15 gru Jak przeprowadzić analizę ryzyka i ocenę skutków dla ochrony danych (DPIA)
IOD Inspektor umożliwia rejestrację procesu analizy ryzyka zgodnie z wytycznymi UODO, jak również ocenę skutków czynności przetwarzania dla ochrony danych zgodnie z art. 35 RODO.
W skrócie:
- ocena procesów pod kątem wystąpienia wysokiego ryzyka z uwzględnieniem kryteriów PUODO
- szybka i wygodna ocena skutków przetwarzania (DPIA)
- możliwość analizy ryzyka dla grup czynności
- zgodność z RODO art. 35
- ułatwienie procesu dzięki integracji z rejestrem czynności przetwarzania
- powiązanie analizy z pozostałymi elementami systemu: osobami, programami, incydentami
- możliwość podpinania załączników
Ocena ryzyka
Jak czytamy w ust. 1 art. 35 RODO administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych dla tych rodzajów przetwarzania, które z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Z zapisu tego wynika, że w pierwszym kroku należy dokonać oceny czy dana czynność wiąże się z wysokim ryzykiem, o którym mowa powyżej.
W tym celu posłużymy się katalogiem czynności, które PUODO uznał za te, które takie ryzyko mogą powodować. Pełny wykaz tych czynności został opublikowany w Monitorze Polskim 2019 R. Poz. 666 https://monitorpolski.gov.pl/MP/2019/666.
Decyzja czy dana czynność będzie powodowała wysokie ryzyko naruszenia, w gruncie rzeczy należy od nas. W zależności od przyjętych zasad możemy uznać, że wysokie ryzyko będzie występowało wówczas, gdy co najmniej jedno kryterium będzie spełnione. We wspomnianym komunikacie PUODO stwierdza się, że „Co do zasady, przetwarzanie spełniające przynajmniej dwa z niżej wymienionych kryteriów będzie wymagać oceny skutków dla ochrony danych.” W istocie jednak decyzja należy do nas.
Oceny ryzyka dokonujemy w oknie edycji danej czynności przetwarzania w zakładce 6. Ocena ryzyka, jak pokazano poniżej.
Wyniki przeprowadzonej oceny ryzyka zobaczymy na liście czynności w kolumnie Ryzyko. Kolorami rozróżnione liczbę spełnionych kryteriów: 0 – zielony, 1 – pomarańczowy, >1 – czerwony. Dla przejrzystości dodatkowo podano także liczbę spełnionych kryteriów.
W kolumnie DPIA pokazano wynik oceny skutków DPIA oraz datę jego przeprowadzenia.
Po dokonaniu oceny czy ryzyko uznaliśmy za wysokie możemy przystąpić do oceny skutków dla ochrony danych.
Ocena skutków dla ochrony danych (DPIA)
W celu wykonania oceny skutków, wybieramy czynność z rejestru przetwarzania i klikamy w ikonkę DPIA znajdującą się w kolumnie DPIA lub z głównego menu po lewej stronie wchodzimy do modułu DPIA.
Po przejściu do modułu DPIA zobaczymy wykaz wszystkich inspekcji, które zostały już przeprowadzone, jak również możemy dodać nową, klikając w znak + na górze.
Wynik przeprowadzonych analiz wskazuje datę przeprowadzenia inspekcji a wartość zróżnicowano kolorami.
Tworząc nową inspekcję podajemy nazwę naszej inspekcji, wybieramy czynność lub wiele czynności, podajemy daty rozpoczęcia / zatwierdzenia oraz osoby przeprowadzające dane sprawdzenie.
Następnie przechodzimy do sekcji Zgodność przetwarzania i oceniamy poszczególne czynniki, decydujące o zgodności przetwarzania z prawem i zawierające informacje o niezbędności przetwarzania oraz czy jest ono proporcjonalne do celów przetwarzania, co jest wymogiem określonym w ust. 7 art. 35 RODO.
Dodatkowo do każdego kryterium możemy dodać komentarz, klikając w ikonkę ołówka po prawej stronie.
W kolejnym kroku możemy przystąpić do oceny ryzyka.
Ocenę ryzyka przeprowadzamy dla trzech grup ryzyka:
- Poufności danych, czyli ryzyko nieupoważnionego dostępu do danych
- Integralności danych, czyli ryzyko niepożądanej modyfikacji danych
- Dostępności danych, czyli ryzyko przypadkowego lub niezgodnego z prawem usunięcia danych
Wartość ryzyka oceniamy jako iloczyn wartości skutków dla ochrony i prawdopodobieństwo jego wystąpienia. W IOD Inspektor przyjęto 3-stopniową skalę: 1 – niskie, 2 – średnie, 3 – wysokie.
W IOD Inspektor oceny tej dokonujemy w zakładce Ocena ryzyka.
Najpierw określamy ocenę (wartość) skutków, wybierając jedną z 3 opcji (niskie, średnie, wyskie).
Następnie określamy prawdopodobieństwo wystąpienia ryzyka.
Mamy tu do dyspozycji 2 opcje:
- Opcja szybka – prawdopodobieństwo wystąpienia (zbiorczo)
- Opcja szczegółowa – szczegółowa ocena prawdopodobieństwa wystąpienia
Przy wybraniu opcji szczegółowej, wyświetlona zostanie lista konkretnych zagrożeń, dla których indywidualnie prawdopodobieństwo zostanie określone. Dla każdej grupy ryzyka określone odrębe listy potencjalnych zagrożeń.
Procedurę tę przeprowadzamy dla wszystkich 3 grup ryzyka: poufności, integralności i dostępności
Po zakończeniu procedury uzyskujemy wynik końcowy wyliczony jak na matrycy wskazanej powyżej. Ogólna ocena ryzyka jest natomiast oceną zbiorczą wyliczoną w ten sposób, że jest ona równa najwyższej wartości ryzyka uzyskanej w poszczególnych grupach ryzyka.
Ostatnim etapem procedury jest wskazanie sposobów postępowania z ryzykiem w poszczególnych grupach. Mamy do wyboru 3 wartości:
- akceptacja,
- wymagane są zmiany,
- wymagane są natychmiastowe zmiany
Określamy jaką decyzję podejmujemy odnośnie sposobu postępowania z ryzykiem i opisujemy szczegółowe zalecenia dla poszczególnych grup ryzyka.
Dodatkowo w zakładce Powiązane pliki możemy podłączyć dodatkowe załączniki zawierające np. bardziej szczegółowe informacje, protokoły, zdjęcia itp.
Na zakończenie uzyskujemy raport z procedury DPIA dla czynności, które zostały nią objęte.
Warto zwrócić uwagę, że Szczegóły czynności takie jak cel przetwarzania, kategorie osób, podstawa prawna nie były przez nas edytowane. Zostały one automatycznie skopiowane z informacji znajdujących się w rejestrze czynności. Informacje te są prezentowane oddzielnie dla każdej czynności.
Kolejnym ułatwieniem w IOD Inspektor jest linkowanie elementów powiązanych. W tym przypadku będą to osoby, programy i incydenty. Dzięki temu jednym kliknięciem możemy przenieść się do szczegółów danego elementu.
W dalszej części raportu znajdujemy wynik przeprowadzonej analizy.