Bieg przez płotki, czyli o analizie ryzyka ochrony danych osobowych

Tytułowe porównanie nie jest przypadkowe. Przepisy RODO1 zobowiązały podmioty do zarządzania ryzykiem naruszenia praw lub wolności osób fizycznych, których dotyczą przetwarzane przez podmiot dane osobowe. Dla osób odpowiedzialnych za wdrożenie zapisów Rozporządzenia obszar zarządzania ryzykiem jest często obszarem nowym lub mało znanym. Nawet jeżeli miały one wcześniej styczność z analizą ryzyka, to kontekst RODO wymaga w tym zakresie specyficznego podejścia.

Start – perspektywa podmiotu danych

Największą rewolucją zarządzania ryzykiem ochrony danych osobowych w kontekście Rozporządzenia jest konieczność uwzględnienia wpływu na podmiot danych. Nawet jeżeli do tej pory zarządzanie ryzykiem w jakiś sposób dotykało procesów związanych z ochroną danych osobowych, to analizy praktycznie zawsze uwzględniały wpływ na organizację – jej cele, procesy, wizerunek, czy zgodność z przepisami prawa. Niezależnie, czy mówimy o kontroli zarządczej, ryzyku operacyjnym, bezpieczeństwie informacji, ciągłości działania czy compliance.

Nowa perspektywa spowodowała, że w popularnie stosowanych skalach oceny ryzyka musiały znaleźć się opisy odnoszące się do podmiotów (osób), których dane osobowe dotyczą i wpływu na realizację ich praw. Pierwotnie niebiznesowy charakter analizy, nie wyklucza jednak uwzględniania wpływu ryzyk z obszaru ochrony danych osobowych również na organizację. Co więcej takie podejście pozwala uzyskać wartość dodaną, dzięki której analiza ryzyka nie pozostaje wyłącznie spełnieniem obowiązku wymaganego prawem.

Płotek pierwszy – role i odpowiedzialności

Dość istotnym problemem przy wdrażaniu przepisów RODO było nadmierne obciążenie zadaniami Inspektora Ochrony Danych (IOD). Z praktycznego punktu widzenia IOD nie jest w stanie samodzielnie oszacować ryzyka związanego z procesami przetwarzania danych osobowych w całej organizacji. Może być oczywiście w mniejszym lub większym stopniu zaangażowany w sam proces analizy ryzyka, lecz bardziej w zakresie wsparcia i koordynowania aniżeli właścicielstwa wszystkich zidentyfikowanych ryzyk i odpowiedzialności za ich ocenę.

Rozwiązaniem w tym zakresie może być wskazanie „biznesowych” koordynatorów ochrony danych osobowych we wszystkich lub wybranych strukturach organizacji odpowiedzialnych za analizę ryzyka. Mogą to być kierownicy tych struktur lub osoby przez nich wyznaczone. Większe znaczenie ma znajomość procesów realizowanych w ramach struktury, ponieważ wsparcie w zakresie ochrony danych osobowych może zapewnić Inspektor.

Płotek drugi – odpowiednie środki techniczne i organizacyjne

Zgodnie z art. 32 RODO analiza ryzyka ochrony danych osobowych stanowi punkt wyjścia dla wdrażania i utrzymywania środków technicznych i organizacyjnych (zabezpieczeń). Jest to podejście zbieżne choćby z normą ISO/IEC 27001. Traktując proces zarządzania ryzykiem marginalnie organizacja odbiera sobie możliwość uzasadnienia swojego podejścia do ochrony danych osobowych. W przypadku naruszenia, wycieku lub kontroli organu nadzorczego analiza ryzyka stanowi pierwszą linię obrony w zakresie stosowanego poziomu zabezpieczeń. Oczywiście poziom szczegółowości analizy mógłby w tym zakresie przerosnąć możliwości organizacji, dlatego pomocne w tym zakresie może być przyłożenie akcentów w obszarach, w których przetwarzane są szczególne kategorie danych osobowych oraz w obszarach wymagających doskonalenia.

Płotek trzeci – integracjami z innymi obszarami zarządzania ryzykiem

Organizacje realizujące procesy zarządzania ryzykiem przed wdrożeniem RODO musiały i nadal zadają sobie pytanie, czy integrować nowy proces zarządzania ryzykiem z pozostałymi. Należy pamiętać, że zarządzanie ryzykiem nie w każdym systemie zarządzania łatwo i efektywnie zintegrować (np. zarządzanie ryzykiem ochrony danych osobowych łatwiej integrować z bezpieczeństwem informacji). Z wielu powodów jednak integracja na początkowym etapie wdrożenia mogła nie być pożądana (m.in. krótki czas na wdrożenie, brak pewności co do ostatecznego kształtu procesu, zaangażowanie nowych osób i struktur). Nie zamyka to jednak drogi do integrowania tych procesów w przyszłości. Najważniejsze, aby łączenie obszarów realizowane było w sposób przemyślany – umożliwiający osobom zaangażowanym w analizę ryzyka precyzyjne określenie w jakim kontekście identyfikują ryzyko (np. cele, procesy, aktywa, obszary) i oceniają ryzyko (opis scenariuszy – zdefiniowanie przyczyn i skutków, rozróżnienie skali wpływu – opisy uwzględniające różne perspektywy).

Zintegrowane zarządzanie ryzykiem wymaga również zazwyczaj większej liczby zmian w pierwszych iteracjach procesu mających na celu jego udoskonalenie. Istotnym elementem jest uspójnienie analiz w celu uzyskania porównywalności wyników, aby ryzyko definiowane jako wysokie lub nieakceptowalne znajdowało się na podobnym poziomie istotności z punktu widzenia Kierownictwa.

Meta a właściwie jej brak – cykliczność i aktualność analizy

Bardzo często zapomina się, że zarządzanie ryzykiem nie kończy się na pierwsze iteracji procesu i nie ogranicza się do raportowania ryzyka w ustalonych okresach czasu, np. kwartalnych lub rocznych. Monitorowanie operacyjne powinno być stałym elementem zarządzania, a rejestr ryzyk powinien być dokumentem wykorzystywanym przy podejmowaniu decyzji na różnych poziomach organizacji. Dobrą praktyką w zakresie cykliczności jest zmienna częstotliwość przeglądu w pierwszych iteracjach, np. przegląd rejestru ryzyka (druga iteracja) po kwartale, następnie (trzecia iteracja) po półroczu i dopiero od czwartej iteracji realizacja raportowania w rocznych odstępach czasu.

Podsumowując wskazane powyżej zagadnienia są oczywiście tylko wybranymi problemami z obszaru zarządzania ryzykiem ochrony danych osobowych, lecz przywołane propozycje rozwiązań dość dobrze pokazują, że nie są to przeszkody nie do pokonania. Najistotniejsze, aby organizacja dostosowała proces zarządzania ryzykiem do swoich potrzeb, niczym uszyty na miarę garnitur. Wówczas o wiele łatwiej podejmować kolejne działania.

 

Jacek Knopik
Starszy konsultant ds. analizy ryzyka w PBSG

1Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej Rozporządzeniem

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

Jacek Knopik
Ekspert i praktyk zarządzania ryzykiem. Lubi wyzwania i umiejętnie łączy świat IT z wymaganiami prawnymi i normatywnymi. Posiada bogate doświadczenie. Realizował i kierował wieloma projektami w dziedzinach zarządzania ryzykiem, ciągłością działania, bezpieczeństwem informacji oraz cyberbezpieczeństwem. Wdraża i wspiera rozwój narzędzia do zarządzania ryzykiem e-risk. Dodatkowo dzieli się wiedzą i doświadczeniem jako wykładowca akademicki. Absolwent Uniwersytetu im. Adama Mickiewicza w Poznaniu. Prywatnie pasjonat i trener wioślarstwa.