Szacowanie ryzyka w zakresie RODO i DPIA. Jak do nich podejść?

Na czym polega ogólne szacowanie ryzyka?

Rozporządzenie RODO wprowadziło podejście oparte na ryzyku (ang. risk-based approach, szacowanie ryzyka RODO) w odniesieniu do działań podejmowanych przez administratora danych osobowych. Oznacza to, że ustawodawca nie wskazuje konkretnych rozwiązań, które pozwalają na ocenę adekwatności zastosowanych rozwiązań, ale administrator oraz podmiot przetwarzający dane sami dokonują wyboru właściwego postępowania o skutków dla ochrony danych osobowych przesyłanych ze względu na wysokie ryzyko naruszenia praw, które są systematyczne monitorowanie jako opis planowanych operacji przetwarzania, który należy przeprowadzić ocenę skutków (ocena skutków wdrażania systemów przetwarzania danych w celu scharakteryzowanie przetwarzania danych na operacje przetwarzania z ryzykiem naruszenia praw).

Punktem wyjścia jest tutaj art. 24 RODO, zgodnie z którym administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z rozporządzeniem i żeby taką zgodność dało się wykazać. Wdrożone rozwiązania muszą być regularnie uaktualniane i każdorazowo uwzględniać:

stan wiedzy technicznej;
koszt wdrożenia;
charakter;
zakres;
kontekst;
cele przetwarzania danych;
ryzyko praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.

Wstępną (ogólną) ocenę ryzyka należy przeprowadzić każdorazowo na etapie poprzedzającym rozpoczęcie przetwarzania danych. Artykuł 32 ust. 1 RODO zawiera w tym zakresie jedynie wskazówki co do charakteru podejmowanych działań zapewniających bezpieczeństwo, które mogą objąć np.:

pseudonimizację i szyfrowanie danych osobowych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania;
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularne mierzenie, testowanie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając ryzyko bezprawnego przetwarzania danych osobowych administrator oraz podmiot przetwarzający – na podstawie art. 32 ust. 2 RODO uwzględniają ryzyko wynikające z przypadkowych lub celowych działań bezprawnych (np. niezgodnego z prawem zniszczenia lub modyfikacji danych). Jak wskazano w motywie 83 szczególne znaczenie ma ryzyko mogące prowadzić do uszczerbku fizycznego, szkód niemajątkowych lub majątkowych. Ocena skutków dla ochrony w celu złagodzenia wszelkich zagrożeń administratorów danych osobowych których dane wymagają przeprowadzenia oceny skutków i dokonanie oceny.

Jak rozumieć stan wiedzy technicznej na potrzeby RODO?

Procesy przetwarzania danych mają silny związek z aktualnym stanem rozwoju nauki i techniki, które wyznaczają coraz lepsze i bardziej bezpieczne standardy. W literaturze wskazuje się, że na zasadność wdrożenia określonych rozwiązań składają się między innymi:

aktualny stan wiedzy technicznej;
standardy i normy (np. z zakresu ISO) odnoszące się do poufności, integralności i dostępności danych; dobrym przykładem jest chociażby ISO/IEC 27001 czy 27018. Zagraniczne firmy często wdrażają certyfikaty NIST, COBIT czy HITRUST. Z kolei PCI DSS ma zastosowanie do organizacji emitujących karty płatnicze;
wytyczne uznanych organizacji, np. CERT lub europejska Agencja ENISA ds. cyberbezpieczeństwa;
wiedza specjalistów z zakresu ochrony cybernetycznej;
rekomendacje organu nadzorczego.

Dobrym przykładem zmieniającego się standardu są wymogi dotyczące szyfrowania danych. Jeszcze kilkanaście lat temu za akceptowalne uważano wykorzystywanie standardu DES (ang. Data Encryption Standard). Dzisiaj za efektywne uważa się 256-bitowy AES (ang. Advanced Encryption Standard) wykorzystywany m.in. przez banki, ale też wiele renomowanych programów antywirusowych.

Firma, która na co dzień korzysta z nowych technologii (np. MIP lub KIP), przed wdrożeniem mechanizmów szacowania ryzyka powinna skorzystanie z doradztwa kancelarii prawnej specjalizującej się w obsłudze podmiotów z sektora NewTech.

Charakter, zakres i kontekst przetwarzania danych osobowych a szacowanie ryzyka

Pod pojęciem zakresu należy rozumieć nie tylko rodzaje przetwarzanych danych, ale także ich ilość oraz liczbę podmiotów, których dane są przetwarzane. Im tych kategorii lub podmiotów jest więcej, tym ocena ryzyka powinna zostać przeprowadzona staranniej tak, aby uwzględnić związane z tym trudności.

Z kolei kontekst przetwarzania to nic innego, jak okoliczności faktyczne i prawne, które towarzyszą tym czynnościom – od stopnia ingerencji w prawa i wolności osób fizycznych przez sposób wykorzystania rozwiązania przyjętego przez administratora, aż po czas przetwarzania danych osobowych.

Dokonując szacowania ryzyka administrator lub podmiot przetwarzający powinien upewnić się, że czyni zadość zasadzie minimalizacji przetwarzania wyrażonej w art. 5 ust. 1 lit b RODO.;

W jaki sposób administrator danych osobowych powinien postąpić w razie wątpliwości?

Niekiedy odpowiedź na pytanie o skutki przetwarzania danych i związane z tym ryzyko nie będzie proste. Administrator, który dojdzie do wniosku, że przetwarzanie spowodowałoby wysokie ryzyko w rozumieniu art. 35 RODO, jeżeli przetwarzający nie zastosuje odpowiednich środków minimalizacji tego ryzyka, rodzi konieczność przeprowadzenia konsultacji z organem nadzorczym (w Polsce jest to UODO).

Jeśli organ ten dojdzie do wniosku, że przetwarzanie danych wygeneruje znaczne ryzyko pomimo zastosowania środków zaradczych, może skorzystać ze swoich uprawnień wymienionych w art. 58 RODO, w tym m.in. przeprowadzić audyt, a także zrealizować uprawnienia naprawcze, np. poprzez wydanie ostrzeżenia, nakazanie dostosowania sposobu i zakresu przetwarzania danych czy czasowe wstrzymanie przetwarzania danych.

Warto pamiętać, że konsultacja z organem nadzorczym kwestii związanej z przetwarzaniem danych stanowi również przejaw zasady rozliczalności i świadczy o dochowaniu należytej staranności w procesie przetwarzania danych.

Kiedy stosować DPIA?

O ile szacowanie ryzyka to czynność, którą musi wykonać każdy administrator, potrzeba wdrożenia DPIA (ang. Data Privacy Impact Assessment) – czyli oceny skutków dla ochrony danych – pojawia się wyłącznie w określonych przypadkach, o których mowa w art. 35 RODO.

Ocenę DPIA należy przeprowadzić, jeżeli dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele, wiąże się z dużym prawdopodobieństwem wysokiego ryzyka naruszenia praw i wolności osób fizycznych. Taka sytuacji pojawia się zwłaszcza wtedy, kiedy do przetwarzania danych osobowych wykorzystywane są nowe technologie (np. sztuczna inteligencja, usługi chmurowe). W szczególności taką oceną należy przeprowadzić w przypadku:

wykorzystania zautomatyzowanych metod (np. profilowania) do systematycznej i kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, jeżeli stanowi to podstawę do decyzji wywołujących skutki prawne wobec tych osób;
przetwarzania na dużą skalę danych wrażliwych (np. dotyczących stanu zdrowia) lub danych dotyczących wyroków skazujących i czynów zabronionych;
systematycznego monitorowania miejsc publicznych.

Należy pamiętać, że administrator każdorazowo musi samodzielnie ocenić, czy w danej sytuacji pojawia się potrzeba DPIA. Nie ma też jednej, uniwersalnej metodyki, która pozwoliłaby na wykonanie takiej oceny. Prezes UODO wskazuje na konieczność dopasowania tej metodyki do wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych.

Do przykładów, kiedy przeprowadzenie DPIA jest niezbędne, Grupa Robocza w art. 29 zalicza m.in. ocenę zdolności kredytowej klienta przez bank na podstawie wyciągu z BIK, automatyczne odrzucenie wniosku kredytowego przez system informatyczny, ale też identyfikacja biometryczna osób fizycznych czy wykorzystanie technologii geolokalizacyjnej.

Konieczność przeprowadzenia DPIA będzie też potrzebna, jeśli administrator zmienił sposób świadczenia danej usługi tak, że zaczęła ona spełniać kryteria typujące ją jako podstawę dla przeprowadzenia oceny. Takim przypadkiem będzie np. wprowadzenie zupełnie nowego systemu informatycznego zaprojektowanego z myślą o przetwarzaniu danych klientów.

W ocenie DPIA istotną rolę odgrywa nie tylko administrator, ale także Inspektor Ochrony Danych, który służy radą, przygotowuje zalecenia oraz weryfikuje poprawność przeprowadzenia DPIA. Ocena DPIA powinna zawierać przynajmniej następujące elementy:

opis planowanych operacji i celów przetwarzania, a jeśli ma to uzasadnienie – opis prawnie uzasadnionych celów realizowanych przez administratora;
ocenę, czy planowane operacje są niezbędne i proporcjonalne do celów;
ocenę ryzyka naruszenia praw i wolności osób, które dane dotyczą;
opis środków mających na celu zminimalizowanie ryzyko związane z przetwarzaniem danych.

Kiedy nie przeprowadza się DPIA?

Uwzględniając wytyczne Grupy Art. 29 oraz brzmienie art. 35 RODO można wskazać na przypadki, kiedy przeprowadzenie DPIA nie będzie wymagane. Są to sytuacje, kiedy:

przetwarzanie danych z dużym prawdopodobieństwem nie spowoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych;
okoliczności przetwarzania danych są bardzo podobne do tych, dla jakich już została przeprowadzone ocena DPIA;
operacja przetwarzania ma miejsce w jednym z państw członkowskich Unii Europejskiej, a lokalne prawo reguluje daną sytuację z uwzględnieniem standardów RODO oraz DPIA;
konkretny przypadek przetwarzania został wyłączony spod obowiązku przeprowadzania DPIA przez organ nadzorczy (aktualnie w Polsce takiego wykazu nie ma).

Warto zdawać sobie sprawę, że procesy oceny ryzyka oraz DPIA nie są całkowicie odrębne, ale funkcjonują w danej organizacji równolegle. Szacowanie ryzyka ma znacznie szerszy zakres i pomaga zapewnić zgodność przetwarzania danych osobowych w szerokim kontekście. Z kolei DPIA znajduje zastosowanie w konkretnych przypadkach i stanowi niejako uszczegółowienie oceny ogólnej.

Kancelaria Prawna RPMS wspiera swoich klientów prowadząc szeroko zakrojone działania w zakresie compliance Nasi specjaliści przeprowadzają analizę procesów przetwarzania danych osobowych, pomagają opracować szczegółową procedurę szacowania ryzyka, a kiedy jest to niezbędne, także DPIA. Uwzględniamy aktualne wytyczne organu nadzorczego oraz specyfikę prowadzonej przez firmę działalności gospodarczej, jej zakres i grono klientów. Dopasowując wewnętrzne procesy oceny do wymagań RODO, firma ma gwarancję, że w razie wystąpienia incydentu będzie mogła wykazać przestrzeganie zasady rozliczalności i uniknąć surowej odpowiedzialności finansowej.

Pytania i odpowiedzi

Czy można odstąpić od zastosowania zabezpieczenia przetwarzania danych osobowych?

W orzecznictwie wskazuje się, że administrator danych nie może odstąpić od stosowania silnych zabezpieczeń powołując się na brak finansów i zbyt wysokie koszty związane z ochroną (vide: wyrok Naczelnego Sądu Administracyjnego z 4 marca 2002 r., sygn. II SA 3144/01). Im większe jest spodziewane ryzyko dla naruszenia danych, tym większy budżet należy na ten cel wygospodarować. Wzrost obrotów firmy powinien przełożyć się m.in. na zaimplementowanie mocniejszych zabezpieczeń dla danych osobowych i operacji ich przetwarzania.

W jaki sposób firma może najlepiej zidentyfikować zagrożenia oraz podatności w swojej strukturze?

W praktyce często najtrafniejsze wskazówki daje historyczna analiza incydentów, które miały już wcześniej miejsce w firmie. W ten sposób można zidentyfikować te obszary działalność, które z pewnością wymagają usprawnienia. Warto pamiętać, że szacowanie ryzyka w RODO nigdy nie jest procesem jednorazowym. Każdorazowo musi uwzględniać aktualną zmianę środowiska prawnego, organizacyjnego czy IT. Dlatego często zaleca się przeprowadzanie kolejnych iteracji oceny ryzyka na zasadzie podobnej do cyklu Deminga (Zaplanuj, Wykonaj, Sprawdź, Działaj).

Czy DPIA i PIA to tożsame pojęcia?

DPIA oraz PIA są to pojęcie funkcjonujące niezależnie obok siebie. W przypadku DPIA chodzi o proces niezbędny do przeprowadzenia w określonych przypadkach opisanych w RODO. Z kolei PIA (ang. Privacy Impact Assessment) to technika oceny bezpieczeństwa wykorzystywana w przypadku korzystania z systemów informatycznych. Jej szczegóły zostały opisane w normie ISO/IEC 29134:2018. Pojęcia PIA nie pojawia się w RODO, choć ta metodologia może zostać wykorzystana przez administratora podczas oceny ryzyka.

MAM PYTANIA | JESTEM ZAINTERESOWANY / A OFERTĄ

Zaufali nam: