji pod względem realizacji praw osób, których dane dotyczą  (Art. 15; Art. 16; Art. 17; Art. 18; Art. 19; Art. 20; Art. 21; Art. 22 RODO)
  8. Sprawdzenie czy zastosowano odpowiednie środki techniczne i organizacyjne, weryfikacja przeprowadzonej analizy ryzyka (Art. 24; Art. 25, Art. 32 RODO)
  9. Sprawdzenie czy organizacja zawarła stosowne umowy powierzenia przetwarzania danych osobowych z podmiotami przetwarzającymi oraz weryfikacja tychże umów (Art. 28 RODO)
  10. Sprawdzenie kompletności rejestru czynności przetwarzania danych osobowych oraz rejestru kategorii czynności przetwarzania danych osobowych (Art. 30 RODO)
  11. Sprawdzenie procedur dotyczących zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego (Art. 33 RODO)
  12. Sprawdzenie procedur dotyczących zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony danych osobowych (Art. 34 RODO)
  13. Określenie czy w organizacji wymagane jest przeprowadzenie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (Art. 35 RODO)
  14. Sprawdzenie czy w organizacji wymagane jest powołanie inspektora ochrony danych (Art. 37 RODO)
  15. Sprawdzenie czy dane osobowe przekazywane są do Państwa trzeciego. Weryfikacja przesłanek legalizujących przesyłanie danych w tymże obszarze (Art. 44; Art. 45; Art. 46; Art. 49 RODO)

źródło lexdigital