Mówi się, że „RODO to dużo papieru”. Procedury, polityki, klauzule – to wszystko jest ważne i potrzebne, bo bez tego nie sposób mówić o wdrożeniu i stosowaniu RODO w jakiejkolwiek organizacji. To jednak nie wszystko.
Ocena ryzyka jako wymóg RODO
Ustawodawca unijny wymaga od nas jeszcze większego wysiłku w postaci oceny ryzyka procesów przetwarzania danych osobowych i wszystkiego, co z nimi jest związane. RODO nakłada na administratorów danych obowiązek przestrzegania dwóch bliźniaczych zasadach: privacy by design czyli ochrony prywatności w fazie projektowania oraz privacy by default czyli domyślnej ochrony danych. Ta pierwsza zasady opiera się na tym, że jakiekolwiek działanie dotyczące przetwarzania danych osobowych lub jego zmiana muszą być poprzedzone oceną ryzyka tego działania. Ryzyko można rozpatrywać jednak dwojako: jako ryzyko dla administratora albo ryzyko dla osoby, której dane będą przetwarzane. Ryzyko dla administratora zawsze musi być ocenione – ochrona samego siebie to podstawa każdego biznesu i jest to naturalny odruch. Niemniej jednak celem RODO jest zawsze ochrona osób fizycznych, a zatem zasadniczym celem oceny ryzyka jest sprawdzenie, jakie ryzyko wiążę się z przetwarzaniem danych osobowych osób fizycznych.
Przykład: proces przetwarzania danych osobowych w ramach zgłaszania pracowników do ZUS jest ryzykowny dla administratora w tym zakresie, ze jeśli utraci dostęp do danych (np. wskutek ataku hakerskiego), to nie będzie mógł spełnić ustawowego obowiązku, a to może wiązać się z odpowiedzialnością prawną. Z kolei skutki takiego samego zdarzenia dla osoby fizycznej (pracownika) mogą być jeszcze gorsze: problemy z otrzymaniem świadczenia czy też nawet rozpoczęciem pracy. Widać zatem, że dla tego samego procesu przetwarzania danych osobowych może powstać inne ryzyko dla administratora, a inne ryzyko dla podmiotu danych.
Z tego powodu nie można tracić z pola widzenia zbadania tego, czy ryzyko dla osoby fizycznej, której dane są przetwarzane nie jest za wysokie. Jeśli okazałoby się, że poziom ryzyka jest wysoki, to RODO nakazuje przeprowadzić ocenę skutków dla ochrony danych (DPIA) czyli pogłębioną i bardziej szczegółową ocenę ryzyka.
Sposoby oceny ryzyka
RODO samo nie mówi nam tego, co robić z ryzykiem ani jak je oceniać. Sposoby ocen mogą być różne np. jakościowe (często opisowe, w postaci formularza) lub ilościowe (opierające się na liczbowych matrycach), a także jakościowo – ilościowe (łączące oba te elementy). Każdy sposób jest dobry, o ile weźmie pod uwagę wszystkie czynniki procesu, który chcemy przeprowadzić. Zmiany czynników w danym procesie również wymagają reakcji i aktualizacji oceny ryzyka. Dla przykładu: jeśli w ramach rekrutacji korzystamy z agencji rekrutacyjnej X działającej jako procesor, ale zmieniliśmy agencję na agencję Y, to powinniśmy wziąć ten czynnik pod uwagę i sprawdzić czy agencja daje należytą gwarancję ochrony danych osobowych. Jeśli standard ochrony jest taki sam lub podobny, nie powinno to wpłynąć na poziom ryzyka dla osób fizycznych. Jeśli jednak standard jest gorszy niż w przypadku agencji X, wtedy musimy dokonać zmian w naszej ocenie ryzyka i sprawdzić jaki otrzymamy wynik.
Najpierw ocena, potem proces
Musimy pamiętać o tym, że ocena ryzyka to działanie uprzednie w stosunku do wdrożenia procesu przetwarzania. Nie możemy rozpocząć procesu, dopóki nie ocenimy poziomu ryzyka, a w szczególności tego czy ryzyko przypadkiem nie jest wysokie. Jeśli chcemy wprowadzić nowy sposób zarządzania systemami IT w naszej firmie, to najpierw sprawdzamy czy pod kątem ochrony danych osobowych nie będzie to zbyt ryzykowne. Powinno to objąć ocenę pod kątem prawnym i technicznym. Dopiero jeśli ocenimy ryzyko na niższe niż wysokie (przy wysokim musimy przeprowadzić dodatkowo DPIA), możemy zdecydować co robić z ryzykiem. Mamy do wyboru kilka opcji:
- akceptacja ryzyka,
- zmniejszenia ryzyka (za pomocą zaplanowanych środków),
- unikanie ryzyka (rezygnacja z procesu lub jego części),
- outsourcing ryzyka (np. powierzenie przetwarzania danych lub współadministrowanie).
Opcji zatem jest wiele, bo mnogość procesów w każdej organizacji i ich złożoność dają dużo różnych wyników. Nie można jednak zapominać o tym, że bez oceny ryzyka możemy mieć problem z zarządzaniem samym ryzykiem i przepływem danych osobowych.
Warto wszystko dokumentować
Ocena ryzyka jest przede wszystkim procesem intelektualnym i logicznym. Przypomina śledztwo albo badanie naukowe. Niemniej jednak każde śledztwo albo badanie wypada udokumentować. W przypadku kontroli warto mieć dokument, który będziemy mogli okazać organowi nadzorczemu jako dowód przeprowadzenia oceny ryzyka. W szczególności chodzi o wykazanie poziomu ryzyka oraz tego, jak sobie radzimy z ryzykiem. Taka ocena jednak nie może być dokonana raz na zawsze. Aktualizacje, o których mowa wyżej, są podstawą ciągłości działania oceny. Trzeba bowiem pamiętać, że ocena ryzyka jest procesem ciągłym, a zatem czujność i świadomość w zakresie zarządzania ryzykiem przetwarzania danych osobowych powinny być podstawą codziennego funkcjonowania w każdej organizacji.
