Analiza ryzyka, a ocena skutków przetwarzania (DPIA)

RODO przewiduje dwa mechanizmy przeprowadzania oceny ryzyka. Pozornie są one rozdzielone jednak w praktyce wpływają na siebie i jedno wynika z drugiego. W pierwszym przypadku RODO nakazuje każdej organizacji przeprowadzenie analizy ryzyka wobec zasobów biorących udział w procesach przetwarzania danych osobowych (Art. 32 RODO). W drugim przypadku przeprowadzić ocenę skutków przetwarzania, która jest niczym innym jak analizą ryzyka naruszenia praw i wolności osób, których dane dotyczą (Art. 35 RODO).

Ocena skutków przetwarzania (DPIA)

Analiza ryzyka wobec praw i wolności osób, których dane dotyczą jest nieco bardziej złożonym procesem niż analiza ryzyka wobec zasobów. Wymaga ona większego zaangażowania od osób zarządzających poszczególnymi procesami przetwarzania danych osobowych. Zgodnie z propozycją przedstawioną w poradniku Prezesa UODO administratorzy danych powinni przeprowadzić najpierw ogólną ocenę ryzyka i w zależności od jej wyniku przeprowadzić DPIA lub nie. Innymi słowy zalecana jest ogólna ocena ryzyka, a w zależności od jej wyniku przeprowadzenie oceny skutków przetwarzania. Zgodnie z poniższym schematem przeprowadzenie DPIA jest wymagane jeżeli wykaże to kontekst ogólnej oceny ryzyka. Jednak pierwszym etapem DPIA jest właśnie badanie kontekstu. W praktyce oznacza to, że powinniśmy badanie kontekstu w każdym z procesów przeprowadzać dwukrotnie. W mojej ocenie działanie takie mija się z celem. Drugi przypadek konieczności przeprowadzenia DPIA pojawia się w momencie gdy plan postepowania z ryzykiem ogólnym nie obniżył ryzyka do poziomu akceptowalnego. Innymi słowy zgodnie z poradnikiem Prezesa UODO ogólną ocenę ryzyka wobec procesów powinniśmy przeprowadzić dla wszystkich procesów, a tylko w dwóch sytuacjach przeprowadzić szczegółową ocenę ryzyka, czyli DPIA.

Osobiście uważam, że jest to niepraktyczne podejście i łatwiej jest przeprowadzić DPIA w pierwszej kolejności wobec wszystkich procesów, a w kolejnych razach tylko wobec tych procesów które wymagają tego zgodnie z oceną formalno-prawną wynikającą z Art. 35 ust. 3 RODO. W ten sposób unikniemy konieczności przeprowadzania ogólnej oceny ryzyka, czyli będziemy mieli mniej pracy przy zachowaniu zgodnego z RODO rezultatu. Oczywiście analizując motyw (75) RODO oraz wytyczną ERODO dotyczącą przeprowadzania oceny skutków przetwarzania znajdziemy inne czynniki które powinny być brane pod uwagę przy dokonaniu oceny czy DPIA jest wymagana. W mojej ocenie jednak jest to już obszar doskonalenia. Należy pamiętać, że jeżeli wprowadzimy zbyt złożoną procedurę oceny czy DPIA jest wymagana to albo nie będzie ona działać albo będzie interpretowana na rzecz nie wykonywania DPIA przez właścicieli procesów. Tu oczywiście powinien wkroczyć inspektor ochrony danych (IOD) i udzielić wskazówek ale co w sytuacji, gdy go nie ma.

Analiza ryzyka wobec zasobów (aktywów)

Analiza ryzyka wobec zasobów jest nakierowana na zagrożenia dla organizacji, a nie dla osoby, której dane dotyczą. Innymi słowy poszukując zagrożeń dla zasobów uwzględniamy skutki jakie mogą wystąpić dla organizacji, a nie dla osoby jak przy DPIA. Jednak jednym z czynników, które powinnyśmy uwzględnić przeprowadzając analizę ryzyka wobec zasobów jest właśnie wynik oceny skutków przetwarzania, czyli DPIA.

„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, […]”

Art. 32 RODO

W praktyce pojawia się pytanie co powinno być przeprowadzonej jako pierwsze analiza ryzyka wobec zasobów czy ocena skutków przetwarzania. Odpowiedź na to pytanie nasuwa się sama. Skoro jednym z elementów branych po uwagę podczas przeprowadzania analizy ryzyka wobec zasobów jest „ryzyko naruszenia praw lub wolności osób fizycznych” to DPIA powinna być przeprowadzana w pierwszej kolejności.

„Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.”

Art. 35 RODO

Abstrahując od DPIA, a przechodząc do samej analizy ryzyka wobec zasobów. Poradnik Prezesa UODO proponuje zastosowanie następującego wzoru na obliczanie wartości ryzyka wobec zasobu.

W mojej ocenie najprostszy wzór na ryzyko wobec zasobu może wyglądać następująco:

Rp = P x S / Wz + (Z + DPIAw)

gdzie:

Rp – wartość ryzyka,

P – prawdopodobieństwo wystąpienia zagrożenia,

S – skutek wystąpienia zagrożenia,

Z – wartość dotychczas stosowanych zabezpieczeń,

Wz – wartość zasobu dla procesu,

DPIAw – wartość ryzyka oceny skutków przetwarzania (wysokie ryzyko lub ryzyko).

Warunkiem zastosowania powyższego wzoru na ryzyko jest przypisanie zasobów do poszczególnych procesów. W przeciwnym wypadku nie będziemy w stanie ustalić jaką wartość ma wynik DPIA wobec konkretnego zasobu. Oczywiście wzorów na ryzyko może być niezliczona ilość i każda organizacja może uwzględniać jeszcze dodatkowe czynniki. Jednak należy pamiętać, że małych i średnich organizacji jest najwięcej i nie miały one do tej pory styczności z koncepcją ryzyka. Innymi słowy należy zacząć od małych kroczków, by w dalszej kolejności doskonalić mechanizmy szacowania ryzyka.

Domyślna ochrona danych

Ocena skutków przetwarzania nie jest jedynie działaniem, które musi być wykonane w z góry określonych cyklach. W związku z koniecznością wdrożenia domyślnej ochrony danych osobowych zgodnie z Art. 25 ust. 1 RODO należy na bieżąco oceniać ryzyko naruszenia praw i wolności osób, których dane dotyczą.

„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne […]”

Art. 25 RODO

Skąd organizacja ma wiedzieć czy zastosowane przez nią środki techniczne i organizacyjne są odpowiednie? W mojej ocenie zastosowane środki będą odpowiednie jeżeli ryzyko naruszenia praw i wolności znajdzie się na poziomie akceptowalnym. W praktyce oznacza to, że przy każdej istotnej zmianie procesu przetwarzania danych osobowych, należy przeprowadzić DPIA. Istotna zmiana procesu to np. zmiana dostawcy usług, zmiana nośnika danych z wersji papierowej na elektroniczną, zmiana oprogramowania służącego do przetwarzania danych. Dochodząc do sedna uważam, że ocena skutków przetwarzania w fazie tworzenia systemu ochrony danych osobowych zgodnie z RODO powinna być jak najprostsza. Wynika to z tego, że osoby, które mają ją przeprowadzać dopiero się jej uczą. A zgodnie z powyższym przepisem procedura ta ma na stałe funkcjonować zarówno przy tworzeniu nowych procesów przetwarzania danych osobowych jak i przy zmianie już istniejących. Moja konkluzja jest następująca: Na pytania typu – Czy można przechowywać listy obecności pracowników w obszarze chronionym na widoku? – Czy można stosować szafki bez zamków przy założeniu, że pomieszczenia są zamykane? – Czy można wysyłać dane osobowe pocztą tradycyjną listem zwykłym, a nie poleconym? Odpowiedź powinna być jedna: – Proszę przeprowadzić DPIA.

Konrad Gałaj-Emiliańczyk

Konrad Gałaj-Emiliańczyk

Ekspert ds. ochrony danych
tel. 514 747 434
mail. kontakt@chron-dane.eu