dodaj wiadomość | newsletter | kontakt

Nowe zasady ochrony danych osobowych. Analiza ryzyka

Już za 100 dni trzeba będzie chronić dane osobowe nieco inaczej niż dotychczas. Do stosowania nowych europejskich regulacji zawartych w ogólnym rozporządzeniu o ochronie danych (RODO) przygotowujemy się z wyprzedzeniem. Obowiązkowym elementem tych przygotowań jest ocena ryzyka.

DasWortgewand, pixabay.com, CC0 Public Domain

O wchodzącej w życie 25 maja 2018 roku reformie ochrony danych osobowych, wprowadzającej nowe rozwiązania w tej dziedzinie, pisaliśmy już w ubiegłym roku. Koncentrowaliśmy się wtedy na pierwszeństwie jakie uzyskają regulacje unijne – Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej z dnia 27 kwietnia 2016 r. tzw. ogólne rozporządzenie o ochronie danych (w skrócie RODO). Chroniąc dane osobowe będziemy bezpośrednio stosować RODO. Jego uzupełnieniem będzie regulacja krajowa – wcześniej to właśnie polska ustawa regulowała całościowo te zagadnienia.

zobacz:
Od maja nowe zasady ochrony danych osobowych. Pierwszeństwo przepisów UE

RODO: Analiza ryzyka zastąpi obligatoryjną listę dokumentów i procedur

Dotychczasowe regulacje nakładały na wszystkich administratorów danych osobowych obowiązek posiadania instrukcji zarządzania systemem informatycznym oraz polityki bezpieczeństwa. W zależności od zakresu działań administratora powstawać mogły jeszcze inne dokumenty, takie jak: ewidencje upoważnień, plan sprawdzeń czy umowy o powierzeniu przetwarzania danych.

Wprowadzenie RODO przynosi całkowitą zmianę filozofii postępowania z danymi osobowymi. Zgodnie z nowymi regulacjami, co do zasady, nie będzie żadnego wykazu dokumentów obligatoryjnych. RODO nie przewiduje również stosowania żadnych konkretnych rozwiązań lub procedur. Decyzja o podjęciu określonych działań pozostaje w gestii administratora danych lub podmiotu przetwarzającego.

Podstawą do wdrożenia określonych rozwiązań jest analiza ryzyka. Jej celem jest ocena zagrożeń dla poprawnego i bezpiecznego przetwarzania danych oraz wybór i wdrożenie środków zmniejszających prawdopodobieństwo ich wystąpienia.


W kontekście RODO możemy mówić o dwóch rodzajach analizy ryzyka. Pierwszy rodzaj to ogólna ocena ryzyka przetwarzania danych osobowych. Ta analiza ma charakter obligatoryjny i powinna być sporządzana przez wszystkie podmioty. Wielkość organizacji czy ograniczony zakres jej działania nie mają znaczenia i nie zwalniają z tego obowiązku. Nie jest wymagana żadna szczególna forma, jednak ze względu na zasadę rozliczalności (art. 5 ust. 2 RODO) trzeba wykazać istnienie takiej analizy organowi nadzorczemu. Dlatego warto sporządzić ją (spisać) przynajmniej w wersji elektronicznej.

Drugi rodzaj analizy to ocena skutków dla ochrony danych osobowych jeżeli ich przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (DPIA, od Data Protection Impact Assessment). Ma ona szczególnych charakter, dlatego jej omówieniu poświęcimy osobny tekst. 

Poniżej omawiamy ogólną ocenę ryzyka, którą powinny sporządzić wszystkie podmioty, w tym również organizacje pozarządowe.

RODO. Jakie są etapy analizy ryzyka?

RODO nie wskazuje, jaką metodę analizy ryzyka przyjąć.  Na rynku funkcjonują uznane standardy dotyczące bezpieczeństwa informacji (np. ISO/IEC 27002 – Praktyczne zasady zabezpieczania informacji), ale wdrożenie ich nie jest równoznaczne ze spełnieniem wymogów RODO.

Dozwolone jest korzystanie z dowolnej metodologii, w tym stworzonej na własne potrzeby, o ile da się wykazać, że pozwala ona na rzetelną ocenę ryzyka.

Generalny Inspektor Ochrony Danych Osobowych (GIODO) w swojej publikacji „Jak stosować podejście oparte na ryzyku, część 2” daje wskazówki co do tego, jak ocenę ryzyka przeprowadzić. Proces podzielono na cztery etapy: 

  • kontekst dla oceny ryzyka,
  • opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
  • szacowanie i ocena ryzyka,
  • postępowanie z ryzkiem. 

KONTEKST obejmuje charakter, zakres i cele przetwarzania danych osobowych. Wyróżnienie tych przesłanek ma na celu zróżnicowanie w obowiązkach podmiotów, które świadczą wyłącznie działalność statutową od takich, które prowadzą działalność gospodarczą opierającą się na analizie danych.

Jednocześnie wiele organizacji pozarządowych, właśnie w ramach działań statutowych, przetwarza dane wrażliwe swoich członków lub osób, którym świadczy pomoc. Są to na przykład dane o stanie zdrowia, informacje o adopcji, orientacji seksualnej. Pomijając fakt, że przetwarzanie danych wrażliwych wymaga spełnienia określonych warunków, to ryzyko naruszenia praw jednostki w przypadku, gdy dane te wyciekną, jest znacznie większe, niż w przypadku zwykłych danych (jak imię i nazwisko).

Co warto wziąć pod uwagę:

  • w ilu lokalizacjach organizacja ma swoją siedzibę?
  • czy w każdej lokalizacji organizacja prowadzi działalność związaną z przetwarzaniem danych osobowych?
  • ile osób ma dostęp do danych osobowych?
  • czy osoby mające dostęp do danych to tylko pracownicy, czy też wolonatiusze lub osoby z zewnątrz?
  • dane ilu osób są przetwarzane?
  • czy są to dane o charakterze wrażliwym – jeżeli tak, to jakim? 
     
Można przyjąć, że im więcej danych przetwarzamy i im bardziej są one sensytywne (wrażliwe), tym ryzyko naruszenie prawa jednostki do prywatności jest większe.


OPIS I IDENTYFIKACJA WYMAGAŃ odnosi się do ustalenia m. in.:

  • przy pomocy jakich środków dane są przetwarzane (w formie papierowej, na komputerach, w chmurze),
  • czy dane są przetwarzane zgodnie z prawem, w tym z adekwatnością celu i proporcjonalnością (czy nie zbieramy za dużo danych bez powodu, np. na zapas),
  • czy mamy środki przyczyniające się do zachowania praw osób, których zbierane dane dotyczą. 

Warto zwrócić uwagę na to, czy organizacja posiada własną infrastrukturę IT, czy korzysta z usług zewnętrznych (np. danych w chmurze) oraz z ilu i z jakich programów organizacja korzysta w trakcie przetwarzania danych osobowych.

SZACOWANIE I OCENA RYZYKA polega na szacowaniu prawdopodobieństwa wystąpienia zdarzenia naruszającego prawa osób, których dane są przetwarzane oraz określeniu istotności efektów takiego zdarzenia.  Każdemu zidentyfikowanemu ryzyku należy przypisać skalę liczbową lub jakościową np. niski-średni-wysoki.

Ostatnim etapem jest wybór formy postępowania z ryzykiem. Na tym etapie wyróżniamy: 

  • obniżenie poziomu ryzyka poprzez zastosowanie odpowiednich środków organizacyjnych lub faktycznych (np. szkolenia pracowników),
  • unikanie ryzyka (np.  poprzez niewdrażanie określonych projektów, które wymagają przetwarzania danych wrażliwych), lub
  • przeniesienie ryzyka (np. poprzez zawarcie odpowiednich klauzul w umowach z kontrahentami). 

RODO. Co jeszcze wziąć pod uwagę dokonując analizy ryzyka? 

W ramach analizy ryzyka należy uwzględnić stan wiedzy technicznej, przez który należy rozumieć dostępność określonych rozwiązań. W ramach tej przesłanki należy zbadać, czy dana technologia odpowiada na aktualne wyzwania – czy nie jest przestarzała. W mojej ocenie z RODO nie można wywieść obowiązku używania wyłącznie najnowszych rozwiązań, szczególnie w sytuacji gdy ich oddziaływanie nie jest jeszcze dostateczne przebadane. Technologie prototypowe zatem powinny być uzupełnieniem innych rozwiązań. Jednak w przypadku szerokiego rozpowszechnienia się jakiejś technologii lub standardu konieczne jest przeanalizowanie, czy polityka organizacji nie wymaga zmian.  

Z przesłanką stanu wiedzy technicznej łączy się przesłanka kosztu wdrażania. Trzeba odnieść ją do możliwości finansowych określonego podmiotu. W przypadku organizacji pozarządowych często budżet nie pozwala na wdrażanie komercyjnych rozwiązań. Należy jednak zwrócić uwagę, że producenci oprogramowania oferują specjalne zniżki dla NGO lub są one dostępne w ramach inicjatyw takich jak TechSoup. 

RODO. Minimalizowanie ryzyka

Artykuł 32 ust. 1 RODO wskazuje działania i środki, które mogą być wdrożone do minimalizowania ryzyka. Są to:

  • pseudonimizacja i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 

Należy pamiętać, że są to przykłady możliwych działań - konkretne rozwiązania zależą od administratora i są wynikiem oceny ryzyka. 

RODO wskazuje również przypadki, gdy wywiązywanie się z obowiązku przeprowadzenia analizy ryzyka będzie ograniczone. Ma to miejsce w sytuacji, gdy organizacja stosuje zatwierdzony przez organ nadzorczy kodeks postępowania lub mechanizm certyfikacji. Należy zwrócić uwagę, że konieczne jest, aby takie dokumenty uzyskały formalną akceptację GIODO (a docelowo organu, który po wejściu w życie RODO i nowej polskiej ustawy o ochronie danych zastąpi GIODO), ponieważ bez takiej akceptacji nie dają ochrony przewidzianej przepisami. 
 

Przeprowadzenie analizy opisanej powyżej przesłanek ma prowadzić do wdrożenia środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa odpowiadający ustalonemu ryzyku. Środki techniczne obejmują rozwiązania o charakterze fizycznym, np. przechowywanie dokumentacji w sejfie lub informatycznym, np. stosowanie odpowiednich programów antywirusowych. Środki organizacyjne to przede wszystkim procedury bezpieczeństwa np. polityka czystego biurka czy obowiązek zmiany haseł dostępu. 

Trzeba pamiętać, że po wejściu w życie RODO dotychczasowe dokumenty dotyczące danych osobowych stracą podstawę normatywną, ponieważ zostanie uchylone rozporządzenie ministra, na podstawie którego były tworzone. Nie oznacza to jednak, że stają się bezużyteczne. Jeżeli analiza ryzyka przeprowadzona w organizacji potwierdzi, że opisane w nich sposoby postępowania i zabezpieczenia są wystarczające do ochrony przetwarzanych danych, z powodzeniem można je zaadaptować do wymogów RODO. Będzie to jednak wymagało zaplanowania i wdrożenia procesu oceny własnych działań w zakresie ochrony danych osobowych.


Warto przeczytać:

  • Nowa Filozofia w ochronie danych osobowych: Od Oceny Ryzyka Do Spójnej Strategii W Organizacji, opracowała Katarzyna Szymielewicz, Fundacja Panoptykon, 2017
  • Jak stosować podejście oparte na ryzyku, część 1 i 2, Generalny Inspektor Ochrony Danych Osobowych, 2017

Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.



Poznaj ofertę SCWO: warszawa.ngo.pl/scwo


Uwaga! Przedruk, kopiowanie, skracanie, wykorzystanie tekstów (lub ich fragmentów) publikowanych w portalu www.ngo.pl w innych mediach lub w innych serwisach internetowych wymaga zgody Redakcji portalu!

SKOMENTUJ

Uwaga, komentarz pojawi się na liście dopiero po uzyskaniu akceptacji moderatora.


Chetnie pomozemy - 2018-02-15, 23:28
Redakcja www.ngo.pl nie ponosi odpowiedzialności za treść komentarzy.