Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Analiza ryzyka w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych

14/05/2017

Gdpr, Rodo, Ocena Skutków Dla Ochrony Danych, Ogólne Rozporządzenie O Ochronie Danych, Zabezpieczenie Danych W Systemach Informatycznych, Unijne Rozporządzenie O Ochronie Danych Osobowych, Rozporządzenie O Ochronie Danych, Rozporządzenie O Danych Osobowych,

Czy i w jakim zakresie nowe przepisy Unii Europejskiej dotyczące ochrony danych osobowych wymagają wdrożenia procesu zarządzania ryzykiem, uwzględniającego w szczególności identyfikowanie i szacowanie ryzyka?


Analiza ryzyka stanowi punkt wyjścia do określenia środków chroniących przetwarzane informacje. W ramach jej prowadzenia identyfikowane są zdarzenia mogące spowodować naruszenie bezpieczeństwa danych, szacowane są potencjalne skutki takich zdarzeń, określane jest prawdopodobieństwo, z jakim mogą one wystąpić. Wyniki analizy implikują sposób zabezpieczenia danych, na ich podstawie wskazywane są środki niezbędne do należytej ochrony przetwarzanych informacji.

 

Obowiązujące obecnie przepisy o ochronie danych osobowych nie wymagają wprost przeprowadzenia analizy ryzyka, zawierają natomiast katalog zabezpieczeń, które należy wdrożyć zależnie od kategorii i sposobu przetwarzania danych osobowych. Te ostatnie określają tzw. poziom bezpieczeństwa przetwarzania danych osobowych. Sytuacja ta wygląda jednak diametralnie różnie w przypadku Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. - ogólnego rozporządzenia o ochronie danych RODO, ang. General Data Protection Regulation GDPR.

 

RODO nie określa zabezpieczeń, które powinny zostać wdrożone w celu zapewnienia należytej ochrony danych osobowych. Co prawda w art. 32 wymieniono niektóre z nich, w tym pseudonimizację, szyfrowanie i zdolność do szybkiego przywrócenia dostępności danych, to jednak przykłady zawarte w przywołanym wyżej przepisie na pewno nie mogą być uznane za kompletny i zamknięty wykaz. W RODO jednoznacznie wskazano, że dobór technicznych i organizacyjnych środków zabezpieczających uwzględniać powinien „ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia” (art. 32 ust. 1), zaś przy ocenie, czy zastosowane środki zabezpieczenia są odpowiednie „uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych lub przechowywanych lub w innych sposób przetwarzanych”. (art. 32 ust. 2)  Z powyższego jednoznacznie wynika, że podstawą ochrony przetwarzanych danych osobowych powinna być analiza ryzyka. Biorąc pod uwagę zawarte w art. 24 wymaganie dotyczące przeglądów i aktualizacji środków zabezpieczających należałoby przyjąć, że w organizacji powinien funkcjonować proces zarządzania ryzykiem, w ramach którego wykrywane byłyby zmiany związane z prawdopodobieństwem i potencjalnymi skutkami naruszeń bezpieczeństwa danych osobowych, a na tej podstawie przeprowadzany byłby przegląd adekwatności zastosowanych zabezpieczeń.

 

Dobór mechanizmów zabezpieczających może również, zgodnie z art. 32 ust. 3 RODO, bazować na przyjętym kodeksie postępowania. Na chwilę obecną nie są nam jednak znane tego typu kodeksy stosowane na terenie Polski. W projekcie wprowadzającej RODO ustawy znajduje się zapis mówiący o tym, iż Prezes nieistniejącego jeszcze Urzędu Ochrony Danych Osobowych publikuje dobre praktyki przetwarzania danych osobowych (projekt z dnia 28 marca 2017 r.). Dopóki jednak powyższe praktyki nie będą opracowane i udostępnione, podstawą do zidentyfikowania mechanizmów chroniących w należyty sposób dane osobowe będzie rzetelna analiza ryzyka i uwzględnienie dobrych praktyk bazujących na aktualnym stanie wiedzy technicznej. Przedmiotowe dobre praktyki opisane są w szczególności w normach branżowych, polskich i międzynarodowych, w tym normach ISO i EN.

 

Potrzeba przeprowadzenia analizy ryzyka związanego z przetwarzaniem danych osobowych nie wiąże się wyłącznie z określeniem oczekiwań w zakresie mechanizmów zabezpieczających. RODO w art. 35 oraz art. 36 nakłada na administratora danych dodatkowe obowiązki w przypadku, gdy przetwarzanie danych „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Obowiązki te obejmują w szczególności przeprowadzenie oceny skutków przetwarzania danych osobowych (art. 35), konsultacje z organem nadzorczym (art. 36), a także powiadomienie osób, których dane dotyczą w przypadku wystąpienia incydentu naruszenia bezpieczeństwa tych danych (art. 34). Biorąc pod uwagę dobre praktyki w zakresie zarządzania ryzykiem w organizacjach zasadnym jest wdrożenie zintegrowanego procesu obejmującego szacowanie ryzyka przetwarzania danych osobowych w celu należytego zabezpieczenie danych w kontekście zapisów art. 32 i jednocześnie spełnienia obowiązków określonych w art. 35 i 36 RODO.

 

Adam Gałach

 

Gdpr, Rodo, Ocena Skutków Dla Ochrony Danych, Ogólne Rozporządzenie O Ochronie Danych, Zabezpieczenie Danych W Systemach Informatycznych, Unijne Rozporządzenie O Ochronie Danych Osobowych, Rozporządzenie O Ochronie Danych, Rozporządzenie O Danych Osobowych,
KE opublikowała drugi raport dotyczący stosowania RODO
KE opublikowała drugi raport dotyczący stosowania RODO
Obowiązek współpracy administratora z Prezesem UODO potwierdzony w wyroku WSA w Warszawie
Obowiązek współpracy administratora z Prezesem UODO potwierdzony w wyroku WSA w Warszawie
Datatilsynet i Norwegian Accreditation współpracują w zakresie akredytacji jednostek certyfikujących zgodnie z RODO
Datatilsynet i Norwegian Accreditation współpracują w zakresie akredytacji jednostek certyfikujących zgodnie z RODO