Norma ISO/IEC 29134 zawiera wytyczne w zakresie przeprowadzania analizy ryzyka ukierunkowanej na problem ochrony prywatności osób, których dane są przetwarzane. Wskazuje ona, w jaki sposób w procesie zarządzania ryzykiem należy uwzględnić problem oceny skutków naruszenia prywatności i prawdopodobieństw wystąpienia zdarzeń prowadzących do takich naruszeń, zidentyfikować właściwe działania umożliwiające zmniejszenie ryzyka do akceptowalnego poziomu, a następnie wdrożyć je zgodnie z opracowanym planem postępowania.

Analiza PIA (ang. privacy impact assessment – ocena wpływu na prywatność) powinna być przeprowadzana przed rozpoczęciem przetwarzania danych. Stanowi ona narzędzia umożliwiające podjęcie decyzji co do sposobu realizacji projektu lub wprowadzania zmian w organizacji w taki sposób, aby uwzględnić należytą ochronę prywatności. Przeprowadzenie analizy może być również wymagane w przypadku zaistnienia zmian w środowisku, w którym organizacja funkcjonuje, w tym w związku z nowelizacją prawa, modyfikacją obowiązujących regulacji, a także zmianami dotykającymi podmioty zaangażowane w procesy przetwarzania danych osobowych.

Przeprowadzenie analizy PIA może wymagać zaangażowania szeregu interesariuszy – zarówno będących pracownikami organizacji, jak i osób z zewnątrz, żywotnie zainteresowanych kwestią ochrony danych przetwarzanych przez organizację lub przez podmioty, którym organizacja powierzyła realizację tych czynności. Należy jednocześnie pamiętać, iż perspektywa postrzegania wymagań w zakresie ochrony danych osobowych przez poszczególnych interesariuszy może być bardzo zróżnicowana, w szczególności dla niektórych z nich wprowadzenie mechanizmów zabezpieczających może wiązać się z istotnym skomplikowaniem procesów biznesowych, za których realizację są oni odpowiedzialni. Takie spojrzenie będzie pomocne przy doborze środków zabezpieczających, które, zapewniając należytą ochronę prywatności, umożliwią jednocześnie efektywną realizację procesów ich przetwarzania.

Prace analityczne muszą uwzględniać szczegółową analizę sposobu przetwarzania danych, poczynając od ich pozyskania, poprzez przetwarzanie i przekazywanie, kończąc na archiwizacji i usuwaniu. Na wszystkich etapach przetwarzania należy uwzględnić ryzyko naruszenia prywatności, biorąc pod uwagę cel, zakres i czas przetwarzania, osoby i podmioty mające dostęp do danych, czynności związane z przetwarzaniem, w tym również obowiązki wobec osób, których dane są przetwarzane, podmiotów zewnętrznych oraz organów regulujących i nadzorujących. W normie podkreślono również problem przeprowadzania analizy szczególnych przypadków prowadzących lub mogących prowadzić do naruszeń bezpieczeństwa. Mogą one obejmować na przykład udostępnienie konta w systemie informatycznym osobie nieuprawnionej, przypadkowe lub celowe wyłączenie mechanizmów zabezpieczających, utratę nośników zawierających dane osobowe, wprowadzenie błędnych danych, przekazywanie danych bez odpowiedniego zabezpieczanie lub ich wyłudzanie przez osoby nieuprawnione.

Ocena ryzyka nie ogranicza się do podstawowych atrybutów bezpieczeństwa informacji, to jest poufności, integralności i dostępności, ale uwzględnia również czynniki charakterystyczne dla ochrony prywatności, w tym związane z zakresem przetwarzanych danych, analizą korelacji pomiędzy danymi i profilowanie, realizacją praw osób, których dane są przetwarzane, przetwarzaniem danych zgodnie ze zdefiniowanym i prawnie uzasadnionym celem, czy wreszcie usuwaniem danych, których dalsze przetwarzanie jest nieuzasadnione.

Sama ocena ryzyka obejmuje typowe dla tego procesu elementy – identyfikację, szacowanie i ewaluację ryzyka. Na podstawie uzyskanych wyników następuje decyzja co do sposobu postępowania z ryzykiem – norma wymienia metody charakterystyczne dla ryzyka informacyjnego, wymieniane również w ISO/IEC 27005, to jest modyfikowanie, zachowanie, unikanie i dzielenie ryzyka. Szczegółowe czynności związane z postępowaniem z ryzykiem realizowane są na podstawie planu postępowania z ryzykiem.

Wyniki analizy PIA są dokumentowane w raporcie, którego zakres i struktura są określone w normie.  Raport zawierać powinien nie tylko ocenę i zalecenia związane z postępowaniem z ryzykiem, ale również informacje dotyczące przetwarzanych danych osobowych, sposobu ich przetwarzania, stosowanych środków technicznych, procesów zarządzania bezpieczeństwem przetwarzanych danych. W raporcie powinny znaleźć się również opisy sposobu realizacji przedmiotowej analizy.

Odbiorcami raportu mogą być osoby spoza organizacji przetwarzającej dane osobowe. Z uwagi na fakt, że raport może zawierać informacje poufne, dotyczące na przykład środków organizacyjnych i technicznych służących ochronie przetwarzanych danych, zasadnym może być opracowanie ogólnego raportu przeznaczonego dla szerokiego grona odbiorców oraz raportu szczegółowego udostępnianego wyłącznie osobom uprawnionym.

Realizacja analizy PIA powinna podlegać przeglądom - dotyczy to zarówno uzyskanych wyników jak i samego procesu analizy. Przeglądy takie pozwalają na wykrycie niedoskonałości i zoptymalizowanie podejmowanych działań. Norma zaleca, aby przegląd był przeprowadzany również przez niezależną stronę trzecią, co ułatwia dokonanie obiektywnej oceny.

Adam Gałach, CISSP, CRISC

Zapoznaj się także z następującymi publikacjami:

• Wytycznymi dotyczącymi oceny skutków dla ochrony danych DPIA oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679, 17/EN, WP 248 rev.01
• Czym jest ocena skutków dla ochrony danych osobowych DPIA

Już niebawem zaprosimy Państwa na warsztaty dotyczące prowadzenia oceny skutków dla ochrony danych zgodnie z normą ISO/IEC 29134:2017.