Ryzyko warte oszacowania

Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych ODO 24
Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych ODO 24

Identyfikacja ryzyka,  jakie niesie za sobą przetwarzanie danych osobowych przez firmę, nie jest prosta, składa się z kilku etapów. Przedsiębiorcy powinni jednak ją regularnie przeprowadzać, by móc wdrażać odpowiednie narzędzia zabezpieczajace. Gdy zacznie obowiązywać europejskie rozporządzenie o ochronie danych osobowych (RODO) wyniki przeprowadzonych analiz ryzyka staną się podstawą do określania, jakie zabezpieczenia będą adekwatne do istniejących zagrożeń i pozwolą uniknać niezgodności z prawem prowadzonych przez firmę procesów.

Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych ODO 24
Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych ODO 24

Ryzykiem określane jest takie działanie przedsiębiorcy (administratora danych), które wraz z upływem czasu może doprowadzić do jego niezgodności z przepisami prawa. Potencjalnym ryzykiem może być obarczony proces, który sam w sobie jeszcze nie stanowi naruszenia przepisów prawa ochrony danych osobowych, jednak w wyniku braku postępowania z tym ryzykiem może on być przyczyną powstania niezgodności. Przykładowo pozyskiwanie danych osobowych potencjalnych klientów bez wymaganej zgody na prowadzenie marketingu bezpośredniego drogą elektroniczną (np. mailing) samo w sobie nie jest jeszcze niezgodnością. Należy jednak zauważyć, że kolejnym krokiem w tym procesie będzie wysyłka niezamówionych informacji handlowych drogą elektroniczną, co już stanowi dużą niezgodnością – wyjaśnia Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych osobowych, ODO 24.

Identyfikacja potencjalnych ryzyk wymaga czujności i umiejętności przewidywania kolejnych zdarzeń przez ABI (Administratora Bezpieczeństwa Informacji), a po wejściu w życie RODO – IOD (Inspektora Ochrony Danych), który odpowiada za ochronę danych osobowych w danym podmiocie. Wielu początkujących ABI nie sięga do takich narzędzi pracy jak klasyfikacja ryzyka ze względu na to, że postrzega je jako skomplikowane. Wpływa to negatywnie na firmy, które nie są odpowiednio przygotowane na potencjalne niebezpieczeństwa.

Jak wskazuje ekspert ODO 24 przy przeprowadzaniu pierwszego szacowania ryzyka ochrony danych osobowych warto rozważyć zastosowanie metody składającej się z czterech etapów. Szacowanie należy przede wszystkim rozpocząć od identyfikacji kategorii danych i ich wartości (określenia czy dane, które przetwarza firma są tzw. zwykłe czy wrażliwe). Kolejnym krokiem jest zidentyfikowanie istniejących zagrożeń, by ją odpowiednio wykonać musimy wiedzieć, gdzie znajdują się dane i w jakiej formie się one przechowywane – elektronicznej czy papierowej. Trzecim etapem jest określenie następstw zdiagnozowanych niebezpieczeństw – ocena jak utrata określonej kategorii danych w konkretnym procesie wpłynie na całą organizację, np. zatrzymane zostaną krytyczne dla firmy procesy, dojdzie do zerwania umów przez klientów lub kontroli GIODO i konsekwencji z niej wynikających. Warto zaznaczyć, że należy dokonać klasyfikacji zidentyfikowanych ryzyk – czyli określić wysokość ryzyk w stosunku do poszczególnych procesów. Wynikiem całego procesu jest określenie jakie działania wobec ryzyk powinny zostać podjęte przez organizacje, np. jakie zabezpieczenia muszą być zastosowane, by uniknąć negatywnych konsekwencji w stosunku do konkretnej kategorii danych, która znajduje się w określonej lokalizacji – mówi  Konrad Gałaj-Emiliańczyk z ODO 24.

25 maja 2018 r. wraz z rozpoczęciem obowiązywania przepisów RODO każdy przedsiębiorca będzie musiał przeprowadzać ocenę skutków przetwarzania danych osobowych jeszcze przed rozpoczęciem tego procesu. Dlatego warto już teraz  zdobywać doświadczenie w identyfikacji ryzyk przetwarzania danych osobowych, mimo że obecnie obowiązujące przepisy nie nakładają obowiązku szacowania ryzyka.