Mikołaj Otmianowski

legal advisor

Lubię RODO, bo RODO to ocean możliwości.
[Więcej >>>]

Zadaj pytanie

Analiza ryzyka

Mikołaj Otmianowski30 kwietnia 2019Komentarze (0)

Dla mnie świętym Graalem wdrożeń RODO jest przeprowadzenie oceny ryzyka.

No właśnie “jak zrobić analizę ryzyka?” to podstawowe pytanie, które przewija się przez wszystkie fora branżowe.

Sporo jest pomysłów. Niektórzy mają pierwsze doświadczenia za sobą.

Po co się w to bawić?

Kilka powodów:

  • Pamiętacie treść art. 24 ust. 1 ” (…) administrator wdraża odpowiednie środki techniczne i organizacyjne (…) “
  • Ten sam artykuł “(…)i aby móc to wykazać….)
  • Ten sam artykuł 🙂 zdanie ostatnie. Środki techniczne i organizacyjne powinny być poddawane weryfikacji i aktualizacji

Sama powyższa lista wyjaśnia po co się mamy bawić w analizę ryzyka, ale mamy jeszcze inne powody:

  • Kolejny artykuł (25 ust.1 RODO) zobowiązuje administratorów oraz procesorów do oceny ryzyka w każdym nowym procesie przetwarzania danych osobowych (privacy be design) – “(…) wdraża odpowiednie środki techniczne i organizacyjne (…)”
  • artykuł 32 RODO, to mój ulubiony, bo nakłada na administratora obowiązek dostosowania środkow “Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”
  • jest jeszcze artykuł 35 RODO, czyli ten wymuszający na administratorze przygotowanie DPIA, czyli pogłębionej oceny procesów dla niektórych procesów przetwarzania danych osobowych. To bardzo ważny aspekt RODO, ale temat na oddzielny wpis.
  • Przygotowanie analizy ryzyka to konieczność, a zatem każdy administrator i procesor powinni ją przeprowadzić. Dobrze przygotowana analiza daje korzyści podmiotowi, a konsultantom daje możliwość rozszerzenia zakresu świadczonych usług.

Konkluzja? Problem zasadniczy jak wybrać odpowiednie środki techniczne i organizacyjne, jak je potem zastosować w praktyce, a na końcu jak udokumentować wybranie właściwych rozwiązań, by zrealizować wymogi przepisów RODO. Tego już nikt nam nie powiedział. A nie przepraszam, powiedział, “Drogi ADO rób jak chcesz, bylebyś potem umiał wykazać co zrobiłeś i że lepiej nie mogłeś.”

Moje obserwacje

Różne metodyki się pojawiły na rynku. Pojawiają się też różne aplikacje. Mimo to my nie znaleźliśmy dotychczas praktycznego rozwiązania. Rozwiązania, które można by zastosować w organizacji do wybrania i zastosowania odpowiednich środków technicznych i organizacyjnych, a potem kontynuować rozpoczętą pracę także z przeprowadzeniem oceny skutków dla bezpieczeństwa danych (DPIA). Dlatego stworzyliśmy własną metodykę oraz aplikację.

Na rynku jest już kilka aplikacji do analizy ryzyka. Jednak celem tego wpisu nie jest ich ocena. Niemniej widzę w tych produktach zasadniczą wadę powodującą, że wszystkie wyniki analiz ryzyka są bardzo ogólne.

Każde z rozwiązań skupia się na ocenie procesu biznesowego (lub przetwarzania danych). W takim procesie często wykonuje się sporo różnych czynności, zaangażowanych jest wiele osób, a do tego wykorzystywane są różne narzędzia, w tym IT.

Szacowanie ryzyka całego takiego procesu jest trudne i wymaga wiedzy eksperckiej i dokonania założeń niezbędnych do oceny. Poza tym w zasadzie nie wiadomo co powoduje zmniejszenie lub zwiększenie takiego ryzyka. Dlatego trudna jest praca z tak wykonanym szacowaniem.

Problem pojawia się potem przy zmianach jakichkolwiek fragmentów takiego procesu i konieczności ponownego szacowania ryzyka dla całego procesu.

Jak to zrobić inaczej?….

Jak to zrobić praktycznie?

Długo szukaliśmy rozwiązania dla tej kwestii. I muszę wam powiedzieć, że odkryliśmy “to”.

Co więcej wszystkie – tak, WSZYSTKIE – osoby, które zobaczyły naszą metodykę są zachwycone.

Najsensowniej jest rozbić procesy wg aktywów zidentyfikowanych w procesie. W ten sposób można realnie ocenić każdy poszczególny element danego procesu i poddać go działaniu zagrożenia.

Oczywiście łatwo powiedzieć, ale trudniej zrobić taką analizę bez odpowiedniego narzędzia, bo taka szczegółowa ocena ryzyka powoduje wygenerowania wielu wierszy, które trzeba przeanalizować. Ręcznie? Nie da rady. (My już mamy takie narzędzie gotowe).

Czy warto tak szczegółowo podchodzić do tematu? Moim zdaniem trzeba, bo dzięki takiej analizie klient otrzyma zrozumiały dokument, który może dostosować do poziomu wymaganej szczegółowości.

Jak to robimy?

W pierwszej kolejności uzupełniamy rejestr czynności (art. 30 ust. 1). To dla nas źródło informacji niezbędnych do przeprowadzenia szacowania ryzyka. Następnie uzupełniamy informacje pozyskane z audytu w celu możliwości przeprowadzenia analizy ryzyka.

jakie informacje są niezbędne?

Opis procesu, co się w nim dzieje, a także zastosowane rozwiązania (sposoby przetwarzania danych osobowych), w tym IT. Dzięki temu będzie można ocenić każde wykorzystywane narzędzie pod kątem zagrożeń dla praw i wolności podmiotów danych wynikających ze stosowania takiego narzędzia.

Ważne

Nasza metodyka sprawdza się dla małych, średnich i dużych podmiotów, za równo w sektorze prywatnym jak i publicznym. Jedyne różnice to stopień szczegółowości w podejściu do badanego procesu.

Szkolenie

Zapraszamy na nasze szkolenie. Najbliższe już 24 października. Więcej informacji.

Na razie tyle.

pozdrawiam

Mikołaj

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez DAPR sp. z o.o. Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest DAPR sp. z o.o. z siedzibą w Warszawie.

Kontakt z Administratorem jest możliwy pod adresem m.otmianowski@dapr.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: