RODO odchodzi od sztywno wyznaczonych zasad postępowania na rzecz podejścia op-artego na ryzyku. Oznacza to, że każda spółdzielnia socjalna musi samodzielnie ocenić ryzyko związane z ochroną danych osobowych i dobrać środki, które są dla niej ade-kwatne i to w dodatku na własną odpowiedzialność. RODO nie daje gotowych rozwiązań ani nie zawiera listy obowiązkowych dokumentów i procedur. Jednakże z art. 32 tego aktu prawnego wyraźnie wynika obowiązek przeprowadzenia analizy ryzyka przez każdy podmiot przetwarzający dane osobowe. W związku z tym, w każdej spółdzielni socjalnej będzie taka procedura obligatoryjna. Jeśli analiza przeprowadzona w organizacji po-twierdzi, że przyjęte już w spółdzielni systemy ochrony i dokumenty są wystarczające dla ochrony przetwarzanych danych, z powodzeniem można je zaadoptować do wymogów RODO. Zgodnie z zasadą rozliczalności spółdzielnia musi wykazać, że w sposób należyty i zgodnie z prawem chroni dane osobowe. Należy przy tym wyraźnie zaznaczyć, że nie jest wymagana żadna szczególna forma i dozwolone jest korzystanie z dowolnej meto-dologii, o ile da się wykazać, że pozwala ona na rzetelną ocenę ryzyka. W związku z tym, spółdzielnia może sama wypracować sobie własną metodologię i samodzielnie dokonać analizy ryzyka korzystając ze środków, które posiada. Może również zlecić wykonanie tej procedury podmiotowi zewnętrznemu albo skorzystać z norm ISO. Ażeby dobrać
45
Dostosowanie funkcjonowania spółdzielni socjalnych do RODO
odpowiednie środki organizacyjne i prawne takie jak np. klauzule do umów, regulamin wewnętrzny, wybór zabezpieczenia systemu informatycznego należy najpierw dokonać oceny ryzyka. Zgodnie z zaleceniami UODO (Kaczmarek i inni, 2018) ocena ryzyka może składać się z czerech etapów przedstawionych na schemacie nr 3:
Schemat 3. Etapy oceny ryzyka
Etap II Opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych Etap III Szacowanie i ocena ryzyka Etap IV Postępowanie z ryzykiem Etap I Kontekst dla oceny ryzyka
Źródło: opracowanie własne na podstawie: Kaczmarek A., Młotkiewicz M., Łapińska A. i inni (2018), Jak stosować podejście oparte na ryzyku? Poradnik RODO cz.2, wyd. UODO, Warszawa.
Kontekst obejmuje charakter, zakres i cele przetwarzania danych osobowych. Opisu-jąc i identyfikuOpisu-jąc wymagania należy określić przy pomocy jakich środków są one prze-twarzane np. papierowo, elektronicznie, w chmurze itp. oraz czy dane są przeprze-twarzane zgodnie z prawem np. należy sprawdzić czy zgody na przetwarzanie danych osobowych były prawidłowo zebrane i zredagowane, czy spółdzielnia nie przetwarza zbyt dużej ilo-ści danych i czy nie przechowuje ich zbyt długo. Następnie należy dokonać oszacowania
46
Małgorzata Błażejowska
prawdopodobieństwa wystąpienia zdarzenia naruszającego prawa osób, których dane są przetwarzane oraz określić istotność efektów takiego zdarzenia według własnej skali np. niskie, średnie, wysokie, krytyczne. Ryzyko należy oszacować na podstawie obiek-tywnej oceny. Identyfikacja ryzyka powinna także uwzględniać szanse wystąpienia określonych jego skutków [Borocz 2016]. Wskazując na takie skutki, motyw 85 preambu-ły RODO przykładowo wymienia: powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych; utratę kontroli nad własnymi danymi osobowy-mi lub ograniczenie praw; dyskryosobowy-minację; kradzież lub sfałszowanie tożsamości; stratę finansową; nieuprawnione odwrócenie pseudonimizacji; naruszenie dobrego imienia; naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszel-kie inne znaczne szkody gospodarcze lub społeczne. Końcowym etapem będzie wybór formy postępowania z ryzykiem polegający na obniżeniu jego poziomu, unikaniu albo ak-ceptacji np. sporządzenie klauzul umownych zakazujących kopiowania danych na dyski przenośne lub konfiguracja systemu uniemożliwiająca zapis takich danych. Akceptacja ry-zyka będzie miała miejsce wówczas jeżeli jest ono niskie lub bardzo mało prawdopodob-ne. Dla przykładu zgubienie nośnika z danymi osobowymi cechuje niskie prawdopodo-bieństwo ale zagrożenie naruszenia praw i wolności wysokie. W celu zmniejszenia ryzyka spółdzielnia powinna wydać wewnętrzny zakaz wynoszenia danych. Art. 32 ust. 1 RODO wskazuje działania, które mogą być podjęte w celu minimalizacji ryzyka. Należą do nich:
1) pseudonimizacja i szyfrowanie danych - nie jest to konieczność ale przykład, który warto rozważyć, zwłaszcza gdy z analizy ryzyka wynika, że mogłyby być one przydatne w spółdzielni;
2) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odpor-ności systemów i usług przetwarzania (np. zasilanie awaryjne systemów);
3) zdolność do szybkiego przywrócenia dostępności danych i dostępu w razie incy-dentu fizycznego/technicznego (np. posiadanie kopii zapasowych);
4) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych (np. wykonywanie niezapowiedzianych testów bezpieczeństwa). Wybierając środki mi-nimalizacji ryzyka trzeba uwzględnić: stan wiedzy technicznej i koszt wdrażania. Oznacza to, że należy wybierać takie środki techniczne, które są przetestowane i nie mają charakteru eksperymentalnego oraz są w zakresie realnych możliwości finan-sowych spółdzielni. W przypadku, w którym dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, admi-nistrator jest zobowiązany dokonać oprócz analizy ryzyka również oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Z uwagi na
47
Dostosowanie funkcjonowania spółdzielni socjalnych do RODO
lokalny charakter działalności większości spółdzielni socjalnych przetwarzających dane głównie zwykłe i na małą skalę, taki dokument nie będzie dla nich konieczny.