OCENA SKUTKÓW
W ROZUMIENIU RODO
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) szczególny nacisk położyło na zarządzanie ryzykiem.

Zarządzanie ryzykiem w ochronie danych osobowych jest procesem nowym. RODO dało administratorom możliwość zabezpieczenia przetwarzanych danych osobowych w sposób elastyczny, ale po uwzględnieniu ryzyk naruszenia praw lub wolności osób fizycznych.

Mówi o tym wiele zapisów zawartych w poszczególnych motywach preambuły i artykułach RODO. Można w tym miejscu zacytować chociażby treść Art. 24 RODO: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz RYZYKO naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać”.

Należy w tym miejscu podkreślić, iż dobór odpowiednich środków ochrony uzależniony jest od „RYZYKA naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia”.

Biorąc powyższe pod uwagę, aby spełnić wymagania RODO administrator zobligowany jest do przeprowadzenia proces szacowania ryzyka.
Szacowanie ryzyka jest procesem ciągłym, na który składa się identyfikacja ryzyk i ich ocena.
Szacowanie ryzyka może być elementem tzw. Oceny ryzyka lub Oceny skutków.

1. Ocena ryzyka

Ocena ryzyka wynika z postanowień art. 35 ust. 1 RODO Administrator zobligowany jest do Oceny skutków, „jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.

Inaczej mówiąc, Ocena skutków przeprowadzana jest wtedy, gdy ryzyko jest wysokie. Ale jak stwierdzić, czy ryzyko jest wysokie? Jak to wykazać? Jak udokumentować? Przeprowadzając Ocenę ryzyka w celu ustalenia (wykazania), czy mamy do czynienia
z ryzykiem akceptowalnym, czy z tzw. ryzykiem wysokim.

2. Ocena skutków

Zgodnie z postanowieniami zawartymi w art. 35 ust. 3 RODO administrator ma obowiązek przeprowadzenia Oceny skutków w szczególności w przypadkach:

a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa

c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Ponadto, Ocenę skutków przeprowadza się, jeśli z Oceny ryzyka wynikać będzie, że dany rodzaj przetwarzania powodować może wysokie ryzyko.

Biorąc powyższe pod uwagę, w każdym z wyżej przedstawionych przypadków należy przeprowadzić proces szacowania ryzyka. Generalnie ocenę (ryzyka lub skutków) można przeprowadzić dla pojedynczej operacji przetwarzania danych. Jednakże należy zaznaczyć, iż zgodnie z art. 35 ust. 1 RODO „dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę”.

Zarówno ogólna ocena ryzyka, jak i ocena skutków dla ochrony danych polega na:

punktor ustaleniu kontekstu przetwarzania danych osobowych;
 
punktor szacowaniu ryzyka;
 
punktor opracowaniu i wdrożeniu Planu postępowania z ryzykiem;
 
punktor akceptacji ryzyk szczątkowych.
 

Jeśli w konsekwencji przeprowadzonego procesu szacowania ryzyka opracowany i wdrożony Plan postępowania z ryzykami wysokimi nie przyniesie pożądanych rezultatów (administrator nie zastosował środków w celu zminimalizowania tych ryzyka), to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym (art. 36 ust. 1 RODO).

Zasady przeprowadzenia szacowania ryzyka dla bezpieczeństwa przetwarzanych danych osobowych opisałem szczegółowo w poradniku formatu „Ocena ryzyka oraz Ocena skutków dla ochrony przetwarzanych danych osobowych. Przykład metody szacowania ryzyka opartej na gotowych macierzach.” - wydawnictwo PHU ONE Magdalena Chachurska.
/do nabycia pod adresem: http://www.one1.pl/52-pomoce-naukowe /.

Podsumowanie

Nakazane RODO zarządzanie ryzykiem, w tym ocena skutków - jest nowym, trudnym wyzwaniem dla osób zajmujących się ochroną danych osobowych.

Dlatego, aby wyjść naprzeciw Państwa potrzebom, serdecznie polecam wymienione powyżej wydawnictwa firmy PHU ONE, w których szczegółowo opisano przedmiotową problematykę.

 © mgr inż. Marek ANZEL