Analiza ryzyka przetwarzania danych osobowych

I. Kontekst

Ustawa z dnia 22 lipca 2022 r. (t.j. Dz.U. z 2023 r. poz. 1287) o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich, znowelizowana ustawą z dnia 26 maja 2023 r. o zmianie ustawy - kodeks rodzinny i opiekuńczy oraz niektórych innych ustaw (t.j. Dz. U. z 2023 r. poz. 1226) wprowadza obowiązek wdrożenia standardów ochrony małoletnich (dalej: SOM). Obowiązek ten dotyczy.: "organów zarządzających jednostkami systemu oświaty (przedszkoli, szkół i schronisk młodzieżowych) oraz innych placówek oświatowych, opiekuńczych wychowawczych, resocjalizacyjnych, religijnych, artystycznych, medycznych, rekreacyjnych, sportowych lub związanymi z rozwijaniem zainteresowań, do których uczęszczają albo, w której przebywają małoletni, a także organizatorów tychże działalności oraz podmioty świadczące usługi hotelarskie, turystyczne czy prowadzące inne miejsca zakwaterowania zbiorowego." Komunikat Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) z dnia 15 sierpnia 2023 r. (https://uodo.gov.pl/pl/138/2505).

Wymienione placówki miały do 1 stycznia 2024 czas na wprowadzenie standardów pracy i postępowania z dziećmi. Pracodawca lub inny organizator działalności zobowiązany jest do sprawdzenia czy dane przyszłego pracownika lub osoby dopuszczanej do działalności są zamieszczone w Rejestrze Sprawców Przestępstw na Tle Seksualnym z dostępem ograniczonym, lub w Rejestrze osób w stosunku, do których Państwowa Komisja do spraw przeciwdziałania wykorzystaniu seksualnemu małoletnich poniżej lat 15 wydała postanowienie o wpisie w Rejestrze. Nowe wymogi dotyczą też opiekunów oraz wolontariuszy, którzy mają kontakt z dziećmi. Pracodawca musi uzyskać także zaświadczenie o niekaralności z Krajowego Rejestru Karnego (KRK), a w przypadku obcokrajowców – z rejestrów karnych państw, w których mieszkali w ostatnich 5 latach. Katalog przestępstw przedstawił Prezes UODO w ww. komunikacie: "Dotyczy to przestępstw o charakterze seksualnym, przestępstw przeciwko życiu i zdrowiu (np. pobicie, spowodowanie uszczerbku na zdrowiu), przestępstwa znęcania się, przestępstwa handlu ludźmi, przestępstw z ustawy o przeciwdziałaniu narkomanii lub informacji o odpowiadających tym przestępstwom czynach zabronionych określonych w przepisach prawa obcego." Ustawa "Lex Kamilek" wprowadza szereg nowych regulacji dotyczących ochrony małoletnich, co niesie potencjalne zagrożenia dla ochrony danych osobowych.

W kontekście wdrażania SOM pracodawca musi pamiętać, że przypadku, gdy operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych Administrator zobowiązany jest przeprowadzić ocenę skutków dla ochrony danych (DPIA). Dotyczyć może to w szczególności takich Administratorów, którzy przetwarzają dane z katalogu art. 9 ust. 1 RODO.

II. Cel

Ustawa "Lex Kamilek" wprowadza szereg nowych regulacji dotyczących ochrony małoletnich, co niesie szereg zagrożeń dla ochrony danych osobowych. Określenie potencjalnych zagrożeń związanych z przetwarzaniem danych osobowych, szczególnie w odniesieniu do osób pracujących z nieletnimi. Ustawa dotyczy m.in. przetwarzania danych o karalności, dlatego ważne jest, aby zidentyfikować miejsca, gdzie może dojść do wycieku danych, nadużyć, czy błędnego przetwarzania. Na podstawie analizy ryzyka formułuje się zalecenia dotyczące środków technicznych i organizacyjnych, które należy wdrożyć, aby to ryzyko zminimalizować.

III. Analiza ryzyka - metodyka

Określanie poziomu ryzyka polega na przypisaniu danemu zagrożeniu prawdopodobieństwa oddziaływania oraz ustaleniu wpływu materializacji zagrożenia na:

1) dostępność systemu lub informacji,

2) integralność systemu lub informacji,

3) poufność informacji przetwarzanej w systemie,

4) rozliczalności informacji, a następnie wyznaczeniu poziomu ryzyka.

Do oszacowania analizy ryzyka zgodnie z art. 32 RODO wykorzystana będzie macierz opracowana i przygotowana przez Urząd Ochrony Danych Osobowych. W oparciu o ocenę prawdopodobieństwa wystąpienia oraz skutków uzyskuje się poziom istotności ryzyka utraty poufności, dostępności, integralności i rozliczalności danych. Przy ocenie skutków wystąpienia ryzyka brane są pod uwagę zarówno skutki finansowe, jak i niefinansowe, np. utrata reputacji, konsekwencje prawne, utrata szansy zrealizowania ważnego zadania, opóźnienie w realizacji zadań, obniżenie jakości pracy itp.

Poziom ryzyka wyznaczono według wzoru: R= P x S

gdzie:

R – poziom ryzyka (istotność)

P – wartość przypisana prawdopodobieństwu materializacji zagrożenia,

S – wartość skutków

Prawdopodobieństwo Wartość Opis

wystąpienia zagrożenia liczbowa

Prawie pewne 5 Przewiduje się, że zdarzenie z pewnością wystąpi w ciągu roku

Prawdopodobne 4 Przewiduje się, że zdarzenie objęte ryzykiem zdarzy się wielokrotnie w ciągu roku

Możliwe 3 Przewiduje się, że zdarzenie objęte ryzykiem zdarzy się kilka razy w ciągu roku

Mało prawdopodobne 2 Przewiduje się, że zdarzenie objęte ryzykiem zdarzy się dwa w ciągu roku

Rzadkie 1 Przewiduje się, że zdarzenie objęte ryzykiem zdarzy się raz się lub nie zdarzy się w ciągu roku

Wpływ Wartość Opis

zagrożenia liczbowa

Bardzo 5 Zdarzenie wywołuje krytyczny skutek. Skutki mogą prowadzi do wysokiego uszczerbku fizycznego, szkód majątkowych dla osób fizycznych. Zagrożenie ustawową karą pozbawienia wolności. Koszty kilkuset procesów sądowych (obsługa prawna, informacyjna, odszkodowania). Kontrole organów ścigania. Zdarzenie objęte ryzykiem powoduje brak realizacji kluczowych zadań albo osiąganie założonych celów – poważny uszczerbek w zakresie jakości wykonywanych zadań, poważna strata finansowa albo reputacji. Z wystąpieniem zdarzenia objętego ryzykiem wiąże się długotrwały i trudny proces przywracania stanu poprzedniego.

Wysoki 4 Zdarzenie wywołuje wysoki skutek. Skutki mogą prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych dla osób fizycznych, jednak nie są one wysokie. Wysokie ustawowe kary pieniężne. Koszt kilkudziesięciu procesów sądowych (obsługa prawna, informacyjna, odszkodowania). Kontrole i kary UODO. Zdarzenie objęte ryzykiem powoduje znaczną stratę posiadanych zasobów, ma negatywny wpływ na efektywność działania, jakość wykonywanych zadań, reputację jednostki Z wystąpieniem zdarzenia objętego ryzykiem może się wiązać trudny proces przywracania stanu poprzedniego.

Średni 3 Zdarzenie wywołuje średni skutek. Nałożenie kar ustawowych w dolnej granicy kary. Koszt nielicznych procesów sądowych (obsługa prawna, informacyjna, odszkodowania). Zdarzenie objęte ryzykiem powoduje niewielką stratę finansową, niewielkie zakłócenie lub opóźnienie w wykonywaniu zadań. Wpływa na reputację jednostki. Skutki zdarzenia można łatwo usunąć.

Niski 2 Zdarzenie wywołuje niski skutek. Szum medialny, np. z powodu ujawnienia danych niepodlegających ochronie prawnej. Zdarzenie objęte ryzykiem powoduje minimalną stratę finansową lub krótkotrwałe zakłócenia lub opóźnienie w wykonywaniu zadań. Nie wpływa na reputację. Skutki zdarzenia można łatwo usunąć.

Bardzo niski 1 Zdarzenie nie wywołuje żadnych skutków

Analiza ryzyka - tabela

Zagrożenie (źródło Zagrożony atrybut: Skutki wystąpienia Prawdopodobieństw Skutki Poziom Środki techniczne i Decyzja dotycząca ryzyka

ryzyka) poufność/integralność/dostępność ryzyka o istotności organizacyjne redukujące

Nadmierna ilość Poufność ● Naruszenie prywatności 2 3 Średni ● Zastosowanie anonimizacji lub ● zredukowane

przetwarzanych danych ● Trudności w zarządzaniu danym pseudonimizacji danych

● W przypadku kontroli UODO możliwość dane osobowe nie są potrzebne

nałożenia kar finansowych ● Automatyzacja procesów weryfikacji tożsamości

● Regularne audyty z ochrony danych osobowych