Przepisy RODO zostały napisane tak, aby zapewnić bezpieczeństwo danych osobowych. Obowiązek zabezpieczenia tych danych obciąża tych, którzy te dane zbierają i wykorzystują - czyli administratorów danych oraz podmioty przetwarzające dane.
RODO nie wskazuje natomiast jakie dokładnie zabezpieczenia należy wdrożyć aby dane osobowe na pewno były bezpieczne.
Zamiast tego, aby ustalić to jak należy odpowiednio zabezpieczyć dane, administratorzy i podmioty przetwarzające muszą dokonać analizy ryzyka, zgodnie z przepisem art. 32 RODO. Na podstawie wyników tej analizy powinny wybrać odpowiednie zabezpieczenia, tak aby dane były bezpieczne.
O tym jak przeprowadzić analizę ryzyka i czym ona jest dowiesz się z niniejszego wpisu.
Czym jest ryzyko związane z przetwarzaniem danych?
RODO nie definiuje pojęcia „ryzyka”.
Jednak w kontekście powszechnej wiedzy o zapewnianiu bezpieczeństwa informacji i treści przepisów rozporządzenia można stwierdzić, że ryzykiem jest kombinacja dwóch czynników:
prawdopodobieństwa wystąpienia zdarzenia, które może skutkować naruszeniem bezpieczeństwa danych,
skutków, jakie takie zdarzenie wywiera na bezpieczeństwo danych, tzn. na zachowanie ich poufności, dostępności lub integralności.
Co ważne, kwestie skutków badamy przez pryzmat ewentualnego pokrzywdzenia osób, których dane są przetwarzane. Innymi słowy, w procesie analizy ryzyka weryfikujemy to jakie negatywne konsekwencje dla dóbr osobistych lub majątkowych podmiotu danych spowoduje:
przypadkowe lub niezgodne z prawem zniszczenie, utracenie lub zmodyfikowanie danych,
nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.
Właśnie w celu zweryfikowania tych kwestii przeprowadza się analizę ryzyka.
Co bierzemy pod uwagę w trakcie analizy ryzyka?
Ustalenie poziomu ryzyka jest powiązane z tym:
jakie dane będą przetwarzane - przykładowo, inne ryzyka będą wiązały się z przetwarzaniem danych szczególnej kategorii (np. danych o stanie zdrowia), a inne w przypadku przetwarzania "zwykłych danych",
kogo dotyczą dane osobowe - przykładowo, istotniejsze ryzyka zwykle pojawią się w sytuacji gdy przetwarzamy dane dzieci,
w jakich celach dane osobowe mają być przetwarzane,
ilu osób dotyczą dane osobowe,
jaki jest charakter operacji, które są związane z przetwarzaniem danych - inne zagrożenia będą bowiem związane z przetwarzaniem danych w chmurze, w ramach elektronicznych rozwiązań do przesyłu danych albo chociażby z przetwarzaniem ich na komputerach przenośnych, a inne będą odnosiły się do przechowywania np. dokumentacji pracowniczej w formie papierowej.
Te kryteria są w RODO określone zbiorczo jako "charakter, zakres, kontekst i cele przetwarzania". Ich zidentyfikowanie i precyzyjne opisanie jest istotnym elementem tworzenia analizy ryzyka. Natomiast to nie wszystko co powinniśmy wziąć pod uwagę. RODO wspomina też o konieczności uwzględnienia:
Stanu wiedzy technicznej - powinniśmy brać pod uwagę te zagrożenia, które są aktualne, istniejące w momencie sporządzania analizy i wdrażania zabezpieczeń. Nie ma sensu wdrażać zabezpieczeń zapewniających ochronę przed zagrożeniami, które były powszechne 10 lat temu. W konsekwencji, musimy też na bieżąco śledzić informacje związane z pojawianiem się nowych zagrożeń albo zwiększaniem prawdopodobieństwa wystąpienia jakichś niepożądanych zdarzeń (np. wobec wzmożonych działań grup hakerskich),
Kosztów wdrażania zabezpieczeń - nie musimy wdrażać wszystkich dostępnych zabezpieczeń, ktore są na rynku, jeśli nas na nie nie stać. Ten czynnik pozwala dostosować poziom zabezpieczeń np. do wielkości organizacji. Musimy jednak pamiętać o tym, że nie oznacza to, że nasz budżet dotyczący bezpieczeństwa danych może wynosić 0 - jest dokładnie odwrotnie. Innymi słowy, nie warto „oszczędzać” na środkach bezpieczeństwa.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przeprowadzenie analizy z uwzględnieniem wskazanych kryteriów i przygotowanie konkretnego scenariusza są niezbędne do dostosowania w organizacji odpowiednich środków bezpieczeństwa.
Jak w praktyce przeprowadzić analizę ryzyka?
W praktyce przeprowadzenie analizy ryzyka zwykle polega na analizie i opisaniu poszczególnych kroków:
weryfikacji tego jakie dane przetwarzamy, w jaki sposób to robimy oraz za pomocą jakich narzędzi, środków lub personelu realizujemy poszczególne czynności przetwarzania - innymi słowy, sprawdzamy jaki jest charakter, zakres, kontekst i cele przetwarzania, o których pisałem poniżej.
weryfikacji tego jakie zagrożenia mogą łączyć się z poszczególnymi działaniami związanymi z przetwarzaniem danych osobowych - oznacza to, że do poszczególnych operacji na danych, zidentyfikowanych zgodnie z pkt 1, przyporządkowujemy potencjalne zagrożenia, które mogą wystąpić i negatywnie wpłynąć na bezpieczeństwo danych,
oceny jakie jest prawdopodobieństwo wystąpienia zagrożeń, o których mowa powyżej (taką ocenę można wykonać liczbowo, np. w skali od 1 do 5),
oceny jakie negatywne konsekwencje dla dostępności, poufności oraz integralności danych osób, których dane dotyczą, może spowodować naruszenie bezpieczeństwa - przykładowo, weryfikujemy tu jakie jest prawdopodobieństwo, że dane zdarzenie spowodowało ujawnienie danych osobowych osobom niepowołanym, albo co gorsza, upublicznienie ich w Internecie,
oceny jakie konsekwencje dla osób, których dane dotyczą są spowodowane naruszeniem bezpieczeństwa danych - to oznacza, że musimy ustalić jak istotne, z perspektywy osoby, której dane dotyczą, będzie wystąpienie niepożądanego zdarzenia dotyczącego ochrony danych. Inną wagę istotności będzie miało np. utracenie adresu e-mail kontrahenta, a inną wyciek nr PESEL albo danych o stanie zdrowia,
oceny jakie zabezpieczenia należy wdrożyć aby zminimalizować prawdopodobieństwo wystąpienia zagrożeń (pkt 3) albo negatywne skutki ich wystąpienia (pkt 4),
dokonania końcowej weryfikacji ryzyka, przy uwzględnieniu zabezpieczeń, wdrożonych zgodnie z wnioskami wskazanymi w pkt 6.
Ważnym elementem analizowania ryzyka jest udokumentowanie procesu analizy oraz jej wyników. Musimy więc sporządzić jakiś dokument lub plik, który wskazuje na to co wzięliśmy pod uwagę w trakcie analizy, jaką metodologię dokonania analizy przyjęliśmy, jakie czynności przetwarzania zostały ocenione oraz jaki jest wynik naszych analiz. Możemy to zrobić w zwykłym dokumencie tekstowym, arkuszu kalkulacyjnym albo dedykowanym oprogramowaniu do analizy ryzyka.
Niezależnie od tego jakie rozwiązanie posłuży nam do udokumentowania porocesu analizy ryzyka, kluczowe jest to abyśmy na końcu byli w stanie udowodnić, że ją przeprowadziliśmy - np. w sytuacji gdy Prezes UODO zdecyduje się przeprowadzić kontrolę w naszej organizacji.
Jakie zabezpieczenia danych powinniśmy wybrać tak aby wywiązać się z obowiązku zapewnienia bezpieczeństwa danych?
Tak jak wskazałem wcześniej, w RODO nie mamy opisanych konkretnych zabezpieczeń, które możemy zastosować. Zamiast tego, przepisy odnoszą się tylko do 4 ogólnych sposobów zapewniania bezpieczeństwa, tj:
pseudonimizacji i szyfrowania danych osobowych;
zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Co ważne, RODO nie wymusza korzystania z wszystkich tych zabezpieczeń w każdym przypadku przetwarzania danych. Innymi słowy, nie zawsze musimy je szyfrować. Ostateczną decyzję o ich zastosowaniu podejmujemy po przeprowadzeniu analizy ryzyka. Natomiast te środki są "sugerowanymi" sposobami, które ułatwiają doprowadzenie poziomu bezpieczeństwa do spełniającego wymogi przepisów RODO.
Jakie konkretne zabezpieczenia należy wdrożyć aby osiągnąć powyższe cele?
Ostateczna decyzja o tym jakie zabezpieczenia należy wdrożyć powinna zostać podjęta przy uwzględnieniu tego jakie są standardy rynkowe, powszechnie przyjęte praktyki (np. wynikające z norm ISO, NIST, wytycznych ENISA) albo co na dany temat mówią eksperci z zakresu cyberbezpieczeństwa. Niestety, jedna, uniwersalna lista zabezpieczeń, działających w każdej organizacji, nie istnieje.
W swoich wytycznych albo decyzjach Prezes UODO często zwraca uwagę na:
szyfrowanie dysków twardych komputerów (zwłaszcza wynoszonych poza biuro),
ograniczanie i kontrolę dostępu do infrastruktury serwerowej, chmurowej,
wykrywanie podejrzanych zdarzeń w sieci lokalnej/chmurze,
stosowanie uwierzytelniania wieloskładniowego,
wprowadzenie wewnętrznych polityk/regulaminów/procedur dot. ochrony danych osobowych, - uwaga, w trakcie kontroli urzędnicy mogą sprawdzić, czy treść polityk odpowiada rzeczywistości,
tworzenie i testowanie kopii zapasowych.
Kierując organizacją pamiętajmy, żeby zapewnić naszym pracownikom i współpracownikom odpowiednią wiedzę w zakresie bezpieczeństwa przetwarzania danych osobowych. Niezbędne jest przeprowadzanie okresowych szkoleń dla osób upoważnionych do przetwarzania danych osobowych czy przyjęcie wewnętrznych polityk i regulaminów dotyczących przetwarzania danych osobowych.
Czy naprawdę muszę przeprowadzić analizę ryzyka?
Jeżeli chcesz działać zgodnie z RODO to tak.
W razie kontroli organu nadzorczego, sprawdzi on czy analiza ryzyka została przeprowadzona, a naruszenie obowiązków w tym zakresie może skutkować nałożeniem kary pieniężnej na administratora lub podmiot przetwarzający.
Musimy pamiętać o tym, że w RODO zawarto tzw. zasadę rozliczalności, zgodnie z którą to administrator musi być w stanie wykazać przestrzeganie przepisów RODO. Zatem w razie kontroli, musimy być w stanie wykazać, że stosowna analiza ryzyka została przez nas przeprowadzona. Dlatego właśnie wcześniej pisałem o konieczności przygotowania dokumentu, z którego będzie wynikało, że rzeczywiście taką analizę zrobiliśmy.
Dodatkowo, powinniśmy być w stanie udowodnić, że wdrożyliśmy odpowiednie zabezpieczenia - w tym celu możemy przedstawić przyjęte w organizacji procedury, dowody przebycia szkoleń przez pracowników itp.
Zainteresował Cię temat przeprowadzania analizy ryzyka? Jeżeli masz jakieś wątpliwości, pytania lub potrzebujesz innej pomocy, związanej z dostosowaniem swojej organizacji do przepisów RODO, skontaktuj się z nami. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.
Comments