Webinarium „Analiza ryzyka w sposób zgodny z zasadą rozliczalności” - relacja

9 kwietnia odbyło się zorganizowane przez Urząd Ochrony Danych Osobowych webinarium „Analiza ryzyka w sposób zgodny z zasadą rozliczalności”. W trakcie spotkania on-line skupiono się na omówieniu „18 dobrych praktyk” opublikowanych w styczniowym wydaniu Biuletynu UODO oraz poruszono największe wątpliwości dotyczące rozumienia ryzyka związanego z przetwarzaniem danych osobowych.

Webinarium poprowadzili eksperci zajmujący się na co dzień analizą ryzyka i kontrolą przestrzegania przepisów o ochronie danych osobowych: dr Mirosław Gumularz – przewodniczący Społecznego Zespołu Ekspertów przy Prezesie UODO, Bartłomiej Kowalski z Departamentu Kontroli i Naruszeń UODO oraz Tomasz Izydorczyk ze Społecznego Zespół Ekspertów przy Prezesie UODO. Wydarzenie zgromadziło bardzo dużą liczbę aktywnych uczestników.

Słowo wstępne wygłosił prezes UODO Mirosław Wróblewski. W wystąpieniu podkreślił, że analiza ryzyka nigdy nie jest celem samym w sobie, ale decyduje o całym procesie przetwarzania i jest kluczowa dla doboru właściwych środków do zapewnienia ochrony danych osobowych oraz prawa do prywatności. Jak też zaznaczył, w tym procesie najważniejszy jest człowiek, a analiza ryzyka nie może być działaniem nieuporządkowanym, jednorazowym ani nie może opierać się na intuicji, istotna jest bowiem metodologia.

W pierwszej części spotkania dyskutanci starali się sformułować definicję ryzyka na gruncie RODO oraz wyjaśnić, czym jest analiza ryzyka oraz ważna w tym kontekście zasada rozliczalności ujęta w art. 5 ust. 2. RODO.

Jak jednak zwrócili uwagę, RODO nie wskazuje konkretnych środków ochrony danych i w tej kwestii to administratorzy mają za zadanie wziąć na siebie odpowiedzialność w dobieraniu metod adekwatnych do sytuacji i zagrożeń. Wiele także, jak wskazali, zależy od tego, jak szybko zmieniają się możliwości i ryzyka technologiczne, dlatego RODO wyznacza obowiązki administratora w sposób bardziej ogólny (neutralny technologicznie), stawiając akcent na konieczność wykorzystywania odpowiednich w danych okolicznościach środków minimalizującym ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

Jak zaznaczyli prowadzący webinarium, sztywne listy wymagań zostały w RODO zastąpione przez podejście oparte na ryzyku, a prawidłowo wykonana (i kompletna) analiza ryzyka służy też temu, aby organizacja mogła ochronić się przed potencjalnym zakwestionowaniem przez organ nadzorczy przyjętych przez nią rozwiązań w zakresie przetwarzania danych osobowych.

Według dyskutantów analiza ryzyka udowadnia również rzetelność i odpowiedzialne nastawienie wobec praw i wolności jednostki, dlatego sposób przeprowadzenia tego procesu jest często kluczowy dla oceny zgodności przetwarzania z prawem dokonywanej przez organ nadzorczy.

W zarządzaniu ryzykiem nie chodzi jednak o to, aby z góry określić wszystkie możliwe zagrożenia, które mogą wystąpić w organizacji, ale aby przede wszystkim dochować w tym zakresie należytej staranności. Prowadzący webinar wskazywali na źródła wiedzy o typowych i częstych zagrożeniach, z jakich mogą korzystać administratorzy. Jak wskazali prowadzący, organizacje często nie są w stanie zastosować najlepszych dostępnych na rynku zabezpieczeń, dlatego obok stanu wiedzy technicznej istotnym kryterium ich doboru jest także koszt ich wdrażania. W tym kontekście istotne jest również przygotowanie i rzetelne realizowanie planu wdrożenia środków ochrony danych – również na wypadek kontroli ze strony organu nadzorczego.

Przy analizie ryzyka należy też za każdym razem pamiętać o wymiarze motywu 75 RODO, który mówi o zabezpieczaniu praw i wolności ludzi, których dane są przetwarzane. A zatem – jak zgodnie podkreślili dyskutanci – w centrum tego działania pozostaje człowiek.

W kontekście zasady rozliczalności uczestnicy spotkania odnieśli się także do znaczenia dokumentowania przez administratorów analizy ryzyka, bowiem zapewnia ono możliwość rejestrowania i śledzenia kolejnych przeprowadzonych kroków na przestrzeni dłuższego czasu oraz wspierać procesy usprawniania wcześniejszych niedoskonałości (należy jednak pamiętać, że RODO nie dyktuje, w jaki sposób dokumentacja taka ma być prowadzona, natomiast istotne jest, aby była do wykazania przed Prezesem UODO).

W dalszej części webinarium jego uczestnicy wskazali na problem różnicy między oceną ryzyka z perspektywy organizacji a oceną z perspektywy podmiotów danych. Nierzadko problem ten prowadzi do licznych nieporozumień i powoduje, że zdarza się, iż w ochronie danych zaczynają przeważać interesy organizacji, a nie osób fizycznych.

Dyskutanci przytoczyli też przykładowe wyroki sądów administracyjnych, pokazujące typowe błędy w analizie ryzyka, które następują w ramach takich procesów, jak migracja danych czy praca zdalna.

Do innych błędów popełnianych przy analizie ryzyka należą: zbyt ogólne kategoryzowanie zagrożeń i umieszczanie ich w tej samej grupie, w momencie gdy należą do innego rodzaju ryzyka, budowanie fałszywego poczucia bezpieczeństwa na podstawie niedokładnych przesłanek i na bazie samej wiedzy teoretycznej, stosowanie szerokich skal punktowych w ocenie ryzyka zamiast dokładnego opisu ryzyka, ignorowanie wniosków z audytów i kontroli, nieuwzględnianie dostępnych publicznie statystyk, manipulowanie oceną ryzyka (takie jego definiowanie, aby ostatecznie było ono określane jako minimalne, a zatem niebudzące zaniepokojenia).

Wyroki sądów udowadniają też, że trzeba uwzględniać ryzyko stosownie do specyfiki organizacji i nie kierować się schematami. Należy także uwzględniać szersze spektrum ryzyka i nie ograniczać się do perspektywy działów IT w organizacjach, ponieważ eksperci w tej dziedzinie nierzadko nie zauważają społecznego wymiaru ochrony danych.

Jak wskazali uczestnicy spotkania, ważny w szacowaniu ryzyka jest motyw 76 RODO, który pomaga w określaniu prawdopodobieństwa ryzyka naruszenia praw lub wolności osób fizycznych i jego powagi.

Jak dodano w czasie dyskusji, wyroki sądów administracyjnych* wskazują również, że przy analizie ryzyka nie chodzi o stosowanie najnowocześniejszych środków technologicznych, ale raczej o ich adekwatność oraz monitorowanie tego, co dzieje się w środowisku technologicznym, jakie zmiany w nim zachodzą.

Zwrócono też uwagę na instytucje, dzięki którym bez trudu można pozyskać wiedzę o standardach bezpieczeństwa i wytycznych, korzystnych dla ochrony danych. Wymieniono m.in. amerykański National Institute of Standards and Technology (NIST), CERT Polska, Open Worldwide Application Security Project (OWASP) i Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).

W ostatniej części webinarium zaprezentowano również schemat pokazujący, jak powinien wyglądać efektywny cykl zarządzania ryzykiem (powtarzany w organizacjach np. w momencie zmian w procesie przetwarzania, zasobach czy technologii, wpływających na ryzyko dla osób fizycznych). Składa się na niego: opis przetwarzania, identyfikacja zagrożeń, ocena ryzyka, dobór środków ochronnych, wdrożenie i testowanie środków oraz przegląd systemów i ich aktualizacja.

Omówiono także rolę administratora danych we włączaniu w proces ochrony danych inspektora ochrony danych (kwestia zapewnienia niezależności IOD-om oraz wykluczenia konfliktu interesów w ich obowiązkach) oraz problem częstego przerzucania odpowiedzialności przez administratorów na pracowników i podmioty przetwarzające.

Wśród pytań zadawanych na czacie przez obserwatorów webinarium pojawiły się takie zagadnienia jak: definiowanie efektywności analizy ryzyka (czy samo wdrożenie rozwiązania może być dowodem na właściwą analizę ryzyka?), konieczność analizy ryzyka po wejściu w życie Krajowego Systemu e-Faktur (wg uczestników webinarium zależy to od narzędzi, z których korzystamy, a nie od samego faktu korzystania z KSeF), rozszerzanie i skracanie katalogu możliwych zagrożeń (w opinii uczestników webinarium nie powinno się ograniczać takiego katalogu) oraz sposoby weryfikowania rzetelności i wiarygodności systemów oraz podmiotów przetwarzających.

Nagranie webinarium dostępne jest poniżej.