RODO
samej treści właściwej wielokrotnie porusza aspekt ryzyka związanego z przetwarzaniem danych osobowych, wskazując tym samym wagę, jaką trzeba przyłożyć do procesu zarządzania ryzykiem. Zarządzanie ryzykiem to proces identyfikacji, oceny, postępowania i kontroli potencjalnych zdarzeń lub sytuacji, dostarczający racjonalnego zapewnienia, że cele organizacji zostaną zrealizowane. Wymóg prowadzenia takiego procesu został wskazany między innymi w Artykule 24 „Obowiązki administratora”
Rozporządzenia:
1
.
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
RODO
Jest to wymienione jako pierwsze zadanie administratora.
Kolejne ogólne obowiązki określone zostały następująco:
2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart.
40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.
(Dodatkowo Motywy 74-77)
odpowiednich środków technicznych i organizacyjnych powinien być skorelowany z wynikami analizy ryzyka. Potwierdzeniem takiego podejścia do kolejności procesów są wydane przez GIODO w grudniu 2017 roku poradniki.
Pierwsza cześć wyjaśnia jak rozumieć podejście oparte na ryzyku, natomiast druga opisuje jak stosować podejście oparte na ryzyku. Główne postulaty wynikające z dokumentów:
• Zasada podejścia opartego na ryzyku zobowiązuje m.in. do dostosowania środków ochrony przetwarzania danych osobowych do skali ryzyka. Ocenia się je pod kątem utraty poufności, integralności i dostępności danych, biorąc przy tym pod uwagę ich zakres, szczególne znaczenie (wrażliwość) oraz kontekst i cele przetwarzania, a tym samym także kwestie zapewniania bezpieczeństwa usług przetwarzania (niezawodność, integralność i dostępność systemu przetwarzania) oraz zapewniania autentyczności i rozliczalności danych i podmiotów uczestniczących w przetwarzaniu.
• Oceniając ryzyko naruszenia praw i wolności osób, których dane dotyczą,RODO osoby odpowiedzialne za przeprowadzenie tego procesu powinny przyjąć perspektywę osób, których dane są przetwarzane i właśnie z tej perspektywy oceniać stopień dotkliwości w przypadku zmaterializowania się zagrożenia.
• Proces zarządzania ryzykiem powinien być wpisany w proces zarządzania organizacją. Kluczowym elementem w procesie zarządzania ryzykiem w organizacji jest też włączenie w ten proces wszystkich pracowników i ścisła współpraca z nimi. Pracownicy stanowią cenne źródło informacji, jeżeli chodzi o określanie źródeł ryzyka.
• Wdrożenie podejścia opartego na ryzyku jest w swojej istocie procesem ciągłym, wymagającym stałej identyfikacji i szacowania poziomu ryzyka związanego z przetwarzaniem danych osobowych. Zasada podejścia opartego na ryzyku wymusza na administratorze danych i podmiocie przetwarzającym dbanie o odpowiednią ochronę na wszystkich etapach przetwarzania danych osobowych, tj. podczas całego cyklu życia informacji, od momentu zbierania danych aż do ich usunięcia.
ryzyka wymaga oszacowania ryzyka i zastosowania środków, które je wyeliminują lub zredukują do akceptowalnego poziomu, np. rezygnacja z usługi zdalnego dostępu do bazy danych osobowych.
• Zasada rozliczalności wymaga, aby proces szacowania ryzyka został przeprowadzony i udokumentowany – w celu wykazania, że ryzyko zostało oszacowane i wprowadzono odpowiednie środki ochrony.
• Zasada podejścia opartego na ryzyku oraz stosowanie nowych rozwiązań technicznych wymaga od administratorów danych i podmiotów przetwarzających uwzględniania aktualnego stanu wiedzy technicznej w zakresie środków i metod ochrony danych.
• W podejściu opartym na ryzyku istotnym elementem skuteczności ochrony jest właściwa i kompleksowa analiza kontekstu procesu przetwarzania i identyfikacja wszystkich potencjalnych źródeł ryzyka.
RODO
Podejście do systemu zarządzania ryzkiem w RODO jest o tyle skomplikowane że przewiduje dwuetapowość postępowania:
• ogólnej oceny ryzyka, oraz
• szczegółowej oceny ryzyka, ukierunkowanej na skutki w zakresie naruszenia praw lub wolności osób fizycznych (tzw. oceny skutków dla ochrony danych).
Jakie wyzwania stają przed jednostkami ?
• Objęcie procesem zarządzania ryzkiem polityk bezpieczeństwa, które już funkcjonują tzn. czy i jakich należy dokonać zmian, aby zapisy stały się kompatybilne z wynikami analizy ryzyka.
• Podejście z perspektywy osób, których dane dotyczą może stać się
„niewygodne” dla instytucji.
• Weryfikacja i integracja procesu zarządzania ryzykiem dla ochrony danych osobowych z innymi procesami zarządzania ryzykiem w jednostkach- np.
analizy ryzyka w kontroli zarządczej, analiza ryzyka dla systemów informatycznych, analiza ryzyka dla planów ciągłości działania, analizy ryzyka na potrzeby procedur antykorupcyjnych, analiza ryzyka dla ISO, ocena ryzyka zawodowego, analiza ryzyka dla oszustw i nadużyć finansowych dla programów operacyjnych, itd..
RODO
