Blog prawniczy

Każdy ADO jest zobowiązany do zapewnienia należytego stopnia ochrony przetwarzanych danych osobowych. Aby było to możliwe, należy przede wszystkim ustalić, jakie dane podlegają ochronie i przed jakimi zagrożeniami muszą być one zabezpieczone. Służą temu mechanizmy analizy ryzyka oraz DPIA. Kiedy trzeba je przeprowadzić i na czym polegają? Czy zawsze są niezbędne?

Czym jest analiza ryzyka według RODO?

Rozporządzenie RODO nie zawiera definicji analizy ryzyka, ale jej podstawy formalnej można doszukiwać się w art. 32 RODO. Zgodnie z tym przepisem administrator danych osobowych oraz podmiot przetwarzający na własną rękę dokonują oceny bezpieczeństwa przetwarzanych danych osobowych, uwzględniając takie kryteria, jak stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Na podstawie wyników analizy ryzyka podejmowane są decyzje co do tego, jakie środki techniczne i organizacyjne wdrożyć w organizacji.

Analiza ryzyka powinna być przeprowadzona zawsze, niezależnie od tego, na jaką skalę i w jakim celu lub zakresie są przetwarzane dane osobowe.

Warto podkreślić, że ciężar analizy ryzyka spoczywa bezpośrednio na Administratorze danych osobowych lub procesorze. To zasadnicza różnica względem ustawy o ochronie danych osobowych, gdzie niejako podmioty te były wyręczane przez ustawodawcę.

Sprawdź również: Outsourcing funkcji IOD do naszej kancelarii – czy sprawdzi się w Twojej firmie?

Na czym polega DPIA?

Obok analizy ryzyka rozporządzenie RODO przewiduje również proces określany jako DPIA, czyli ocena skutków naruszenia dla danych osobowych (ang. Data Privacy Impact Assessment). W odróżnieniu od klasycznej analizy ryzyka DPIA nie zawsze będzie obligatoryjne, można powiedzieć, że stanowi „kwalifikowaną” wersję podstawowej procedury.
Podstawą DPIA jest art. 35 RODO. Stanowi on, że ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych jest niezbędna, jeżeli dany rodzaj przetwarzania powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jednocześnie Administrator musi skonsultować DPIA z IOD, jeżeli inspektor został wyznaczony. W określonych sytuacjach pojawia się też konieczność przeprowadzenia konsultacji z organem nadzorczym (w Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych).

Kiedy DPIA jest niezbędne?

Na zasadność przeprowadzenia DPIA wskazuje przede wszystkim zastosowanie przez administratora nowych technologii (np. przetwarzanie danych osobowych z wykorzystaniem usługi chmurowej lub korzystanie z rozproszonego rejestru). Stosownie do art. 35 ust. 3 przeprowadzenie DPIA jest obowiązkowe również w sytuacji, gdy:

• ocenie podlegają czynniki osobowe odnoszące się do osób fizycznych, jeżeli ocena ta opiera się na zautomatyzowaniu i stanowi podstawę do wydania decyzji wywołującej
• skutki prawne względem osoby fizycznej lub wpływa na nią znacząco w inny sposób (np. automatyczna ocena zdolności kredytowej),
• na dużą skalę przetwarzane są wrażliwe dane osobowe lub dane dotyczące wyroków i skazań (np. przetwarzanie danych pacjentów szpitala),
• przetwarzanie polega na systematycznym monitorowaniu na dużą skalę miejsc dostępnych publicznie.

Jakie elementy musi obejmować DPIA?

Ocena DPIA może zostać przeprowadzona na różne sposoby. Ważne jednak jest, aby zawierała przynajmniej elementy wskazane w art. 35 ust. 7 RODO. Należą do nich:

• opis celów i operacji przetwarzania danych osobowych,
• ocena, czy operacje są niezbędne oraz proporcjonalne w stosunku do celów,
• ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
• środki i mechanizmy podejmowane przez administratora lub procesora w celu zarządzania ryzykiem i ochrony praw i wolności osób, których dane dotyczą.

Czy wdrożenie środków bezpieczeństwa danych osobowych musi być drogie?

Skoro unijny ustawodawca nie wskazuje jednoznacznie minimalnego poziomu bezpieczeństwa danych osobowych, każda firma musi dopasować je na własną rękę, uwzględniając wspomniane kryteria, o których mowa w art. 32 RODO. Niekiedy można spotkać się z podejściem, że wystarczające będą minimalne rozwiązania, ponieważ liczy się, to, że firma w jakikolwiek sposób dba o dane osobowe. Czy aby na pewno?

Warto w tym kontekście zwrócić uwagę na wyrok Naczelnego Sądu Administracyjnego z dnia 4 marca 2002 r., sygn. II SA 3144/01. Choć wydany pod rządami innego aktu prawnego, niż RODO, rozstrzygnięcie nadal pozostaje aktualne – Żadne względy natury organizacyjno-finansowej nie powinny być traktowane jako podstawy do sprzecznego z prawem przetwarzania danych osobowych.

Innymi słowy, administrator danych osobowych nie może stwierdzić, że dobrze byłoby wdrożyć np. szyfrowanie danych za pomocą 256-bitowego AES lub zastosować uwierzytelnianie dwuskładnikowe, ale są to rozwiązania zbyt kosztowne, więc firma poprzestanie na prostszych technologiach. Wraz z rosnącym stopniem ryzyka przetwarzania danych, należy przeznaczać odpowiednio większy budżet na ich ochronę. W przeciwnym razie w pewnym momencie może się okazać, że rozwijająca się firma przetwarza dane niezgodnie z prawem.

Analiza ryzyka i DPIA powinny uwzględniać nie tylko charakter danych osobowych i sposób ich przetwarzania, ale także zakres informacji, czyli to, ilu podmiotów dotyczy przetwarzanie, jak duża ilość danych jest przetwarzana, ale też to, jaki jest zakres poszczególnych kategorii danych.

Oczywiście trzeba pamiętać, że zarówno analiza ryzyka, jak i DPIA muszą iść w parze z ogólnymi zasadami przetwarzania danych osobowych, w tym zasadą minimalizmu oraz zasadą ograniczenia celu. Nadal więc dane muszą być przetwarzane na podstawie określonej przesłanki i wyłącznie w konkretnym celu.

Jak bezpiecznie stosować podejście oparte na ryzyku?

Przepisy RODO wprowadzają tzw. risk-based approach, czyli przerzucają identyfikację i wdrożenie odpowiednich rozwiązań na administratora, względnie na procesora. W praktyce więc nigdy nie można zaimplementować mechanizmów analizy ryzyka i DPIA raz na zawsze. Niezbędne w tym celu jest zastosowanie modelu doskonale znanego wszystkim managerom, czyli cyklu Deminga. Zakłada on ciągłą ewolucję organizacji poprzez regularne powtarzanie czterech etapów – Planowanie – Wykonanie – Analiza – Działanie.

Jakie zagrożenia należy uwzględnić na etapie analizy ryzyka lub DPIA?

Przepisy RODO nie przewidują listy zagrożeń, przed jakimi ochronić ma analiza ryzyka lub DPIA. Administrator lub podmiot przetwarzający powinni ustalić je na własną rękę, uwzględniając specyfikę prowadzonej działalności gospodarczej. Obecnie coraz więcej zagrożeń czyha w przestrzeni wirtualnej. Mogą być to np.:

• zainfekowanie komputera złośliwym oprogramowaniem,
• przełamanie zabezpieczeń informatycznych,
• publikacja treści szkodliwych lub sprzecznych z prawem w internecie,
• przeprowadzenie sabotażu (np. poprzez atak DDoS),
• akty cyberterroryzmu, polegające na sparaliżowaniu kluczowych elementów infrastruktury.

Z pewnością jednak analizy ryzyka nie należy ograniczać do cyberprzestrzeni. Naruszenia w obrębie danych osobowych nierzadko wynikają ze zwykłych awarii systemowych lub błędów pracowniczych. Dlatego tak istotna jest edukacja zespołu oraz stworzenie wewnętrznej polityki zarządzania ryzykiem w zakresie danych osobowych. Niezbędne są też regularne audyty, które pozwolą na wykrycie podatności w organizacji.

Kompleksowe wdrożenie RODO – Kancelaria Linke Kulicki

Prawidłowe przeprowadzenie analizy ryzyka i DPIA mają kluczowe znaczenie dla każdej firmy. Ze względu na brak jednoznacznych wytycznych wiele organizacji ma jednak wątpliwości, jak stosować te oceny prawidłowo i zapewnić sobie tym samym bezpieczeństwo w myśl zasady rozliczalności.

Kancelaria Linke Kulicki oferuje wsparcie w zakresie wdrażania RODO oraz audytów RODO. Nasz zespół pomoże opracować procesy analizy ryzyka i DPIA, przygotuje niezbędną dokumentację i zajmie się szkoleniem pracowników. Z naszą pomocą danymi będziesz zarządzał świadomie, a co najważniejsze, zgodnie z prawem.