Ochrona danych na podstawie analizy ryzyka

Unijne rozporządzenie RODO wymaga od administratorów danych i przetwarzających dane podejścia do zasad ochrony danych opartego na ryzyku. To zaś oznacza, że podmioty przetwarzające dane osobowe nie dostaną gotowych rozwiązań, jakie powinny być stosowane w celu ochrony danych (np. zasad kontroli dostępu, szyfrowania czy też monitorowania procesów przetwarzania). Sami będą musieli je określić, po przeprowadzeniu oceny ryzyka.

Analiza ryzyka

Administratorzy danych osobowych (np. spółka z o.o., jednoosobowy przedsiębiorca, szkoła, stowarzyszenie) będą zobowiązani wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z przepisami RODO i aby móc to wykazać. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te mogą obejmować wdrożenie przez administratora danych odpowiednich polityk bezpieczeństwa. Tak stanowi art. 24 ust. 2 RODO. Środki, o których wspomina rozporządzenie (inaczej zabezpieczenia), będą musiały wynikać z przeprowadzanej cyklicznie analizy ryzyka. To oznacza, że przepisy unijne zobowiązują administratorów danych do samodzielnego przeprowadzania analizy ryzyka procesów przetwarzania danych osobowych. Jeżeli ryzyko jest wysokie, to stosowane środki muszą być do tego poziomu adekwatne. Jeżeli ryzyko jest niskie, to nie będzie wymagane używanie wszystkich dostępnych środków do ochrony tych danych. Podejście oparte na ryzyku opiera się na:

• ogólnej ocenie ryzyka oraz
   
• szczegółowej ocenie ryzyka, ukierunkowanej na skutki w zakresie naruszenia praw lub wolności osób fizycznych (tzw. oceny skutków dla ochrony danych).

Ogólną ocenę ryzyka w zakresie bezpieczeństwa przetwarzania informacji, w tym danych osobowych, należy przeprowadzić, biorąc pod uwagę potencjalne negatywne skutki (straty materialne i niematerialne) zarówno dla administratora, jak i osób, których dane dotyczą. Ocenę skutków dla ochrony danych przeprowadza się natomiast wtedy, gdy istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. To oznacza, że nie wszyscy administratorzy danych będą musieli przeprowadzać ocenę skutków, a tylko ci, u których to ryzyko jest bardzo wysokie.

Ocena skutków dla ochrony danych będzie niezbędna np. w przypadku monitorowania na dużą skalę miejsc publicznie dostępnych - w szczególności za pomocą urządzeń optyczno-elektronicznych. Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli będzie dotyczyć danych osobowych pacjentów lub klientów, dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa.

Jeżeli ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko - przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, wtedy przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym.

Skala ryzyka

Analizując ryzyko, należy brać pod uwagę, z jakim prawdopodobieństwem może wystąpić zdarzenie mające wpływ na przetwarzane dane osobowe oraz jaka będzie waga tego naruszenia. Do naruszenia praw i wolności osób, których dane są przetwarzane, dochodzi np. gdy w wyniku słabo zabezpieczonych systemów komputerowych następuje kradzież danych osobowych. Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko (motyw 76 RODO).

Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności jeżeli przetwarzanie może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia.

Stosowanie zabezpieczeń

Ochrona danych osobowych powinna nastąpić już w fazie projektowania, tzn. jeszcze przed rozpoczęciem przetwarzania danych należy zaplanować, jakie zabezpieczenia będą użyte. Wszystkim danym powinna być zapewniona domyślna ochrona, co oznacza, że dane osobowe nie mogą być domyślnie dostępne, muszą być natomiast właściwie zabezpieczone. Przetwarzanie danych osobowych musi następować z zapewnieniem poufności, integralności i odporności systemów.

Wskazówki dotyczące tego, jakie zabezpieczenia trzeba będzie stosować, odnajdujemy w art. 32 RODO. Stanowi on, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Te środki to:

• pseudonimizacja i szyfrowanie danych osobowych,
   
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
   
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
   
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Wybór tego, jakie środki mają być stosowane, będzie zależeć od oszacowanego poziomu ryzyka. Administrator danych będzie stosował takie środki, które wyeliminują ryzyko lub zredukują do akceptowalnego poziomu. Co ważne, zgodnie z obowiązującą zasadą rozliczalności proces szacowania ryzyka musi zostać odpowiednio udokumentowany, po to, by administrator danych mógł wykazać, np. w razie kontroli organu nadzorczego, że wdrożył wymagane środki.

Jak informuje GIODO, to inspektor ochrony danych powinien zapewniać administratorowi danych istotne wsparcie w doborze właściwych środków w zakresie zapewnienia odpowiedniego poziomu ochrony danych zgodnie z wymaganiami RODO.

W celu przeprowadzenia w jednostce oceny ryzyka oraz oceny skutków dla ochrony danych warto zapoznać się z rozwiązaniami zaproponowanymi przez GIODO w publikacji "Jak stosować podejście oparte na ryzyku? Poradnik RODO. Część 2." dostępny na stronie www.giodo.gov.pl.