Uproszczona metodyka analizy ryzyka przetwarzania danych osobowych

Uproszczona metodyka analizy ryzyka

Uwaga 1. Metodyka wymaga uprzedniego określenia minimum trzech poziomów bezpieczeństwa danych i środków składających się na te poziomy.

Uwaga 2. Metodyka nadaje się do mikroprzedsiębiorców, małych przedsiębiorców i ewentualnie do średnich przedsiębiorców. Nie nadaje się do dużych przedsiębiorców.

1. Postanowienia ogólne

1.1. Niniejsza metodyka stanowi załącznik do Polityki ochrony danych. W celu określenia rekomendowanych minimalnych poziomów bezpieczeństwa danych posługujemy się niżej przedstawioną uproszczoną metodyką analizy ryzyka danych osobowych.

1.2. Z zastrzeżeniem pojęć zdefiniowanych w treści niniejszego dokumentu, pojęcia pisane z dużej litery mają znaczenie nadane im w Polityce.

1.3. Definicje:

1.3.1. Metodyka – oznacza niniejszy dokument stanowiący podstawę do przeprowadzenia uproszczonej metodyki analizy ryzyka danych osobowych.

1.3.2. Polityka – oznacza przyjętą w organizacji Politykę ochrony danych.

2. Ryzyko przetwarzania danych osobowych

2.1. Na potrzeby Metodyki ryzyko przetwarzania danych osobowych jest rozumiane jako ryzyko naruszenia praw lub wolności osób fizycznych przy przetwarzaniu danych osobowych. Przyjmuje się, że ryzyko przetwarzania danych osobowych ma dwa wymiary:

2.1.1. ryzyko nieupoważnionego dostępu lub wykorzystania danych osobowych (ryzyko naruszenia poufności), oraz

2.1.2. ryzyko niemożności wykorzystania danych w sposób przewidziany (ryzyko niedostępności danych i ryzyko wadliwości danych).

2.2. Przy szacowaniu ryzyka przetwarzania danych osobowych bierze się pod uwagę powagę potencjalne szkody dla osoby, zgodnie z motywem 75 preambuły RODO. Kwestia prawdopodobieństwa wystąpienia szkody jest uwzględniana w dalszej kolejności w sposób ilo- ściowy/statystyczny – tzn. w oparciu o skalę przetwarzania, zgodnie z logiką art. 35 i 37 RODO.

3. Założenia Metodyki

3.1. Na potrzeby ustalenia poziomów ryzyka oraz zastosowania Metodyki brane są pod uwagi następujące czynniki:

3.1.1. branża (sektor), w tym o ile jest możliwy do wyodrębnienia, podsektor;

3.1.2. klientela (kategorie danych);

3.1.3. skala przetwarzanych danych oraz dodatkowo:

3.1.4. wysokość przychodów (obroty).

3.2. Łącznie czynniki branży (podsektoru) i klienteli wskazują na ogólne ryzyko prowadzonej działalności dla praw i wolności osób, których dane są przetwarzane. W tym celu, w pierwszej kolejności jest określane punktowo ryzyko branży oraz analogicznie ryzyko kategorii danych, przyjmując skalę od 1 do 3. Następnie wyniki tej punktacji są sumowane i wskazują one na ogólny poziom ryzyka naruszenia praw lub wolności osób fizycznych dla prowadzonej działalności.

3.3. W dalszej kolejności ogólny poziom ryzyka prowadzonej działalności jest zestawiany ze skalą działalności, dając łączny poziom ryzyka dla naruszenia praw lub wolności osób fizycznych, przy przetwarzaniu danych osobowych, który dodatkowo przez administratora przeszacowany jest wzwyż w przypadku dużego obrotu.

3.4. Metodyka ustalania poziomów ryzyka jest określana dla czynności przetwarzania stanowiących główny przedmiot działalności administratora np. dla fryzjera - są to czynności przetwarzania właściwe dla fryzjera (obszar czynności wskazany dla fryzjera w rejestrze czynności przetwarzania), tj. umawianie wizyt, przechowywanie danych kontaktowych; dla podmiotów świadczących usługi gastronomiczne (obszar czynności wskazany dla gastronomii w rejestrze czynności przetwarzania) - są to czynności sprzedaży produktów lub usług własnych lub podmiotów trzecich, obsługi zamówień online lub inne wskazane dla tego obszaru.

3.5. Przyjmuje się, że ryzyko naruszenia praw i wolności dla czynności przetwarzania związanych z bieżącą działalnością organizacji (niestanowiących głównego przedmiotu działalności, tzw. core biznesu), tj. czynności przetwarzania z obszaru kadr, prowadzenia księgowości/rekrutacji lub bieżącej działalności, jest potencjalnie takie samo dla każdego rodzaju organizacji, i zostało ono zakwalifikowane do Poziomu I. Oznacza to, że Metodyka powinna znaleźć zastosowanie do czynności przetwarzania danych, które są wykonywane jako czynności związane z podstawową, zarobkową działalnością. Oczywiście według tego samego schematu można przeprowadzić bardziej uszczegółowioną analizę ryzyka, gdyby chcieli Państwo stosować inne poziomy bezpieczeństwa danych dla czynności przetwarzania zakwalifikowanych jako związane z bieżącą działalnością, np. dla danych pracowniczych.

3.6. Jeżeli określimy najwyższe potencjalne ryzyko i zastosujemy środki, które sprowadzają je do poziomu akceptowalnego, to jeśli te środki zostały zastosowane do wszystkich przetwarzanych przez nas danych, nie trzeba robić osobnej analizy ryzyka dla różnych typów danych (w szczególności dla danych pracowniczych).

4. Branża

4.1. Przyjmuje się, że branża, w której dochodzi do przetwarzania danych osobowych, ma wpływ na ryzyko przetwarzania danych osobowych. Dla przykładu, działalność sklepu spożywczego ma mniejsze ryzyko niż kancelaria prawna. Działalność szpitala ma wyższe ryzyko niż sklep odzieżowy. Przyjmujemy zatem, że poszczególne sektory gospodarki mają swoje „właściwe” / „natywne” ryzyko przetwarzania danych osobowych. W przypadku podmiotów wielobranżowych, gdy dane przetwarzane są tymi samymi zasobami (jak to zwykle bywa w przypadku mniejszych podmiotów), należy kierować się oceną ryzyka dla branży o najwyższym ryzyku właściwym. Gdy linie biznesowe są organizacyjnie i fizycznie rozdzielone, należy przeprowadzić dla nich odrębne oceny ryzyka.

4.2. Jeśli jest możliwe wyodrębnienie podtypu w ramach danej branży, należy ocenić na ile ten podtyp ma wpływ na ryzyko przetwarzania danych osobowych. Należy ocenić typ spraw, praktyki w ramach działalności. Dla przykładu, kancelaria specjalizująca się w rozwodach ma wyższe ryzyko przetwarzania danych osobowych, niż kancelaria windykacyjna, choć oba rodzaje działalności można zakwalifikować do branży prawniczej. Kancelaria adwokacka dla spraw gospodarczych ma mniejsze ryzyko danych osobowych niż firma prowadząca sprawy karne lub sprawy o odszkodowania. Również w tym miejscu uwzględniamy ryzyko kategorii danych, które przetwarzamy.

5. Klientela

5.1. Klientela, czyli osoby lub podmioty, do których kierujemy ofertę usług lub produktów, także wpływa na ryzyko przetwarzania danych osobowych. Określa ona bezpośrednio (gdy klientami są osoby fizyczne) lub pośrednio (gdy naszymi klientami są przedsiębiorcy) kategorie osób i danych, które są przedmiotem przetwarzania. Należy więc zwrócić uwagę na to, do jakich klientów skierowana jest oferta organizacji. W tym miejscu uwzględniamy ryzyko kategorii danych, które przetwarzamy, gdy nie wynika to bezpośrednio z branży. Szczególnie istotne jest to w przypadku sektorów „wsparcia” biznesu (księgowość, kadry, rekrutacja itp.). Dla przykładu, klientelą usług medycznych są pacjenci, a ramach tych usług przetwarzane są szczególne kategorie danych, w odróżnieniu od klientów sklepu internetowego, który w ramach kategorii danych zasadniczo przetwarza dane identyfikacyjne i adresowe, Różne jest zatem ryzyko naruszenia praw i wolności osób, których dane są przetwarzane, dla kategorii danych identyfikacyjnych i szczególnych kategorii danych dotyczących zdrowia. Dużo bardziej doniosłe i znaczące będzie ujawnienie danych objętych tajemnicą lekarską niż naszych danych identyfikacyjnych wykorzystywanych przy realizacji zamówień online.

6. Skala przetwarzania danych

6.1. Skala przetwarzanych danych, czyli liczba rekordów danych osobowych (liczba klientów, pacjentów, pracowników itp.), bezpośrednio przekłada się na ryzyko przetwarzania danych osobowych. Im więcej osób „przetwarzamy”, ale też im więcej osób po naszej stronie ma dostęp do danych, tym większe prawdopodobieństwo, że „coś pójdzie nie tak” oraz że wystąpią mniej prawdopodobne, ale bardziej dotkliwe w skutkach zdarzenia. Ryzyko naruszenia rośnie proporcjonalnie wraz ze wzrostem liczby (skali) przetwarzanych danych.

7. Wysokość przychodów

7.1. Możliwe, że nie ma związku przyczynowego pomiędzy tym, że zarabiamy więcej pieniędzy, a tym, że generujemy większe ryzyko przetwarzania danych osobowych. Uważamy jednak, że taka korelacja na ogół zachodzi, a co więcej, że im bogatsza firma (generująca wyższe przychody), tym jest większa tendencja, żeby przeciwko takiej firmie kierowane były roszczenia oraz działania kontrolne. Ponadto wysokość osiąganych przychodów jest pochodną skali prowadzonej działalności, a potencjalnie im wyższa skala działalności, tym większa liczba danych przetwarzamy. Dlatego wysokość przychodów uznajemy za czynnik mający wpływ na ryzyko przetwarzania danych.

8. Sposób ustalenia poziomów bezpieczeństwa

Krok 1 – Ryzyko branży

Określ poziom ryzyka branży w skali 1–3

Ryzyko branży

Poziom ryzyka	Niskie	Średnie	Wysokie
Jaki poziom ryzyka (dla praw i wolności, osób, których dane przetwarza) przetwarzania danych generuje nasza branża?	1	2	3

[Dokonując oceny, proszę wziąć pod uwagę nie tylko ogólnie branżę, lecz także charakter własnej działalności na tle branży]

= Poziom ryzyka branży 1 (ryzyko niskie) = Poziom ryzyka branży 2 (ryzyko średnie) = Poziom ryzyka branży 3 (ryzyko wysokie)

Przykład: Dla kwiaciarni ryzyko branży określmy jako niskie = Poziom 1; wprawdzie możemy przetwarzać dane adresowe klientów i skutki ich ujawnienia mogą być negatywne, ale rzadko kiedy są to informacje wrażliwe.

Krok 2 - Ryzyko klienteli

Określ ryzyko klienteli, mnożąc jego dwa wymiary – powagę ryzyka wycieku danych i powagę ryzyka niedostępności (lub niepoprawności danych)

Ryzyko klienteli (kategorii osób i danych)

	Jaki wpływ (jakie konsekwencje) na prawa i wolności osób, których dane przetwarzamy, miałoby naruszenie poufności danych (ich wyciek)?
Jaki wpływ (konsekwencje) na prawa i wolności osób, których dane przetwarzamy, miałaby niedostępności lub wadliwość danych?	Niskie	Średnie	Wysokie
Niskie 1	1	2	3
Średnie 2	2	4	6
Wysokie 3	3	6	9

Interpretacja wyników

wynik mnożenia (1, 2, 3) = jasnoszary = Poziom ryzyka klienteli 1 (ryzyko niskie) wyniki mnożenia (4, 6) = szary = Poziom ryzyka klienteli 2 (ryzyko średnie) wynik mnożenia (9) = ciemnoszary = Poziom ryzyka klienteli 3 (ryzyko wysokie)

Przykład: Zarówno ryzyko wycieku danych w sprawie zamówienia kwiatów, jak i ryzyko nieprawidłowości danych określmy jako niskie = Poziom 1. W praktyce informacje w sprawie zamówienia kwiatów rzadko są poufne oraz klienci zazwyczaj podają poprawne dane, więc ocena pozostaje na Poziomie 1.

Krok 3 - Ryzyko działalności

Określ ryzyko działalności mnożąc jego dwa wymiary ustalone w krokach 1 i 2 – ryzyko branży i ryzyko klienteli

Ryzyko działalności łącznie

	Ryzyko branży
Ryzyko klienteli	Niskie1	Średnie2	Wysokie3
Niskie 1	1	2	3
Średnie 2	2	4	6
Wysokie 3	3	6	9

Interpretacja wyników

wynik mnożenia (1, 2, 3) = jasnoszary = Poziom ryzyka klienteli 1 (ryzyko niskie) wyniki mnożenia (4, 6) = szary = Poziom ryzyka klienteli 2 (ryzyko średnie) wynik mnożenia (9) = ciemnoszary = Poziom ryzyka klienteli 3 (ryzyko wysokie)

Przykład: Dla kwiaciarni ryzyko branży określiliśmy jako Poziom 1, Ryzyko klienteli jako Poziom 1, iloczyn 1 x 1 to 1, więc ryzyko działalności kwiaciarni jest niskie = Poziom 1.

Krok 4 - Ryzyko skali przetwarzania

Określ ryzyko skali przetwarzania danych, mnożąc jego dwa wymiary – ilość osób, których dane przetwarzamy i ilość osób, którym dajesz dostęp do danych

Ryzyko skali(uwaga: na potrzeby art. 35 i 37 RODO parametry dla średniej skali dla danych szczególnych kategorii zaliczamy do dużej skali)

	Dane ilu osób przetwarzamy
Ilu osobom dajemy dostęp do danych (pracownicy + inne osoby upoważnione)	Mało (do 10 osób)	Średnio (do 100 osób)	Wysoko (dużo) (powyżej 100 osób)
Mało (do 2 osób)	1	2	3
Średnio (2 do 5 osób)	2	4	6
Wysokie (ponad 5 osób)	3	6	9

wynik mnożenia (1, 2) = jasnoszary = Poziom ryzyka skali 1 (ryzyko niskie) wyniki mnożenia (3, 4) = szary = Poziom ryzyka skali 2 (ryzyko średnie) wynik mnożenia (6, 9) = ciemnoszary = Poziom ryzyka skali 3 (ryzyko wysokie)

Przykład: Nasza kwiaciarnia ma mniej niż 2 osoby personelu i mniej niż 10 klientów rocznie (przyjmujemy, że 1 klient to przetwarzanie danych minimum 1 osoby: zamawiającego, osoby w bliskich stosunkach z klientem i odbiorcy). Realnie klientów będzie ok. 50. Ryzyko skali zatem wynosi 1 (niskie)

Krok 5 - Ryzyko przetwarzania danych

Określ ogólną wartość ryzyka przetwarzania danych, mnożąc jego dwa wymiary ustalone w krokach 3 i 4 – ryzyko skali i ryzyko działalności

	ryzyko skali
ryzyko działalności	Mała (1)	Średnia (2)	Wysoka (3)
Małe 1	1	2	3
Średnie 2	2	4	6
Wysokie 3	3	6	9

wynik mnożenia (1, 2, 3) = jasnoszary = Poziom ryzyka przetwarzania 1 (ryzyko niskie) Środki Bezpieczeństwa Danych Poziom 1 wyniki mnożenia (4, 6) = szary = Poziom ryzyka przetwarzania 2 (ryzyko średnie) Środki Bezpieczeństwa Danych Poziom 2 wynik mnożenia (9) = ciemnoszary = Poziom ryzyka przetwarzania 3 (ryzyko wysokie) Środki Bezpieczeństwa Danych Poziom 3

Przykład: Nasza kwiaciarnia ma Ryzyko skali 1 (niskie), ryzyko działalności 1 (niskie), więc iloczyn to 1. Wynik mieści się w Poziomie ryzyka przetwarzania danych 1 – czyli ryzyko niskie. Stosujemy środki bezpieczeństwa danych poziomu 1.

Krok 6 – Obrót i budżet na ryzko

Na końcu proszę odpowiedzieć sobie na pytanie

Jakie są nasze roczne obroty? 100 000 zł

Obroty roczne Małe Średnie Wysokie do 1 000 000 zł 1 000 001–5 000 000 zł 5 000 001–20 000 000 zł

Jeżeli Państwa obroty są Wysokie, to powinni Państwo rozważyć podwyższenie oceny ryzyka o jeden poziom.

Jeżeli Państwa obroty przekraczają 20 000 000 zł, należy rozważyć zastosowanie bardziej skomplikowanej metodyki.

Przykład: Nasza kwiaciarnia zarabia mało pieniędzy (poniżej 1 000 000 zł), więc zapewne obsługuje klientów o przeciętnych dochodach. To zmniejsza ryzyko przetwarzania – zarówno ryzyko wycieku, jak i ryzyko związane z utratą lub wadliwością danych, a także samo ryzyko wyrządzenia szkody przy przetwarzaniu danych.