Jak często należy przeprowadzać analizę ryzyka?

Jeden z czytelników bloga zapytał, z jaką częstotliwością należy robić analizę ryzykę przetwarzania danych osobowych w niedużej firmie usługowej. Na to pytanie, nie ma jednoznacznie poprawnej odpowiedzi. Prawda jest taka, że tylko od Was zależy jak często będziecie to robić, bo żaden przepis o ochronie danych nie obliguje administratora danych do przeprowadzania analizy ryzyka z określoną częstotliwością (*jednak należy pamiętać, że mogą być przepisy sektorowe, odnoszące się nie bezpośrednio do ochrony danych, a do bezpieczeństwa informacji, które nakładają obowiązek przeprowadzania analizy ryzyka dla bezpieczeństwa informacji, np. raz do roku).

W analizie ryzyka istotne jest to, że musi ona stanowić punkt wyjścia do doboru odpowiednich środków technicznych i organizacyjnych ochrony danych (art 32 RODO). I w zasadzie dopóki jest dobrze, to jest dobrze. Oznacz to, że dopóki nie ma u nas naruszenia, można powiedzieć że nic nie musimy robić, bo wszystko działa prawidłowo i nikt nam nie może nam zarzucić, że coś zrobiliśmy źle.

Natomiast, gdyby doszło do naruszenia, to oczywiście będzie weryfikowana należyta staranność administratora, czyli czy faktycznie odpowiednio dobrał środki ochrony danych do zidentyfikowanych ryzyk i zagrożeń. I oczywiście, czy w ogóle zidentyfikował jakieś ryzyka, a także w jaki sposób przeprowadził tę analizę.

W związku z tym polecałabym Wam jednak, żebyście co jakiś czas przeprowadzili analizę ryzyka i ją udokumentowali, chociażby po to, żeby w przy materializacji ryzyka być w stanie udowodnić, że tę należytą staranność w doborze środków wykazaliście. Przyjętą (nieoficjalnie) zasadą jest przeprowadzania analizy raz na rok, tak samo jak zrobienie audytu w zakresie ochrony danych osobowych, i myślę że taka częstotliwość jest odpowiednia. Podobnie analizy ryzyka będzie wymagało każde naruszenie (bo zmaterializowało się ryzyko, więc niezbędny jest plan naprawczy) oraz zmiana procesu przetwarzania lub nowy proces przetwarzania (privacy by design).

Sposób udokumentowania analizy ryzyka dla ochrony danych robionej pod przepisy RODO może być dowolny. W małej firmie może to być notakta z procesu myślowego. W większych organizacjach lepiej zastosować bardziej profesjonalne metody jakościowe i ilościowe, które umożliwiają obiektywne szacowanie ryzyka.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie