Ryzyko jest nieodłącznym elementem życia człowieka. W życiu codziennym podejmując różnego rodzaju decyzje intuicyjnie analizujemy ich skutki. Od wielu lat staramy się zdefiniować pojęcie ryzyka, aby lepiej zrozumieć jego istotę i dzięki temu umożliwić podejmowanie decyzji z uwzględnieniem możliwych ich konsekwencji.
Zastosowania
Często niezbędnym jest zaplanowanie lub modyfikowanie działań zmierzających do realizacji naszych planów i celów oraz uświadomienie sobie możliwych konsekwencji zdarzeń już zaistniałych. Analiza ryzyka od wielu lat z powodzeniem wykorzystywana jest w różnorodnych obszarach takich jak podejmowanie kluczowych decyzji w organizacji, zarządzanie przedsiębiorstwem, jakością, bezpieczeństwem informacji czy projektami, a od roku 2018 również w zarządzaniu ryzykiem związanym z przetwarzaniem danych osobowych oraz ich ochroną. Ryzyko najczęściej wyrażane jest jako kombinacja skutków ryzyka oraz prawdopodobieństwa jego wystąpienia.
Ex definitione
Aby lepiej radzić sobie z ryzykiem staramy się możliwe precyzyjnie opisać to zjawisko. Korzystając z definicji stosowanej w normie ISO 31000 „Zarządzanie ryzykiem – zasady i wytyczne” ryzyko możemy określić jako „wpływ niepewności na osiągane cele”. Definicja ta, choć dość krótka i ogólna, bardzo dobrze oddaje istotę ryzyka. Rozwijając ją możemy stwierdzić, że ryzyko to wszelkie zdarzenia, co do których nie mamy pewności czy zaistnieją, a które mogą mieć negatywny wpływ na osiągnięcie naszego celu.
Organizacje, aby lepiej zarządzać ryzykiem starają się też dokonywać jego klasyfikacji. Bez względu na zastosowany podział niezmiennie ryzyka identyfikowane były z perspektywy organizacji. W maju 2018 za sprawą RODO również w obszarze zarządzania ryzykiem doszło do swoistej rewolucji. Do tej pory stosowana perspektywa organizacji („jak to wpłynie na moją firmę”) przestała być wystarczająca i należy zacząć stosować nową perspektywę („jak to wpłynie na prawa i wolności osób, których dane przetwarzam”). Nowe regulacje w obszarze ochrony danych osobowych wymuszają na organizacjach uwzględnienie ryzyka wynikającego z przetwarzania takich informacji. Nowość w podejściu stanowi to, że ryzyka te nie powinny być więc identyfikowane z perspektywy organizacji (np. ryzyko utraty reputacji czy straty finansowej związanej z nałożeniem przez organ nadzorczy kary) a z perspektywy osób, których dane osobowe będą lub są przetwarzane (czy ich dane zostaną bezprawnie udostępnione, czy będą świadomi celów przetwarzania). Konsekwencją jest ograniczenie czy też wyłączenie możliwości kształtowania akceptowalnego poziomu ryzyka przez organizację w imieniu właściciela danych. W praktyce RODO jako akt prawny wprowadza szczególne obostrzenia, w przypadku, gdy ryzyko to jest wysokie. Administrator danych aby móc przetwarzać dane musi także podjąć działania skutkujące obniżeniem jego poziomu.
Nowa perspektywa
Przyjmowanie perspektywy organizacji i zarządzanie ryzykiem w obszarze ochrony obecnie jedynie na tym poziomie jest jednym z częściej popełnianych błędów. Jest to okoliczność, która może pociągnąć za sobą takie skutki jak brak możliwości realizacji praw podmiotu danych gwarantowanych przepisami RODO, czy też zastosowanie nieskutecznych sposobów zabezpieczania danych osobowych (zarówno technicznych jak i organizacyjnych) przed utratą ich poufności, integralności i dostępności.
Aby administrator mógł sprostać wymogom stawianym przez przepisy RODO konieczne jest połączenie dotychczasowych metod zarządzania ryzykiem z nową perspektywą nakierowaną na identyfikowanie skutków przetwarzania danych osobowych dla ich właściciela. Pomocne będzie zastosowanie istniejących standardów zarządzania ryzykiem stosowanych w bezpieczeństwie informacji. Np. opisana normą ISO 27005 metoda zarządzania ryzykiem w bezpieczeństwie informacji. Wykorzystanie standardu nawet w ograniczonym zakresie przynosi istotne korzyści w postaci identyfikacji zasobów oraz określenia ich wrażliwości na utratę poufności integralności lub dostępności danych. W połączeniu z jasnym zidentyfikowaniem operacji przetwarzania oraz kontekstu w jakim dane są przetwarzane łatwiej będzie zidentyfikować prawdopodobieństwo zaistnienia negatywnych skutków dla podmiotu danych.
W celu określenia skutków na jakie narażona zostanie osoba, której dane są przetwarzane, niezbędne jest prawidłowe zidentyfikowanie celów przetwarzania, kategorii osób których dane są przetwarzane, rodzaju tych danych oraz ich zakresu.
W wyniku prawidłowo przeprowadzanej analizy ryzyka administrator powinien móc dobrać adekwatne środki techniczne i organizacyjne tak, aby skutecznie chronić dane osobowe.
Podsumowanie
Z punktu widzenia przepisów dotyczących ochrony danych osobowych niezwykle istotnym jest stworzenie oraz stosowanie w organizacji planu postępowania z ryzykiem. Ze względu na wprowadzone przez RODO podejście oparte o procesy przetwarzania danych i jednoczesne odejście od podejścia opartego o zbiory danych, każda organizacja powinna zapewnić odpowiedni poziom „obsługi ryzyka”. Oznacza to, że niewystarczającym jest pobieżne określenie zagrożeń podczas realizowania pierwszych etapów wdrożenia wymogów RODO w organizacji.
Identyfikowanie, szacowanie, analizowanie ryzyka, i jego późniejsze minimalizowanie (w niektórych przypadkach akceptacja) to tylko początek drogi. Postępowanie z ryzykiem oznacza ciągły proces zamykający się niejako w pętli, gdyż każda organizacja powinna dążyć do wyeliminowania lub maksymalnego ograniczenia ryzyka związanego z bezpieczeństwem informacji i ochroną danych osobowych. Poziomy ryzyk określone na pewnym etapie życia organizacji, które wtedy mogły być akceptowalne, w następnym roku w dynamicznie zmieniającym się przedsiębiorstwie mogą bowiem bardzo łatwo stać się nieakceptowalnymi lub wręcz alarmującymi.
Zapraszamy na szkolenie: Analiza ryzyka w RODO
