Czym jest analiza ryzyka?
Prawo06 września, 2024

Czym jest analiza ryzyka?

Proces analizy ryzyka w kontekście ochrony danych osobowych i wpływy ryzyk na poszczególne osoby jest procesem złożonym, często wymagającym zaangażowania osób z różnych zespołów. Nie jest procesem jednorazowym, lecz ciągłym.

Analiza ryzyka służy przede wszystkim do zrewidowania wykonywanych czynności lub zachodzących procesów w organizacji pod kątem znalezienia w nich luk/słabości, mogących doprowadzić do naruszenia ochrony danych osobowych.

Innymi słowy, analiza ryzyka powinna – poprzez identyfikację podatności – pomóc w doborze odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania wystąpienia sytuacji zagrażających bezpieczeństwu danych osobowych.

Norma ISO 27000

Z kolei odwołując się do definicji znajdujących się w normie ISO 27000, analiza ryzyka ma na celu poznanie charakteru ryzyka w celu określenia jego poziomu, co pozwoli organizacji na podjęcie decyzji co do dalszego postępowania z ryzykiem.

Co prawda grupa norm ISO 27000 mówi o ryzyku w kontekście wpływu np. finansowego czy reputacyjnego na organizację w przypadku ziszczenia się scenariuszy. Jednak w obszarze ochrony danych bazuje się na definicjach znajdujących się w normie ISO 27000, dostosowując je do kontekstu działania organizacji, dla której będą realizowane szacunki oceny ryzyka.

RODO: obowiązki administratora

W samym RODO jest mowa o ryzyku i wysokim ryzyku naruszenia praw i wolności podmiotów danych, czyli osób fizycznych. Do obowiązków administratora, czyli pomiotu decydującego o celach i sposobach przetwarzania danych, należy dobór odpowiednich środków technicznych (np. ograniczenie dostępu do pomieszczeń za pomocą karty, szyfrowanie dysków, blokowanie portów USB) i organizacyjnych (np. wdrożenie procedury nadawania uprawnień, plan ciągłości działania).

Jednak, żeby właściwie dobrać te środki, zgodnie z art. 24 RODO administrator musi uwzględnić:

  • charakter przetwarzania,
  • zakres,
  • kontekst,
  • cele przetwarzania,
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze.

Ocena ryzyka naruszenia praw i wolności stanowi wyzwanie dla administratorów właśnie ze względu na trudność w jej dokonaniu wobec osób, które są np. klientami administratora, jego pracownikami, pacjentami, dłużnikami czy sygnalistami.

Należy zwrócić uwagę, że właśnie dla tych osób, które pozostają w różnych relacjach z administratorem, ocena ryzyka będzie stanowić narzędzie szacujące prawdopodobieństwo wystąpienia zagrożeń, a w przypadku ich wystąpienia – określające, jak dane zdarzenie wpłynie na daną osobę. Przeprowadzenie analizy takiego wpływu bez danych historycznych, znajomości zagrożeń, wdrożonych środków technicznych i organizacyjnych może okazać się wyzwaniem dla organizacji.

Obecnie administratorzy korzystają z opracowanych przez siebie metodyk przeprowadzania analizy ryzyka, z narzędzia dostarczanego przez francuski organ nadzorczy czy też dostępnych na rynku aplikacji.

Elementy, które powinny być zapewnione

Istotne jest, by podejmując decyzję co do przyjmowanej metodologii przez organizację, pamiętać o kilku podstawowych elementach, które powinny być zapewnione:

  • uzasadnieniu dla przyjętych mechanizmów wyliczeń poziomu ryzyka – dlaczego zastosowano właśnie taki a nie inny wzór matematyczny (chyba, że stosujemy metodę opisową);
  • kwestii związanych z powtarzalnością procesu umożliwiającą porównywanie wyników w danym czasie w oparciu o te same przyjęte parametry;
  • dostępności dla osób ją wykonujących, np. wspólnie edytowalny plik zapewniający rozliczalność dla wprowadzanych zmian.

Analiza powinna być powtarzana

Proces analizy ryzyka w kontekście ochrony danych osobowych i wpływy ryzyk na poszczególne osoby jest procesem złożonym, często wymagającym zaangażowania osób z różnych zespołów. Nie jest procesem jednorazowym, tylko ciągłym – wymagającym od organizacji regularnego dostosowywania do aktualnie zachodzących w niej procesów czy wykonywanych czynności związanych z przetwarzaniem danych osobowych.

Analiza powinna być powtarzana w szczególności, gdy dojdzie do jakiegokolwiek incydentu bezpieczeństwa, gdy dane będą przekazywane poza Europejski Obszar Gospodarczy lub gdy wprowadzane jest nowe narzędzie w procesie.

Analizę ryzyka za pomocą narzędzia GDPR Risk Tracker wykonasz teraz w produkcie LEX Ochrona Danych Osobowych, dowiedz się więcej >>
 
Magdalena Szczytko-Sołtysiak
Liderka zespołu ochrony danych osobowych
Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp. k.

Back To Top