Mikołaj Otmianowski

legal advisor

Lubię RODO, bo RODO to ocean możliwości.
[Więcej >>>]

Zadaj pytanie

Miało być o analizie ryzyka… a jest o “owocach”

Mikołaj Otmianowski24 marca 2019Komentarze (0)

O najpopularniejszym owocu ostatnich dni, czyli morelach, napisano już morze analiz… ale może znajdzie się miejsce na jeszcze jedną.

Jak wiecie jestem prawnikiem, więc nie będę wdawał się w kwestie typowo informatyczne. To zawsze zostawiam Przemkowi. Ten “wyciek” vel “atak hakerski” co do zasady ma charakter naruszenia infrastruktury IT. Niemniej jednak mam swoje spostrzeżenia, i jak każdy prawnik wsadzę tu swoje 5 groszy….

Administrator, czyli podmiot pełnoletni

Jeśli Administrator Danych Osobowych uważa, że dorósł do przetwarzania danych osobowych, to realizując obowiązek informacyjny, przyjmuje na siebie zobowiązanie do bezpiecznego przetwarzania pozyskanych danych.

“Bezpiecznie”, czyli jak? – pewnie zapytasz.

Jak zwykle “to zależy”.

To zależy od czynności przetwarzania (procesu), zakresu danych w tej czynności, wykorzystywanych aktywów wspierających oraz zagrożeń czyhających na dane osobowe przetwarzane w jej ramach. W zależności od ustalonego kontekstu powinniśmy dobrać odpowiednie środki ochrony danych. Należy dokonać oceny.

Jak dobrać właściwe środki?

Kluczem właściwego dostosowania środków technicznych i organizacyjnych stosowanych w organizacji w stosunku do zidentyfikowanego ryzyka jest przeprowadzenie analizy ryzyka, na kształt analizy ryzyka aktywów wspierających (zasobów) zgodnie z normą ISO27001. Różnica pomiędzy analizą ryzyka RODO i ISO 27001 tkwi w konsekwencjach. W RODO mówimy o skutkach dla osób, których dane dotyczą, a w ISO mówimy o różnego rodzaju negatywnych konsekwencjach dla organizacji. To fundamentalne rozróżnienie, które nie wszyscy jeszcze rozumieją.

To ostatnie rozróżnienie jest bardzo ważne, bo to oznacza, że posiadanie oceny skutków zgodnej z ISO27001 wcale nie oznacza przeprowadzenia tej oceny w myśl RODO.

Wbrew pozorom przeprowadzenie DPIA wcale nie jest kluczem przy analizie ryzyka. Jest konieczne, ale uważam, że DPIA to przede wszystkim weryfikacja aspektu prawnego, a aspekt techniczny to ocena ryzyka pod kątem dostosowania właściwych środków technicznych i organizacyjnych dla każdego procesu przetwarzania danych osobowych w organizacji.

W celu prawidłowego przyporządkowania ryzyka do aktywa wspierającego oraz ustalenia prawdopodobieństwa zdarzenia, w naszej analizie poddajemy weryfikacji każde połączenie procesu, aktywa wspierającego oraz zagrożenia. Zastanawiamy się, jakie w każdej z możliwych konfiguracji są podatności, jak je zabezpieczamy, a na koniec oceniamy czy istnieje wysokie ryzyko naruszenia praw i wolności osób których dane dotyczą.

Oczywiście nie jest to metoda idealna, ale od eksperckiej metody analizy ryzyka bardzo trudno odejść.

Brak analizy ryzyka w owocowej spółce

Pośrednio czytam w decyzji, że spółka nie przeprowadziła analizy ryzyka lub przynajmniej nie udokumentowała jej wykonania.

Jedynie w ramach kontroli zleciła przygotowanie analiz ryzyka do poszczególnych procesów, a także jako swoje analizy ryzyka potraktowała raporty dotyczące stosowania/wdrożenia RODO w organizacji. Niemniej cel przygotowania takiego raportu jest inny niż gruntowna i systematyczna analiza każdego procesu, aktywa oraz zagrożenia.

Nasza metoda prowadzenia oceny ryzyka dla ochrony danych osobowych

Bazujemy na kompleksowym rejestrze czynności uwzględniającym wszystkie procesy w organizacji. Procesy w nim zidentyfikowane wzbogacamy o aktywa wspierające. Dzięki funkcjonalności naszego oprogramowania możemy w łatwy sposób dokonać oceny każdego aktywa wspierającego w każdym procesie i “zaatakować” taki układ zagrożeniem. W ten sposób możemy ocenić co się stanie: jakie widzimy podatności oraz zabezpieczenia.

W ten sposób przeprowadzamy pierwszy etap naszej analizy ryzyka w którym możemy stwierdzić, jakie jest ryzyko dla poszczególnych kombinacji zagrożenie – aktywo – proces i czy techniczne i organizacyjne środki bezpieczeństwa, które wdrożyliśmy są wystarczające.

W drugiej kolejności dokonujemy oceny, które z procesów wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). W tym miejscu sprawdzamy każdy proces pod kątem spełnienia wymogów wskazanych przez Wytyczne Grupy Roboczej art. 29 (WP248) oraz wykazu czynności wymagających DPIA, opublikowanego w komunikacie Prezesa UODO w Monitorze Polskim poz. 666.

Po dokonaniu tej oceny cześć procesów wymaga przeprowadzenia DPIA

Wtedy dokonujemy pogłębionej analizy procesu, wykorzystując wcześniej zgromadzone dane.

Dzięki naszej aplikacji i autorskiej metodyce można zobaczyć każdy szczegół organizacji i tam gdzie ryzyko oceniamy na poziomie wysokim, zaplanować działania minimalizujące takie ryzyko.

Posiadanie sensownej oceny ryzyka, którą można aktualizować i na której można pracować to obecnie ‘must have’ każdej organizacji poważnie podchodzącej do przetwarzania danych osobowych.

Ważnym aspektem wdrażanej metodyki analizy ryzyka jest umiejętność wyjaśnienia jej założeń w przypadku kontroli. Słyszałem już plotki, że urzędnicy wchodząc na audyt od razu proszą o rejestr czynności oraz analizę ryzyka.

Jeśli chcesz poznać naszą metodykę to zapraszam na najbliższe szkolenie.

Pozdrawiam i do zobaczenia

Mikołaj

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez DAPR sp. z o.o. Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest DAPR sp. z o.o. z siedzibą w Warszawie.

Kontakt z Administratorem jest możliwy pod adresem m.otmianowski@dapr.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: