Baza wiedzy

Prowadzenie analizy ryzyka zgodnie z wymaganiami RODO

Autor: Jakub WezgrajData dodania: Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (RODO)

Prowadzenie analizy ryzyka, to jedno z kluczowych wymagań, które zobowiązani są realizować zarówno administratorzy danych jak i podmioty przetwarzające dane osobowe na zlecenie. Wymóg ten obowiązuje więc wszystkie podmioty, które mają styczność z danymi osobowymi. Jak na gruncie RODO możemy prowadzić analizę ryzyka w możliwie prosty i skuteczny sposób? Zapraszamy do lektury artykułu.

Czym jest analiza ryzyka na gruncie RODO?

Mówiąc w dużym skrócie analiza ryzyka służy ustaleniu słabych stron (podatności) organizacji, które występują potencjalnie, ale w określonych sytuacjach mogą się urzeczywistnić (czyli mogą faktycznie wystąpić) doprowadzając jednocześnie do faktycznego naruszenia ochrony danych osobowych. Rolą administratorów danych oraz podmiotów przetwarzających dane osobowe na zlecenie jest więc ustalenie jak największej ilości potencjalnych podatności i dokonanie oceny ich możliwego wpływu (gdyby realnie wystąpiły) na bezpieczeństwo przetwarzanych danych osobowych. Ten wpływ na bezpieczeństwo może być różny i prowadzić do negatywnych zdarzeń zarówno w samej organizacji jak i w życiu osób, których dane osobowe uległy naruszeniu. W tym sensie mówimy o ocenie ryzyka dla organizacji oraz osób fizycznych, z jakim wiąże się wystąpienie ewentualnego naruszenia.

Prawidłowe prowadzenie analizy ryzyka pozwala z wyprzedzeniem wprowadzać takie środki bezpieczeństwa, które albo znacząco obniżą ryzyko wystąpienia konkretnego zdarzenia, albo przynajmniej realnie ograniczą negatywne skutki, które będą z nim związane gdy faktycznie wystąpi. Takie przynajmniej jest podstawowe założenie dla prowadzonych analiz ryzyka.

Przykład

Wyobraźmy sobie sytuację, w której Spółka X części swoich pracowników udostępniła laptopy jako podstawowe narzędzia pracy. Pracownicy Ci zapisują na dyskach twardych tych laptopów różnego rodzaju dokumenty, które zawierają dane osobowe. Jeden z pracowników zabrał swojego laptopa na zewnętrzne szkolenie, które było organizowane w innym mieście. Podczas podróży pociągiem do tego miasta, pracownikowi skradziono laptopa. Niestety nikt wcześniej nie pomyślał, by odpowiednio zabezpieczyć sprzęt przed dostępem osób nieuprawnionych.

Jak taka hipotetyczna sytuacja mogłaby wyglądać z perspektywy analizy ryzyka? Poniżej przykładowy opis scenariusza zdarzenia.

AKTYWO PODATNOŚĆ MOŻLIWY SKUTEK
laptop Brak zabezpieczeń laptopa przed dostępem osób nieuprawnionych w przypadku wykorzystywania go poza obszarem biurowym Naruszenie ochrony danych osobowych zapisanych na dysku twardym laptopa w przypadku zgubienia lub kradzieży laptopa – wówczas istnieje ryzyko dostępu do danych przez osobę nieuprawnioną, a także ryzyko bezpowrotnej utraty tych danych jeżeli nie mieliśmy zapisanej ich kopii gdzie indziej
Określanie prawdopodobieństwa wystąpienia zdarzenia

W poprzedniej tabeli opisałem coś, co określamy mianem scenariusza negatywnych zdarzeń, czyli takiego, który może wystąpić w rzeczywistości i spowodować określone skutki w postaci naruszenia ochrony danych osobowych.

Kolejną kwestią jest zastanowienie się na ile jest prawdopodobne, że taki scenariusz może wystąpić w rzeczywistości. Najlepiej jak tą ocenę przedstawimy w skali punktowej, na przykład takiej jak:

Prawie pewne 5 zdarzenie występuje co najmniej raz w tygodniu
Prawdopodobne 4 zdarzenie występuje co najmniej raz w miesiącu
Możliwe 3 zdarzenie występuje co najmniej raz na kwartał
Mało prawdopodobne 2 zdarzenie występuje co najmniej raz na pół roku
Rzadkie 1 zdarzenie nie występuje lub występuje raz w roku

Jak widać, w powyższej tabeli odwołuję się do doświadczeń jakie organizacja miała dotychczas z przypadkami kradzieży lub zgubienia laptopów. Natomiast można też w oparciu o powyższe informacje zakładać, jakie jest prawdopodobieństwo wystąpienia danego scenariusza (nawet jeśli do tej pory nigdy nie wystąpił) biorąc pod uwagę skalę w jakiej stosujemy dane rozwiązanie. Przykładowo jeżeli większość pracowników pracuje na laptopach i mogą je wykorzystywać poza obszarem biura, skala prawdopodobieństwa wystąpienia danego scenariusza rośnie. Natomiast jeżeli z laptopów korzysta wyłącznie niewielka liczba osób, prawdopodobnie skala będzie niższa (choć znam taki przypadek gdzie tylko jeden pracownik zgubił lub w dziwnych okolicznościach stracił 3 laptopy w ciągu jednego roku).

Określanie możliwego skutku zdarzenia

Kolejnym elementem jaki należy ustalić w ramach konkretnego scenariusza zdarzeń jest negatywny skutek jaki może on wywołać, jeżeli faktycznie wystąpi. Z punktu widzenia RODO zdarzenie może wywoływać skutek:

  • po stronie administratora danych (lub podmiotu przetwarzającego), który może mieć charakter zarówno materialny jak i niematerialny, ale przede wszystkim
  • po stronie osób, których dane osobowe uległy naruszeniu (podmiotów danych)

Pamiętajmy bowiem, że RODO stoi na straży praw w pierwszej kolejności jednostek (podmiotów danych osobowych), a nie organizacji, które przetwarzają ich dane osobowe.

Odnosząc się do omawianego przykładu chodzi więc o ocenę z jakim negatywnym skutkiem dla osób fizycznych, a także samego administratora danych może wiązać się uzyskanie dostępu osoby nieuprawnionej do danych osobowych zapisanych na skradzionym lub zgubionym laptopie?

Możliwy skutek zdarzenia najlepiej również określać w danych liczbowych. Poniżej przykład:

Ocena skutku zdarzenia dla osób fizycznych (podmiotów danych)
NEGATYWNY SKUTEK (SKALA) KRYTERIA OCENY
Bardzo wysoki (5) Naruszenie z bardzo dużym prawdopodobieństwem może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną
Wysoki (4) Naruszenie faktycznie może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną
Średni (3) Naruszenie w zależności od kontekstu danego zdarzenia w niektórych przypadkach może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną
Niski (2) Naruszenie nie może skutkować poważnym wpływem na prawa i wolności osób fizycznych (np. ich sferę materialną lub dobra osobiste), w tym nie grozi dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną
Bardzo niski (1) Naruszenie nie będzie wpływało na prawa i wolności osób fizycznych

Dla przykładu jeżeli na skradzionym laptopie były zapisane wyłącznie służbowe adresy e-mail kilku osób reprezentujących kontrahentów danej organizacji, to uzyskanie dostępu do tych danych przez osobę nieuprawnioną z dużą dozą prawdopodobieństwa nie będzie poważnie wpływało na prawa i wolności tych osób (zaznaczylibyśmy więc ocenę skutku na poziomie „2”). Natomiast jeżeli na dysku laptopa byłyby zapisane na przykład dane osobowe pracowników tej organizacji (np. gdy laptop należał do pracownika Działu HR, a na dysku były zapisane skany umów o pracę, czy też wypełnione kwestionariusze osobowe), dostęp do tego typu danych osobowych przez kogoś nieuprawnionego wywoływałby realne zagrożenie dla praw i wolności tych osób. W takim wypadku możliwy skutek należałoby ocenić na poziomie co najmniej „4”.

Ocena skutku zdarzenia dla organizacji (administratora danych lub podmiotu przetwarzającego)
NEGATYWNY SKUTEK (SKALA) STRATY MATERIALNE (FINANSOWE) STRATY NIEMATERIALNE (REPUTACJA)
Bardzo wysoki (5) Powyżej 1 mln zł Negatywne opinie zarówno w mediach lokalnych jak
i krajowych
Wysoki (4) W zakresie 101 tys. – 1 mln zł Negatywne opinie w mediach krajowych
Średni (3) W zakresie 51 – 100 tys. zł Negatywne opinie w mediach lokalnych
Niski (2) W zakresie 5 – 50 tys. zł Negatywne opinie bez udziału mediów
Bardzo niski (3) Poniżej 5 tys. zł Brak wpływu na reputację

Przedstawiony wcześniej przykład naruszenia ochrony danych i jego potencjalnego skutku dla osób fizycznych zazwyczaj będzie też miało swoje „odzwierciedlenie” w skutkach po stronie samej organizacji. Jeżeli doszło do naruszenia ochrony danych w wyniku niewystarczających zabezpieczeń po stronie organizacji (tak jak w przypadku przykładu z laptopem), będzie musiała się liczyć z ryzykiem nałożenia na nią administracyjnej kary finansowej przewidzianej w RODO (górna granica jest bardzo wysoka i w przedstawianym przypadku sięga kwoty 10 mln euro lub 2% rocznego obrotu, w zależności która kwota jest wyższa), a ponadto z roszczeniami odszkodowawczymi kierowanymi przez osoby, których dane były niewłaściwie zabezpieczone.

Ponadto tego typu zdarzenie z pewnością nie buduje dobrego wizerunku. Skutkiem zdarzenia może więc być również na przykład pogorszenie sposobu postrzegania organizacji przez społeczność (np. aktualnych i potencjalnych klientów, czy też samych pracowników).

Biorąc pod uwagę, że RODO chroni prawa jednostki, ocena skutku zdarzenia dla organizacji powinna być „pochodną” dokonanej oceny skutku dla praw i wolności osób fizycznych. Innymi słowy wartości punktowe, jakie przypisujemy przy ocenie skutku dla organizacji powinny być zbliżone do tych jakie przyjęliśmy przy ocenie wpływu zdarzenia na sytuację osób fizycznych.

Szacowanie ryzyka

Skoro już mamy ustalone wartości oceny prawdopodobieństwa wystąpienia negatywnego scenariusza oraz możliwych skutków jakie może wywołać po stronie osób fizycznych oraz samej organizacji, należy przeprowadzić szacowanie ryzyka jakie wiąże się z tym scenariuszem.

Szacowanie ryzyka polega na obliczeniu wartości punktowej, na którą składa się iloczyn:

  • liczby jaką określiliśmy prawdopodobieństwo wystąpienia scenariusza oraz
  • liczby jaką określiliśmy skutek tego zdarzenia dla organizacji oraz osób fizycznych.

Do szacowania w ten sposób ryzyka można wykorzystać matrycę, której przykład załączam poniżej.

Wskazane w matrycy skróty oznaczają:
POZIOM RYZYKA OPIS WYMAGANEGO DZIAŁANIA
Niski (N) Poziom ryzyka akceptowalny – działania podejmowane w zależności od wymaganych nakładów
Średni (Ś) Poziom ryzyka nieakceptowalny – działanie może zostać przesunięte w czasie, ale wymaga okresowego monitorowania
Wysoki (W) Poziom ryzyka nieakceptowalny – działanie może zostać przesunięte w czasie, ale wymaga stałego monitorowania
Krytyczny (K) Poziom ryzyka nietolerowany – wymaga natychmiastowego działania

Bazując na przedstawionym w niniejszym artykule przykładzie skradzionego laptopa, jeżeli dostęp do zapisanych danych osobowych przez osobę nieuprawnioną mógł generować negatywny skutek dla praw i wolności osób fizycznych na poziomie „4” (wysoki), a prawdopodobieństwo wystąpienia tego scenariusza (czyli kradzieży lub zgubienia laptopa) jest „możliwe” (wartość punktowa – „3”), to iloczyn tych liczb daje nam w matrycy wysoki poziom ryzyka. Gdyby jednak prawdopodobieństwo wystąpienia zdarzenia zostało ocenione przez konkretną organizację na poziomie „4” („prawdopodobne”), wówczas ocena ryzyka byłaby już krytyczna.

Dobór środków bezpieczeństwa adekwatnych do stwierdzonych zagrożeń

Zgodnie z wymaganiami art. 32 RODO, każda organizacja jako administrator danych lub podmiot przetwarzający zobowiązana jest wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa, aby zapewnić stopień bezpieczeństwa odpowiadający ustalonemu ryzyku. W szczególności należy wówczas stosować środki bezpieczeństwa:

  • takie jak pseudonimizacja i szyfrowanie danych osobowych,
  • zapewniające poufność, integralność, dostępność i odporności systemów oraz usług służących do przetwarzania danych osobowych (czyli np. zabezpieczenie laptopów poprzez indywidualne loginy i hasła dostępu dla użytkowników na poziomie systemu operacyjnego i poszczególnych aplikacji uruchamianych na laptopie),
  • zapewniające możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (czyli np. kopie zapasowe danych na wypadek ich utraty lub zniszczenia),
  • polegające na regularnym testowaniu, mierzeniu i ocenianiu skuteczności aktualnie stosowanych środków bezpieczeństwa.

Dokonując ustalenia środków bezpieczeństwa adekwatnych do zagrożeń wynikających ze scenariusza wskazywanego w niniejszym artykule jako przykładowy, można dojść do następujących wniosków:

AKTYWO ZIDENTYFIKOWANE ZAGROŻENIE USTALONY POZIOM RYZYKA DECYZJA W ZAKRESIE WDROŻENIA ŚRODKÓW BEZPIECZEŃSTWA
laptopy ryzyko nieuprawnionego dostępu do danych osobowych zapisanych na dyskach twardych laptopów wykorzystywanych poza obszarem biurowym wysoki 1. wprowadzić szyfrowanie dysków twardych laptopów
      2. wprowadzić obowiązkowe logowanie do systemu operacyjnego (Windows) oraz poszczególnych systemów informatycznych służących do przetwarzania danych osobowych, zainstalowanych na laptopie (np. poczta elektroniczna)
      3. wykonywać okresowe kopie zapasowe danych zapisanych na dysku laptopa na wypadek utraty lub kradzieży laptopa, kopie przechowywać w wyznaczonym miejscu w siedzibie organizacji lub innej lokalizacji, która gwarantuje brak możliwości dostępu do kopii danych osobom nieuprawnionym
      4. wykonywać okresowe testy odtworzeniowe kopii zapasowych w celu sprawdzenia czy nadają się do użytku na wypadek utraty podstawowych danych na laptopie
      5. dokonywać okresowych zmian haseł dostępu do systemów informatycznych zainstalowanych na laptopie
      6. przeszkolić użytkowników laptopów z wprowadzonych zasad bezpieczeństwa
Podsumowanie

W niniejszym artykule przedstawiono bardzo uproszczoną propozycję przeprowadzania analizy ryzyka w sposób zgodny z wymaganiami RODO. Należy jednak pamiętać, że przepisy unijnego rozporządzenia nie narzucają konkretnej metodologii analizy ryzyka. Każda organizacja może więc opracować własny sposób postępowania lub bazować na dostępnych propozycjach.

Również przedstawione kryteria (np. w poszczególnych tabelach) są jedynie propozycją, które należy dostosować do własnych potrzeb.

Ważne jest jednak to, by takie działania faktycznie realizować. Zgodnie bowiem z wymaganiami RODO administrator danych, który nie prowadzi analizy ryzyka (która następnie powinna podlegać okresowej aktualizacji) nie będzie w stanie wykazać, że zabezpieczenia jakie stosuje są adekwatne do zagrożeń i ryzyk z nimi związanych. W tym sensie nie będzie w stanie wykazać, że spełnia wymagania w zakresie zabezpieczenia przetwarzanych danych osobowych.

A podatności i negatywnych scenariuszy zdarzeń nie brakuje w żadnej organizacji.

Zadaj pytanie  lub  Zadzwoń: 600 677 026

administrator danychanaliza ryzykabezpieczeństwo danych osobowychGDPRJakub Wezgrajnaruszenie ochrony danychRODOrodo wymaganiarozporządzenie GDPRrozporządzenie RODOryzyko ochrona danychunijne rozporządzenie o ochronie danychustawa o ochronie danychwdrożenie gdprwdrożenie rodo

Wróć

Do góry