Analiza ryzyka – RODO a metodyka zarządzania ryzykiem w ochronie danych osobowych

Od 25 maja 2018 roku obowiązują nowe regulacje dotyczące ochrony danych osobowych. Ustawa RODO ujednoliciła przepisy w całej Unii Europejskiej, zastępując dotychczasową polską ustawę o ochronie danych osobowych. Zakończył się tym samym dwuletni okres wdrożeniowy mający na celu przygotowanie przedsiębiorstw do nadchodzących zmian. Wejście w życie unijnego rozporządzenia nałożyło na organizacje obowiązek wykonania analizy ryzyka – RODO nie narzuca określonej metodyki przeprowadzenia procesu zarządzania ryzykiem. Wybór metody powinien odpowiadać specyfice danego podmiotu, uwzględniać zakres, cele przetwarzania oraz rodzaj danych, a także wielkość, strukturę, możliwości organizacyjne, techniczne i finansowe danej jednostki.

Rodzaje analizy ryzyka – RODO w praktyce

W kontekście obowiązującego rozporządzenia możemy mówić o dwóch rodzajach analizy ryzyka – RODO obliguje organizacje do dokonania ogólnej oceny ryzyka przetwarzania danych osobowych, która powinna być sporządzana przez wszystkie podmioty. Działanie to ma na celu ustalenie potencjalnych zagrożeń związanych z przetwarzaniem danych osobowych oraz dobranie odpowiednich dla danej organizacji zabezpieczeń. Wielkość i zakres działania danego podmiotu nie zwalniają z obowiązku wykonania ogólnej analizy ryzyka – RODO nie nakłada wymogu zachowania szczególnej formy, jednak ze względu na zasadę rozliczalności, sformułowaną w art. 5 ust. 2 ustawy RODO, trzeba wykazać istnienie takiej analizy organowi nadzorczemu. Na wypadek kontroli warto mieć przygotowaną dokumentację RODO przynajmniej w wersji elektronicznej. Drugi rodzaj analizy ryzyka polega na ocenie skutków dla ochrony danych osobowych, jeżeli ich przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Ustawa RODO a obowiązek sporządzenia analizy ryzyka

Analiza ryzyka umożliwia podejmowanie działań zapobiegawczych i ich priorytetyzację, zaś jej wykonanie pozwala szerzej spojrzeć na organizację. Szacowanie ryzyka warto rozpocząć od zidentyfikowania aktywów, które mogą zostać zagrożone. Aktywa to rzeczy, osoby lub jednostki – materialna bądź niematerialne –należące do organizacji. Do aktywów można zaliczyć posiadaną wiedzę, personel, oprogramowanie oraz inne środki techniczne i organizacyjne związane z przetwarzaniem informacji, w tym także dokumentację RODO. Kolejnym etapem jest określenie prawdopodobieństwa wystąpienia ryzyka i ewentualnego wpływu tego zdarzenia na aktywa organizacji. Na podstawie zebranych wniosków powinno się podejmować odpowiednie kroki zaradcze. Nie należy zapominać o okresowych przeglądach infrastruktury IT i dokonywaniu ponownej analizy ryzyka, w miarę pojawiania się nowych zagrożeń.

Dokumentacja RODO – co wchodzi w jej skład?

Wieloaspektowa analiza i ocena ryzyka poprzedza proces opracowywania dokumentacji RODO, zaś jej posiadanie stanowi jeden z elementów prawidłowego wdrożenia ustawy RODO w organizacji. Dokumentacja RODO składa się najczęściej z:

  • Polityki ochrony danych osobowych, w tym polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi,
  • Rejestru czynności przetwarzania danych osobowych lub rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora,
  • Wzorów klauzul zgód na przetwarzania danych osobowych,
  • Wzorów klauzul informacyjnych o przetwarzanie danych osobowych,
  • Wzoru umowy na przetwarzanie danych osobowych lub wzoru umowy o współadministrowaniu,
  • Procedur postępowania w przypadku naruszenia ochrony danych osobowych,
  • Rejestru naruszeń ochrony danych osobowych.

RODO – kary administracyjne za nieprawidłowości w ochronie danych osobowych

Ustawa RODO stawia przed organizacjami jedynie wymóg posiadania rejestru czynności przetwarzania danych osobowych i dokumentowania wszelkich naruszeń ochrony danych. Wiąże się to z obowiązkiem zgłaszania takich incydentów do Generalnego Inspektora Ochrony Danych Osobowych w ciągu 72 godzin oraz poinformowania o naruszeniu osób, których to zdarzenie dotyczyło. Oznacza to, że ustawa RODO nadaje nowe uprawnienia GIODO. Jednym z nich jest możliwość nakładania kar finansowych w przypadku wykrycia naruszenia związanego z bezpieczeństwem przetwarzania danych osobowych, wynikającego z nieprzestrzegania przepisów RODO – kary za naruszenie artykułów 5, 7, 15 i 16 rozporządzenia mogą sięgać do 20 milionów euro lub 4% całego obrotu firmy oraz 10 milionów euro lub do 2% wartości rocznego obrotu przedsiębiorstwa za naruszenie artykułów: 25, 29, 30, 31 oraz 32 ustawy RODO – kary mają być nakładane po rozpatrzeniu okoliczności każdego indywidualnego przypadku.

Sankcje za nieprzestrzeganie przepisów RODO – kary finansowe i odpowiedzialność administratora danych

Ustalając wysokość kary finansowej, organ nadzorczy będzie brał pod uwagę m.in. następujące czynniki:

  • Charakter, wagę i czas trwania naruszenia przy uwzględnieniu rodzaju, zakresu lub celu przetwarzania danych informacji, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody,
  • Kategorię danych osobowych, których dotyczy naruszenie,
  • Umyślny lub nieumyślny charakter naruszenia przepisów rozporządzenia,
  • Działania podjęte przez administratora lub podmiot przetwarzający dane osobowe, mające na celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
  • Wszelkie wcześniejsze naruszenia dokonane przez wyżej wymienione podmioty,
  • Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz wynikających z niego następstw.

Naruszenia rozporządzenia RODO – kary finansowe za nieprzestrzeganie przepisów – jak się przed nimi uchronić?

Samo przygotowanie dokumentacji zgodnej z RODO, prowadzenie rejestru czynności przetwarzania danych osobowych, powołanie Inspektora Ochrony Danych Osobowych i dokonanie analizy ryzyka nie wystarczy, aby organizacja była w pełni zgodna w przepisami unijnego rozporządzenia. System bezpieczeństwa danych osobowych musi być cały czas zarządzany i udoskonalany, a dokumentacja na bieżąco aktualizowana. Na rynku funkcjonują uznane standardy dotyczące ochrony danych osobowych, zgodne z przepisami RODO – szkolenie dedykowane przedsiębiorcom bazuje najczęściej na wzorcach postępowania według normy ISO/IEC 27005, która sprawdza się zwłaszcza w dużych przedsiębiorstwach. Należy podkreślić, że normy ISO są elementem wyjściowym, zaś RODO nie zawiera wytycznych w zakresie ich wyboru. Rodzaj zabezpieczeń powinien być jednak adekwatny do wielkości organizacji, branży, w jakiej funkcjonuje, rodzaju i charakteru danych, jakie są w niej przechowywane i przetwarzane oraz ryzyka naruszenia ochrony danych.

RODO – szkolenie dla przedsiębiorców

Przedsiębiorcy otrzymali czas do 25 maja 2018 roku na wdrożenie unijnych przepisów. Od tego dnia procedury stosowane w organizacjach muszą być w pełni zgodne z nowymi wymaganiami pod rygorem nałożenia kar finansowych. Ich wysokość będzie zależała od tego, który z artykułów rozporządzenia zostanie naruszony. Aby uchronić organizację przed dotkliwymi sankcjami, należy stale podnosić wiedzę w zakresie ochrony danych osobowych w realiach obowiązującego RODO – szkolenie dedykowane przedsiębiorcom przybliża dobre praktyki, które warto stosować w codziennej pracy. Szeroki zakres aktualnie obowiązujących przepisów sprawia, że koniecznością jest dostarczanie działań edukacyjnych zapewniających wzrost bezpieczeństwa danych osobowych w firmach i instytucjach.

Dlatego już dziś zachęcamy Państwa do udziału w III Konferencji RODO, która odbędzie się 29 listopada 2018 roku w Warszawie. Uczestnicy wydarzenia dowiedzą się, jak reagować w przypadku stwierdzenia naruszenia ochrony danych, by uniknąć kar finansowych oraz jak wdrożyć RODO, by budować zaufanie i wiarygodność firmy w Internecie.

powrót

Zobacz również: