iSecure logo
  • pl
  • en
    • Blog

    Analiza ryzyka w procesach przetwarzania danych

    Katarzyna Ułasiuk-Delamare
    Kategorie

    W raporcie Związku Firm Ochrony Danych Osobowych, w którego powstaniu iSecure brała aktywny udział, brak analizy ryzyka wskazano jako jeden z 10 największych błędów przy zapewnianiu zgodności z RODO.

    Czym jest analiza ryzyka?

    Mówiąc obrazowo, analiza ryzyka to sprawdzenie wszystkich procesów przetwarzania danych osobowych i oszacowanie, jakie ryzyka występują w danym procesie na czas sprawdzenia. Przez „ryzyka” rozumiemy ryzyko naruszenia praw lub wolności osób, których dane są przetwarzane (np. prawo dostępu do danych, prawo uzyskania pełnej informacji o przetwarzaniu danych, zachowanie poufności danych). Wynikiem analizy ryzyka przetwarzania danych powinna być wiedza w firmie, które procesy lub elementy procesów generują ryzyko naruszeń, ale też jak te ryzyka wyeliminować lub zminimalizować.

    Jak przeprowadzić analizę ryzyka przetwarzania danych?

    Okazuje się, że wiele firm albo nie ma w ogóle przeprowadzonej oceny ryzyka dla posiadanych zasobów, albo przeprowadzona ona została błędnie (np. przez niewykwalifikowany personel, czy z pominięciem niektórych ważnych elementów z powodu braku odpowiedniej świadomości czy doświadczenia w sprawdzanym obszarze). Pojawia się w takim momencie pytanie: „Jak dobrze przeprowadzić analizę ryzyka?”

    Przede wszystkim, zgodnie z przemyślaną metodyką, czyli sposobem, modelem jej przeprowadzenia. Nie ma jednego obowiązującego modelu, w oparciu o który firmy muszą przeprowadzić ocenę ryzyka przetwarzania danych, dlatego istnieje pewien margines swobody w wypracowaniu ostatecznego kształtu przeprowadzanej analizy ryzyka przetwarzania danych. Konkretna metodyka oceny ryzyka w danym podmiocie powinna uwzględniać jednak określone kryteria oceny, czyli wyróżnienie składników oceny ryzyka przetwarzania danych. W przypadku różnych podmiotów mogą być one odmienne, jednak są elementy wspólne:

    • ocenę ryzyka przeprowadza się w odniesieniu do praw lub wolności osób, których dane dotyczą
    • ocena weryfikuje, jak dane ryzyko wpływa na prawa czy wolności osób fizycznych
    • ryzyka są definiowane, wskazywane, określane
    • ocena szacuje szansę na wystąpienie danego ryzyka (ze względu na jego prawdopodobieństwo, podatność, itp.)
    • ocena wskazuje, jakie środki bezpieczeństwa podjąć, aby zminimalizować ryzyko

    Na podstawie tych elementów wspólnych ważne jest zatem, aby badając ryzyko wziąć pod uwagę między innymi:

    • konkretny proces, czynność przetwarzania danych (np. na bazie rejestru czynności czy rejestru kategorii czynności przetwarzania danych)
    • wyczerpującą listę ryzyk, które chcemy sprawdzać w każdym analizowanym procesie (w tym miejscu można posiłkować się ryzykiem niezgodności z obowiązkami wynikającymi z RODO, dotyczącymi kwestii formalnych, organizacyjnych, czy zabezpieczeń technicznych)
    • oszacowanie, czy a jeżeli tak, to w jakim stopniu konkretne ryzyko występuje w danym procesie, przypisując mu odpowiednią wartość (np. w skali od 1 do 5, przy czym 1 oznaczałoby, że ryzyko jest nieprawdopodobne, a 5, że jest prawie pewne)
    • oszacowanie, czy a jeżeli tak, to w jakim stopniu konkretne ryzyko wpływa na naruszenie praw lub wolności osób, których dane są przetwarzane (np. w skali od 1 do 5, przy czym 1 oznaczałoby, że nie ma żadnego wpływu, a 5, że ten wpływ jest bardzo istotny)
    • w przypadku, gdy istnieje duże ryzyko (tj. o dużym prawdopodobieństwie wystąpienia i dużym wpływie na prawa i wolności osób) – wskazanie planu działań naprawczych, czyli zaleceń wdrożenia środków, które obniżą poziom ryzyka.

    Wynikiem analizy ryzyka są m. in.:

    • oszacowanie poziomu ryzyka znanego na dzień przeprowadzenia oceny ryzyka dla danego procesu
    • odpowiedni dla oszacowanych ryzyk wykaz działań, jakie należy podjąć, aby poziom ryzyka obniżyć
    • w przypadku ryzyka akceptowalnego – potwierdzenie decyzji o jego zachowaniu
    • w przypadku braku ryzyka – stwierdzenie braku konieczności podjęcia dalszych działań

     

    Przeprowadzenie analizy ryzyka nie jest łatwe. Same też wyniki końcowe, o których mowa powyżej mogą być uzyskiwane w różny sposób, zależny od przyjętej metodyki (np. poprzez sumowanie lub mnożenie wartości analizowanych w danym procesie, np. wartość prawdopodobieństwa wystąpienia ryzyka pomnożona przez wartość wpływu tego ryzyka na prawa i wolności da wynik końcowy poziomu ryzyka obecnego).

    Warto zatem przede wszystkim najpierw przemyśleć, zaplanować metodę szacowania ryzyka, a następnie tej metody konsekwentnie się trzymać przeprowadzając ocenę.

    Pamiętajmy przy tym, że RODO wymaga, aby dane osobowe zabezpieczyć odpowiednio do poziomu ryzyka, jaki wiąże się z ich przetwarzaniem. Aby wykazać zatem te adekwatne zabezpieczenia należy przede wszystkim znać ryzyka, w kontekście których zabezpieczenia są wdrażane. Dlatego analiza ryzyka przetwarzania danych jest bardzo istotnym elementem wdrożenia i należy ją przeprowadzić umiejętnie.

    Przykłady elementów oceny ryzyka przetwarzania danych

    Na przykładzie przedstawionych powyżej elementów wspólnych, jakie powinny się znaleźć w analizie ryzyka, poniżej znajduje się kilka praktycznych rozwiązań obrazujących elementy wyjściowe do oszacowania ryzyka. Samo jednak oszacowanie wyniku ryzyka, czyli podanie określonej wartości końcowej, byłoby karkołomnym zadaniem. Nawet gdyby pokusić się o wyprowadzenie określonego wyniku końcowego, to bazowałby on tylko na konkretnym, określonym schemacie oceny, który może być odmienny w organizacji X, niż stosowany w innej organizacji Y. Dlatego poniżej podajemy jedynie dane źródłowe, które być może pozwolą czytelnikom wykorzystać je i zastosować według własnej metody.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Przydatne aplikacje
    Kinga Bieniek-Zawadzka

    Program lojalnościowy a przetwarzanie danych osobowych

    Program lojalnościowy to nie tylko budowanie trwałych i pozytywnych relacji z klientami, ale również właściwie zabezpieczenie gromadzonych w tym celu danych osobowych. W praktyce zaprojektowanie programu lojalnościowego, bezpiecznego pod kątem przepisów o ochronie danych osobowych jest trudne i skomplikowane, ale pomimo tej niedogodności, przedsiębiorcy bardzo chętnie sięgają po tę formę reklamy i promocji. Jak zatem […]

    Czytaj więcej
    Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.
    Agnieszka Rapcewicz

    Co dalej z transferem danych osobowych do państw trzecich? Kilka słów o projekcie standardowych klauzul umownych

    Aktualnie najbardziej palącą kwestią związaną z przetwarzaniem danych osobowych jest ich przekazywanie do państw trzecich. Chociaż od wydania wyroku w sprawie Schrems II minęły już 4 miesiące, nadal tak naprawdę nie mamy jasności, jakie kroki należy podjąć w przypadku przekazywania danych osobowych poza EOG, zwłaszcza do USA. Listopad przyniósł nam dwie niespodzianki jeśli chodzi o […]

    Czytaj więcej
    Księgi akcyjne
    Olga Jaworowska

    Kopiowanie dokumentów publicznych w świetle nowych regulacji

    Na parę dni przed 12-tym lipca, czyli wejściem w życieustawy z dnia 22 listopada 2018 r. o dokumentach publicznych, w Internecie zawrzało od komentarzy określających rozpoczęcie obowiązywania jej zapisów jako początku całkowitego zakazu kserowania wskazanych ustawowo dokumentów, w tym dowodu osobistego, czy dokumentu prawa jazdy. Informacje, które początkowo zostały przez media podane, po zapoznaniu się […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki