Zaloguj się Wypróbuj

Jak GDPR Risk Tracker wspiera weryfikację zgodności dla podmiotów świadczących usługi wdrożeniowe i audytowe

U podstaw RODO leżą dwa założenia regulacyjne tj. neutralność technologiczna i podejście oparte na ryzyku. Wolą prawodawcy unijnego było zniesienie barier formalnych i sztywnych wymogów organizacyjnych i technicznych wyabstrahowanych od ekspozycji na ryzyko związane z przetwarzaniem danych osobowych w konkretnych przypadkach. Kluczem do prawidłowego wdrożenia RODO jest zatem dokonanie analizy ryzyka związanego z przetwarzaniem danych osobowych dla osób, których dane przetwarza dany podmiot, będącej podstawą dla podjęcia uzasadnionej decyzji co do wdrożenia przez ten podmiot środków technicznych i organizacyjnych mających zminimalizować ryzyko. W ten sposób osiągnięty ma zostać adekwatny w danej sytuacji poziom ochrony praw osób, których dane są przetwarzane.

Podejście oparte na ryzyku

Podejście oparte na ryzyku stanowi fundament ogólnego rozporządzenia o ochronie danych osobowych (RODO) i jest podstawą dla konstrukcji obowiązków nałożonych na administratora i podmiot przetwarzający. Podstawą dla oceny zgodności z rozporządzeniem oraz oceny adekwatności z perspektywy bezpieczeństwa wdrożonych środków technicznych i organizacyjnych jest osadzona w charakterze, kontekście, celu i zakresie przetwarzania danych osobowych przez konkretny podmiot analiza ryzyka takiego przetwarzania dla praw i wolności podmiotów danych.

Ryzyko i etapy szacowania ryzyka

W RODO pojęcie „ryzyko”, pomimo, że jest rozstrzygające dla konstrukcji wielu obowiązków, nie jest zdefiniowane. W tym celu można posiłkowo sięgnąć do definicji z normy „ISO/IEC 31000. Zarządzanie ryzykiem. Zasady i wytyczne” opisującej ryzyko jako „wpływ niepewności na cele, który powoduje pozytywne lub negatywne odchylenie od oczekiwań”. Jest to zatem pewien scenariusz opisujący konkretne zdarzenie i jego konsekwencje oszacowane pod kątem ich dotkliwości i prawdopodobieństwa. Zwrócić jednak należy uwagę, że na gruncie rozporządzenia, niepewność i dotkliwość oceniana ma być nie z perspektywy organizacji, a z perspektyw osób, których dane są przetwarzane. Zważyć bowiem należy czy to na ich sferę praw i wolności następuje oddziaływanie, z jakim prawdopodobieństwem i powagą. Wdrażane rozwiązania mają natomiast za cel ryzyko takiego negatywnego wpływu w sposób adekwatny minimalizować.

Negatywne skutki, które przy analizie ryzyka należy wziąć pod uwagę mogą mieć różny charakter począwszy od utraty kontroli nad danymi, poprzez szkody niemajątkowe a skończywszy na szkodach majątkowych związanych z kradzieżą tożsamości czy dyskryminacją. Do naruszenia praw i wolności osób fizycznych dość może w wyniku nieprawidłowo wdrożonych procedur przetwarzania, w tym w fazie legalizacji, ale także nieprawidłowego zabezpieczenia przetwarzania danych osobowych np. przed dostępem osób nieuprawnionych. Przyczyną naruszenia bezpieczeństwa przetwarzania może być z kolei tak zdarzenie losowe, jak i celowe działanie.

Szacowanie ryzyka uwzględniać powinna zatem uwzględniać:

  • zidentyfikowanie ryzyka i potencjalnych skutków wystąpienia ryzyka,
  • analizę ryzyka – jego źródeł pochodzenia i kryteriów, które mają na nie wpływ,
  • ustalenie poziomu ryzyka i możliwości jego minimalizacji,
  • dobranie środków technicznych i organizacyjnych, które będą odpowiadały ustalonemu ryzyku. 

Metody analityczne

 Prawodawca unijny nie wskazuje jednak konkretnych metod analizy ryzyka, pozostawiając wybór podmiotom zobowiązanym, adekwatnie do ich konkretnej sytuacji. Podpowiedzi dotyczących wyboru metody analitycznej można natomiast poszukiwać w źródłach nienormatywnych np. w wytycznych Europejskiej Rady Ochrony Danych, opracowaniach polskiego organu nadzorczego, normach ISO przykładowo z rzędu 27001, 27005, 27701, czy 29134. W pewnym stopniu uogólniająco można stwierdzić, że metody analizy ryzyka można podzielić na trzy podstawowe typy: jakościowe, ilościowe i mieszane, których rozróżnienie bazuje przede wszystkim na stopniu szczegółowości i formalizmu oraz przypisywaniu atrybutów opisowych (metoda jakościowa) lub ilościowych (metoda ilościowa).

Rozliczalność, dokumentacja, narzędzia

 Dokonując wyboru metody pamiętać jednak należy, o obowiązku administratora wynikającym z art. 5 ust. 2 RODO, zgodnie z którym jest on zobowiązany do udokumentowania i wykazania nie tylko przeprowadzonej analizy, ale także adekwatności wyboru metody analitycznej oraz prawidłowości wniosków. Na aspekt ten zwracał także Prezes UODO w decyzji z dnia 10 września 2019 r. (ZSPR.421.2.2019), podkreślając konieczność udowodnienia przez administratora relacji pomiędzy wdrożonymi środkami a stwierdzonymi w trakcie analizy ryzykami, a zatem wykazania adekwatności środków do ryzyk.

W tym kontekście warto również pamiętać, że analiza ryzyka nie jest czynnością jednorazową. Wykonywanie jej w sposób systematyczny i powtarzanie lub aktualizowanie wraz z każdą modyfikacją w procesie przetwarzania danych, a także w przypadku zmiany stanu technicznego lub technologicznego wpływającego na pojawianie się zarówno nowych wydajniejszych i pewniejszych zabezpieczeń, ale i nowych zagrożeń, jest niezbędne.

By sprostać obowiązkom w powyższym zakresie, kierując się zobiektywizowanymi kryteriami, a także pamiętając o, wynikającej z zasady rozliczalności, konieczności udokumentowania wykonania nałożonych przez RODO obowiązków, podmioty zobowiązane muszą dokonać wyboru jednej z metod analizy ryzyka i wdrożyć jej stosowanie w sposób konsekwentny dla uzyskania porównywalnych i rozliczalnych wyników w całej organizacji.

W celu ułatwienia przeprowadzenia analizy, jej udokumentowania oraz wsparcia przy doborze adekwatnych środków technicznych i organizacyjnych, można sięgnąć do szeregu różnych rozwiązań eksperckich, jak i skorzystać z opracowanych aplikacji analitycznych, przykładem których aplikacja ekspercka GDPR Risk Tracker oparta na dostosowanej normie ISO/IEC 29134.

Kluczowe funkcjonalności GDPR Risk Tracker to:

  1. zarządzanie wdrożeniem RODO zarówno przez administratorów, procesorów, jak i przez audytorów, prawników oraz zespoły ODO,
  2. przeprowadzanie audytów RODO,
  3. weryfikacja wdrożenia RODO oraz analizy ryzyka i DPIA przez Inspektorów Ochrony Danych,
  4. przeprowadzenie kompleksowej analizy ryzyka oraz oceny skutków przetwarzania (DPIA),
  5. prowadzenie dokumentacji w szczególności rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania, ewidencji odbiorców, transferów, retencji,
  6. zapewnienie administratorom rozliczalności zgodności,
  7. przeprowadzanie administratorom audytów procesorów,
  8. wykazanie procesorom odpowiedniego poziomu bezpieczeństwa wobec administratorów oraz przekazanie odpowiednich danych do analizy ryzyka w procesach powierzonych.