Bieg przez płotki, czyli o analizie ryzyka ochrony danych osobowych

Tytułowe porównanie nie jest przypadkowe. Przepisy RODO¹ zobowiązały podmioty do zarządzania ryzykiem naruszenia praw lub wolności osób fizycznych, których dotyczą przetwarzane przez podmiot dane osobowe. Dla osób odpowiedzialnych za wdrożenie zapisów Rozporządzenia obszar zarządzania ryzykiem jest często obszarem nowym lub mało znanym. Nawet jeżeli miały one wcześniej styczność z analizą ryzyka, to kontekst RODO wymaga w tym zakresie specyficznego podejścia.

Dość istotnym problemem przy wdrażaniu przepisów RODO było nadmierne obciążenie zadaniami Inspektora Ochrony Danych (IOD). Z praktycznego punktu widzenia IOD nie jest w stanie samodzielnie oszacować ryzyka związanego z procesami przetwarzania danych osobowych w całej organizacji. Może być oczywiście w mniejszym lub większym stopniu zaangażowany w sam proces analizy ryzyka, lecz bardziej w zakresie wsparcia i koordynowania aniżeli właścicielstwa wszystkich zidentyfikowanych ryzyk i odpowiedzialności za ich ocenę.

Rozwiązaniem w tym zakresie może być wskazanie „biznesowych” koordynatorów ochrony danych osobowych we wszystkich lub wybranych strukturach organizacji odpowiedzialnych za analizę ryzyka. Mogą to być kierownicy tych struktur lub osoby przez nich wyznaczone. Większe znaczenie ma znajomość procesów realizowanych w ramach struktury, ponieważ wsparcie w zakresie ochrony danych osobowych może zapewnić Inspektor.

Zgodnie z art. 32 RODO analiza ryzyka ochrony danych osobowych stanowi punkt wyjścia dla wdrażania i utrzymywania środków technicznych i organizacyjnych (zabezpieczeń). Jest to podejście zbieżne choćby z normą ISO/IEC 27001. Traktując proces zarządzania ryzykiem marginalnie organizacja odbiera sobie możliwość uzasadnienia swojego podejścia do ochrony danych osobowych. W przypadku naruszenia, wycieku lub kontroli organu nadzorczego analiza ryzyka stanowi pierwszą linię obrony w zakresie stosowanego poziomu zabezpieczeń. Oczywiście poziom szczegółowości analizy mógłby w tym zakresie przerosnąć możliwości organizacji, dlatego pomocne w tym zakresie może być przyłożenie akcentów w obszarach, w których przetwarzane są szczególne kategorie danych osobowych oraz w obszarach wymagających doskonalenia.

Organizacje realizujące procesy zarządzania ryzykiem przed wdrożeniem RODO musiały i nadal zadają sobie pytanie, czy integrować nowy proces zarządzania ryzykiem z pozostałymi. Należy pamiętać, że zarządzanie ryzykiem nie w każdym systemie zarządzania łatwo i efektywnie zintegrować (np. zarządzanie ryzykiem ochrony danych osobowych łatwiej integrować z bezpieczeństwem informacji). Z wielu powodów jednak integracja na początkowym etapie wdrożenia mogła nie być pożądana (m.in. krótki czas na wdrożenie, brak pewności co do ostatecznego kształtu procesu, zaangażowanie nowych osób i struktur). Nie zamyka to jednak drogi do integrowania tych procesów w przyszłości. Najważniejsze, aby łączenie obszarów realizowane było w sposób przemyślany – umożliwiający osobom zaangażowanym w analizę ryzyka precyzyjne określenie w jakim kontekście identyfikują ryzyko (np. cele, procesy, aktywa, obszary) i oceniają ryzyko (opis scenariuszy – zdefiniowanie przyczyn i skutków, rozróżnienie skali wpływu – opisy uwzględniające różne perspektywy).

Zintegrowane zarządzanie ryzykiem wymaga również zazwyczaj większej liczby zmian w pierwszych iteracjach procesu mających na celu jego udoskonalenie. Istotnym elementem jest uspójnienie analiz w celu uzyskania porównywalności wyników, aby ryzyko definiowane jako wysokie lub nieakceptowalne znajdowało się na podobnym poziomie istotności z punktu widzenia Kierownictwa.

Bardzo często zapomina się, że zarządzanie ryzykiem nie kończy się na pierwsze iteracji procesu i nie ogranicza się do raportowania ryzyka w ustalonych okresach czasu, np. kwartalnych lub rocznych. Monitorowanie operacyjne powinno być stałym elementem zarządzania, a rejestr ryzyk powinien być dokumentem wykorzystywanym przy podejmowaniu decyzji na różnych poziomach organizacji. Dobrą praktyką w zakresie cykliczności jest zmienna częstotliwość przeglądu w pierwszych iteracjach, np. przegląd rejestru ryzyka (druga iteracja) po kwartale, następnie (trzecia iteracja) po półroczu i dopiero od czwartej iteracji realizacja raportowania w rocznych odstępach czasu.

Podsumowując wskazane powyżej zagadnienia są oczywiście tylko wybranymi problemami z obszaru zarządzania ryzykiem ochrony danych osobowych, lecz przywołane propozycje rozwiązań dość dobrze pokazują, że nie są to przeszkody nie do pokonania. Najistotniejsze, aby organizacja dostosowała proces zarządzania ryzykiem do swoich potrzeb, niczym uszyty na miarę garnitur. Wówczas o wiele łatwiej podejmować kolejne działania.

Jacek Knopik
Starszy konsultant ds. analizy ryzyka w PBSG

¹Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej Rozporządzeniem