Analiza ryzyka a ocena skutków dla ochrony danych (DPIA)

Jak wskazuje się w literaturze ocena skutków dla ochrony danych to analiza ryzyka II stopnia, jej pogłębiona wersja, której struktura jest narzucona przez art. 35 rodo. Czy jednak między tymi dwoma wersjami (etapami) analizy występują znaczące różnice?

Nazwa wprowadzająca w błąd

Od razu wypada zacząć od tego, że już sama nazwa tej instytucji prawnej jaką jest ocena skutków dla ochrony danych (DPIA) nieco wprowadza w błąd, ponieważ sugeruje że podczas przeprowadzania tej procedury zostaną ocenione skutki przetwarzania dla ochrony danych osobowych, czyli zostanie ocenione jakie ryzyka niesie ze sobą przetwarzanie danych osobowych u konkretnego administratora/procesora.

Ocena środków zaradczych

Tymczasem ocena skutków (jakie jest ryzyko) następuje na etapie tzw. zwykłej analizy ryzyka (I stopnia) i jeśli te skutki przejawiają się tym, że generują wysokie ryzyko przy parametrze prawdopodobieństwa na poziomie „duże”, to wtedy aktualizuje się obowiązek przeprowadzenia oceny skutków dla ochrony danych (analiza ryzyka II stopnia, DPIA), która nie polega na ocenie skutków, które już właśnie zostały ocenione, tylko na ocenie (identyfikacji) środków zaradczych, żeby te skutki sprowadzić do akceptowalnego poziomu: niskie ryzyko.

Artykuł 35 Ocena skutków dla ochrony danych

1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Ryzyko

Ale zacznijmy od początku. Czym jest ryzyko?

Ryzyko oznacza stan rzeczy wynikający ze stosunku negatywnego skutku (naruszenia praw lub wolności osoby, której dane dotyczą) o różnej wadze (dotkliwości, wpływie) do istniejącej niepewności (różne prawdopodobieństwo) jego wystąpienia, ze względu na możliwość wykorzystania podatności przez zagrożenie. Wartość ryzyka wynika z iloczynu wagi oraz prawdopodobieństwa.

(76) Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

Rodo przenika podejście oparte na ryzyku (risk based approach), tzn. administrator/procesor musi sam oceniać jakie jest ryzyko dla podmiotów danych, płynące z tego że prowadzi działalność gospodarczą, wykorzystując te dane i czerpiąc z tego korzyści.

Ryzyko występuje w dwóch obszarach (tak też poradniki UODO, cz. II „Jak stosować…”, s. 10 i n.):

  • w obszarze ogólnej zgodności z rodo (art. 24 rodo), i w tym zakresie analiza ryzyka zbliżona jest do audytu rodo, ponieważ odpowiada na pytanie, czy wszystkie wymogi rodo (art. 5 ust. 1 lit. a – e; 6 – 10; 12 – 22 rodo) zostały wdrożone skutecznie, czyli czy zostały osiągnięte wyznaczone przez prawodawcę europejskiego cele, za pomocą środków, których dobór został pozostawiony administratorowi, np. czy administrator skutecznie spełnia obowiązek informacyjny przez właściwe zredagowanie i podanie do wiadomości podmiotu danych klauzul informacyjnych.
  • w obszarze bezpieczeństwa w tym bezpieczeństwa IT (art. 5 ust. 1 lit. f rodo w zw. z art. 32 rodo), tutaj chodzi o ocenę naruszenia atrybutów bezpieczeństwa takich jak: poufność, integralność i dostępność danych.

W obydwu obszarach ryzyko, wynikające z iloczynu wagi i prawdopodobieństwa wystąpienia naruszenia praw lub wolności (skutku) musi być na poziomie „niskie” (zielone), aby było w pełni akceptowalne. Oprócz poziomu niskiego można jeszcze wyróżnić wymagające redukcji poziomy nieakceptowalne:

Poziom średni (jasno zielony) – działanie redukujące może zostać odłożone w czasie ale wymaga okresowego monitorowania

Poziom wysoki (pomarańczowy) – jeśli wynika z dużego prawdopodobieństwa, wymaga DPIA, i ew. uprzednich konsultacji, jeśli wynika z prawdopodobieństwa mniejszego niż duże, działanie redukujące może zostać odłożone w czasie ale wymaga stałego monitorowania

Poziom bardzo wysoki (czerwony) – wymaga natychmiastowych działań redukujących, albo zaprzestania przetwarzania.

Zaproponowana w poradniku cz. 2 reakcja na zidentyfikowane ryzyko jest niekonsekwentna bowiem w przykładzie poniżej gdzie zidentyfikowano wysokie ryzyko zaleceniem jest podjęcie działania zaradczego w postaci kopii danych, bez odkładania w czasie połączonego z monitorowaniem. Wskazówka polegająca na okresowym lub stałym monitorowaniu ryzyka bez podejmowania działań zaradczych (odkładanie w czasie) wydaje się absurdalna.

Zarówno prawdopodobieństwo jaki i wagę dzielimy na kilka poziomów, z punktu widzenia rodo ważne są trzy: małe (niskie), średnie, duże (wysokie), skrajne miary jedynie uzupełniają obraz.

W kontekście analizy ryzyka istotny jest motyw 75 rodo, który wymienia przykładowe zagrożenia (np. ocena czynników osobowych, duża ilość danych) i skutki (naruszenia praw lub wolności, np. dyskryminacja) do których może dojść w wyniku przetwarzania danych, a przed wystąpieniem których ado/proc powinien zabezpieczać osoby, których dane przetwarza:

Motyw 75

(75)        Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:

  1. jeżeli przetwarzanie może poskutkować
    • 1.1 dyskryminacją,
    • 1.2 kradzieżą tożsamości lub
    • 1.3 oszustwem dotyczącym tożsamości,
    • 1.4 stratą finansową,
    • 1.5 naruszeniem dobrego imienia,
    • 1.6 naruszeniem poufności danych osobowych chronionych tajemnicą zawodową,
    • 1.7 nieuprawnionym odwróceniem pseudonimizacji lub
    • 1.8 wszelką inną znaczną szkodą gospodarczą lub społeczną;
  2. jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
  3. jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;
  4. jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub
  5. jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
  6. jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Należy zwrócić uwagę, że celem analizy ryzyka jest ustalenie (identyfikacja) wagi i prawdopodobieństwa ostatecznego skutku (szkody, krzywdy osoby, której dane dotyczą – czyli naruszenia praw lub wolności), ale po drodze trzeba też ustalić istnienie i prawdopodobieństwo zagrożenia. Tym zagrożeniem jest samo przetwarzanie, zwłaszcza jeśli np. dotyczy szczególnej kategorii danych, wykorzystania innowacyjnych technologii, ale to jeszcze nie jest bezprawność, dalej zagrożeniem jest naruszenie rodo (w tym naruszenie odo), to już jest bezprawność. Jeśli chodzi o podatność, to w uproszczeniu można powiedzieć, że podatność jest zagrożeniem. Czyli mamy do czynienia z ciągiem przyczyn i skutków:

przetwarzanie -> naruszenie rodo -> lub również naruszenie odo (skutek/przyczyna) -> naruszenie praw lub wolności (szkoda, krzywda, ostateczny skutek)

Tę analizę ryzyka wynikającą z przetwarzania należy odróżnić od analizy ryzyka wynikającego z naruszenia odo. Przy tej drugiej nie uwzględniamy już niepewności (prawdopodobieństwa) co do wystąpienia naruszenia odo, bo w tej kwestii jest już pewność, naruszenie odo nastąpiło, musimy zbadać jakie może mieć skutki (z jakim prawdopodobieństwem i wagą wystąpią) w postaci szkody lub krzywdy osoby, której dane dotyczą (naruszenie praw lub wolności osoby).

Matryca ryzyka

Z iloczynu tych wartości powstaje tzw. matryca ryzyka, przez różne organy nadzorcze widziana inaczej. Przykładowo polski organ nadzorczy nawet przy małym prawdopodobieństwie proponuje ustalić ogólne ryzyko na poziomie „wysokie”, jeśli parametr wagi ryzyka jest wysoki, czyli nieakceptowalne. Przy czym organ nie narzuca takiej miary a jedynie ją proponuje, zaznaczając że możliwe są różne podejścia.

Inne podejście prezentuje brytyjski organ nadzorczy ICO, który przy małym prawdopodobieństwa zawsze identyfikuje ogólne ryzyko na poziomie „niskie”, nawet jeśli parametr wagi jest na poziomie wysokim. Jest to zgodne z powszechnymi intuicjami w życiu codziennym, ponieważ ludzie akceptują nawet krytyczny (ostateczny) skutek, jeśli wiedzą że prawdopodobieństwo jest małe. Wydaje się że to podejście bardziej przystaje do analizy ryzyka również na gruncie rodo.

Przykład:

ryzyko szkody: śmierć w wypadku samochodowym;

(zagrożenie: naruszenie przepisów o ruchu drogowym, przekroczenie prędkości)

parametr wagi (dotkliwości): wysoki;

parametr prawdopodobieństwa: małe;

ogólne ryzyko: niskie.

Wydaje się że prawidłowe podejście leży pośrodku. Mianowicie jeśli prawdopodobieństwo jest małe ale waga wysoka należy zidentyfikować ryzyko co najmniej średnie.

W obszarze bezpieczeństwa należy wyróżnić dwie operacje, które mają charakter interdyscyplinarny w tym sensie że uczestniczą w niemal każdym procesie: przechowywanie i przesyłanie danych. Operacje te są wyróżnione w samym rodo:

12) „naruszenie ochrony danych osobowych” oznacza

naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

Dla tych operacji powinna być przeprowadzona odrębna analiza ze szczególnym uwzględnieniem aktywów uczestniczących w tych operacjach, gdzie rozważyć trzeba jakie te aktywa aktualnie mają zabezpieczenie i czy powinny być uzupełnione o dodatkowe.

Dodatkowe elementy analizy II stopnia

Czyli ocenić ryzyko trzeba na etapie analizy ryzyka I stopnia. Jeśli z tej analizy wyjdzie nam wysokie ryzyko z dużym prawdopodobieństwem, sięgamy do art. 35 ust. 7 rodo i patrzymy, jak ma wyglądać analiza ryzyka II stopnia, o jakie dodatkowe elementy ma być wzbogacona.

(…) 7. Ocena zawiera co najmniej:

a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz

d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy. (…)

Element z lit. c, ocenę ryzyka oczywiście musi zawierać już ocena ryzyka I stopnia, element z lit. a, systematyczny opis operacji, chociaż nie jest wyraźnie wymagany, to też trudno sobie wyobrazić dokonanie rzetelnej oceny I stopnia nie wiedząc jak przebiega operacja np. zbierania danych czy manualnie, czy przez e-mail czy dedykowaną stronę www itd., należy wiec uznać że też jest konieczny na etapie analizy I stopnia.

Dwa elementy stanowiące istotę oceny skutków

Pozostają więc dwa parametry spod lit. b oraz d, które stanowią istotę oceny skutków dla ochrony danych, która to procedura jest po prostu kolejną iteracją (powtórzeniem) analizy ryzyka I stopnia wzbogaconym o te dwa elementy, a ma celu zmitygować ujawnione lub domniemane wysokie ryzyko.

Domniemanie wysokiego ryzyka może wynikać z okoliczności zawartych w art. 35 ust. 3 i 4 rodo (okoliczności i rodzaje operacji podane w rodo i komunikacie organu nadzorczego), to domniemanie jakkolwiek wzruszalne, wymaga sprawdzenia czy w konkretnym wypadku występuje wysokie ryzyko przy wykorzystaniu oceny ryzyka II stopnia. Oczywiście ocena ta nie będzie miała elementu z lit. d (planowane środki w celu zaradzeniu ryzyku) jeśli już istniejące środki powodują, że ryzyko jest niskie, wbrew domniemaniu.

Jak widać z powyższego organizacja, która ze względu na rozmiar swojego działania, powinna dokonać szczegółowej analizy ryzyka (UODO dopuszcza różną szczegółowość metodyki w zależności od ogólnie mówiąc potencjału danej organizacji), ma znacznie mniej pracy przy procedurze DPIA, ponieważ uzupełnia analizę ryzyka I stopnia jedynie o dwa elementy:

  • uzasadnienie proporcjonalności i niezbędności operacji – art. 35 ust. 7 lit. b rodo
  • wskazanie środków redukujących wysokie ryzyko – art. 35 ust. 7 lit. d rodo.

Metodologia ENISY

Przydatnym dokumentem do wykorzystania w analizie ryzyka jest metodologia ENISY.