FreshMail.pl

Analiza ryzyka – krótki przewodnik

RODO przyniosło kres szablonowym rozwiązaniom i uniwersalnym środkom zabezpieczającym, które zastąpił system ochrony danych osobowych dostosowany do ryzyk związanych z ich przetwarzaniem. Aby administrator mógł dobrać środki zabezpieczające odpowiednie do ryzyk, charakteru, zakresu, kontekstu i celów przetwarzania, musi najpierw zidentyfikować, w jaki sposób przetwarza dane osobowe i na jakie ryzyka to przetwarzanie jest narażone.

Privacy by design

Pierwszym krokiem do stworzenia odpowiedniego procesu analizy ryzyka jest zebranie informacji na temat planowanego przetwarzania i jego ocena pod kątem zgodności z zasadami RODO. Etap ten nazywany jest privacy by design i polega na budowaniu zgodności procesu z zasadami ochrony danych osobowych już w fazie projektowania. To właśnie wtedy należy wyeliminować wszelkie niezgodności z wymogami wynikającymi z przepisów.

Nawet proces uwzgledniający zasady RODO może jednak powodować ryzyko naruszenia praw i wolności osób fizycznych. Jeżeli z dużym prawdopodobieństwem ryzyko to może być wysokie, wówczas obowiązkowe jest przeprowadzenie oceny skutków dla ochrony danych (DPIA – Data Privacy Impact Assessment) dla danego procesu przetwarzania danych.

Preewaluacja

Skąd mamy wiedzieć, że ryzyko może być wysokie? W stosunku do procesów wymienionych w art. 35 ust. 3 RODO oraz umieszczonych w wykazie PUODO rozstrzygnął to za nas prawodawca unijny oraz polski organ nadzorczy1. W stosunku do pozostałych procesów administrator powinien określić własne kryteria oceny możliwości wystąpienia wysokiego ryzyka (tzw. preewaluacja). Najlepiej posłużyć się w tym celu wytycznymi Grupy Roboczej Art. 29 ds. ochrony danych (obecnie Europejska Rada Ochrony Danych), pomagającymi ustalić, czy przetwarzanie może powodować wysokie ryzyko2. Grupa Robocza wskazała 9 kryteriów, których spełnienie może zwiększać prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osób fizycznych. W ocenie tej bierze się między innymi pod uwagę, czy w procesie dochodzi do zautomatyzowanego podejmowania decyzji o skutku prawnym lub innym podobnym (art. 22 RODO), czy ma miejsce przetwarzanie danych szczególnych kategorii, czy dochodzi do przetwarzania danych na dużą skalę lub czy w procesie przetwarzania danych wykorzystywane są innowacyjne rozwiązania. Im więcej tych kryteriów zostanie spełnionych, tym wyższe prawdopodobieństwo wystąpienia wysokiego ryzyka.

DPIA

Dla procesów, które mogą powodować wysokie ryzyko naruszenia praw i wolności, trzeba – zgodnie z art. 35 ust. 1 RODO – dokonać oceny skutków dla ochrony danych. Przepisy nakazują przeprowadzenie tej oceny przed rozpoczęciem procesu przetwarzania danych osobowych. Poniżej wyjaśnienie wybranych zagadnień praktycznych dotyczących oceny skutków dla ochrony danych.

Skąd wiedzieć, że występuje obowiązek wykonania DPIA?

Aby zweryfikować, czy wykonanie DPIA jest w danym przypadku konieczne, należy sprawdzić, czy operacje przetwarzania spełniają przesłanki określone w:

  • 35 ust. 3 RODO;
  • wykazie operacji wymagających DPIA opublikowanym przez PUODO;
  • wytycznych G29, WP 248.

Do czego służy DPIA?

  1. zbadania zgodności procesu z wymogami RODO;
  2. oceny ryzyka związanego z przetwarzaniem danych i doboru odpowiednich środków minimalizujących ryzyko;
  3. wykazania zgodności (rozliczalność).

Kto ma to robić?

  • administrator

Obowiązki związane z analizą ryzyka obciążają administratora. W praktyce to pracownicy działu odpowiedzialnego merytorycznie za proces będą musieli dostarczyć informacji potrzebnych do wykonania DPIA, gdyż posiadają o nim największą wiedzę.

  • inspektor

Trudno wyobrazić sobie proces analizy ryzyka bez udziału inspektora ochrony danych (jeśli taki jest wyznaczony). RODO wskazuje na konieczność konsultacji DPIA z IOD, niemniej wskazane jest, aby uczestniczył on od początku w pracach nad oceną skutków dla ochrony danych.

  • dział IT, dział prawny

DPIA, z uwagi na złożoność procesu oraz przenikanie się wymaganej wiedzy specjalistycznej z dziedzin prawa i technologii, wymaga współpracy z działem prawnym oraz z działem IT.

  • podmiot przetwarzający

W wielu przypadkach konieczna będzie współpraca z podmiotem przetwarzającym, który bierze udział w procesie przetwarzania danych osobowych. Prawidłowe dokonanie oceny skutków dla ochrony danych może okazać się wręcz niemożliwe bez udziału procesora.

  • organ nadzorczy

Jeśli ocena skutków dla ochrony danych wskazuje na występowanie wysokiego ryzyka, pomimo podjętych środków zabezpieczających, przetwarzanie należy skonsultować z organem nadzorczym.

  • podmioty danych

RODO przewiduje również – w stosownych przypadkach – obowiązek zasięgnięcia opinii osób, których dane dotyczą, lub ich przedstawicieli.

Jak to robić?

  1. przygotuj opis planowanych operacji przetwarzania (charakter, zakres i kontekst przetwarzania), celów przetwarzania oraz prawnie uzasadnionych interesów, jeśli występują;
  2. oceń niezbędnośćproporcjonalność operacji przetwarzania w stosunku do celów;
  3. oceń ryzyka naruszenia praw i wolności osób fizycznych;
  4. przygotuj opis środków zapewniających bezpieczeństwo danych oraz realizację praw osób, których dane dotyczą;
  5. przygotuj opis zasobów wykorzystywanych do przetwarzania danych;
  6. zdiagnozuj zagrożenia związane z przetwarzaniem;
  7. oceń istotność zagrożeńprawdopodobieństwo ich wystąpienia;
  8. zastosuj dodatkowe środki minimalizujące ryzyko, jeśli – na podstawie oceny istotności i prawdopodobieństwa wystąpienia zagrożenia – jest ono wysokie;
  9. jeśli nie da się zminimalizować wysokiego ryzyka:
    1. nie rozpoczynaj przetwarzania albo
    2. skonsultuj proces z Urzędem Ochrony Danych Osobowych.

A jak coś się zmieni?

Analiza ryzyka jest procesem ciągłym, wymagającym monitorowania zmian i zagrożeń. Ryzyko związane z przetwarzaniem może się zmieniać z uwagi na czynniki zależne od administratora (np. decyzje biznesowe) lub niezależne od niego (np. zmieniające się zagrożenia, podatności). Konieczność ponownej analizy ryzyka może wynikać również ze zmian przepisów i potrzeby dostosowania do nowych wymogów procesów przetwarzania realizowanych przez administratora. Przepis art. 33 ust. 11 RODO zobowiązuje administratora do monitorowania, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.

 

Zainteresował Cię ten temat?

Zobacz naszą płachtę – diagram oceny ryzyka i oceny skutków dla ochrony danych.

[1] Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, Monitor Polski 2019, poz. 666; https://uodo.gov.pl/pl/138/1094.

2 Wytyczne Grupy Roboczej Art. 29 ds. ochrony danych dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, WP 248.

Podoba Ci się ten artykuł?
Nawiąż z nami kontakt lub zapisz się do Newslettera



Jesteś u nas już chwilę, co bardzo nas cieszy.
A może chcesz być na bieżąco i czasami dostawać informacje o nowościach na stronie?
Obiecujemy nie spamować :)

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od Maruta Wachta sp.j., z siedzibą w Warszawie (00-684) przy ul. Wspólnej 62, (Kancelaria) informacji dotyczących oferty Kancelarii drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest Kancelaria. Dane osobowe osób zapisujących się na newsletter są przetwarzane w celu przesyłania informacji dotyczących oferty Kancelarii drogą e-mailową. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w naszej Polityce Prywatności.

FreshMail.pl