Kiedy IOD może samodzielnie wykonać analizę ryzyka?
O zakres obowiązków inspektora toczą się zażarte dyskusje. Przed obowiązywaniem przepisów RODO, to administrator bezpieczeństwa informacji (protoplasta IOD), realizował większość obowiązków administratora. Przygotowywał, a nawet nadawał upoważnienia, przeprowadzał audyty i realizował zalecenia (w stopniu, w jakim było to możliwe), szacował ryzyka, prowadził ewidencję zbiorów danych. Bardzo trudno po latach przyzwyczajeń, zarówno inspektora, który był ABI, jak i administratora danych, zmienić przyzwyczajenia. Nagle okazało się, że jednym z głównych zadań inspektora jest zmuszenie administratora danych, do zrealizowania działań, wymaganych przepisami prawa. Ponadto administrator wyznaczając IOD, a zatem ponosząc określone koszty jego funkcjonowania w organizacji, ma przekonanie iż nie musi się już martwić o ochronę danych osobowych.
Odrębną kwestią jest to, że administrator zazwyczaj nie potrafi wywiązać się z większości obowiązków wskazanych w RODO, więc potrzebuje wsparcia inspektora. I tak zaczynają się tarcia, jak powinno wyglądać to wsparcie i jaki powinien być udział IOD. Zgodnie z art. 39 RODO, do zadań inspektora należy doradzanie administratorowi. Pytanie brzmi, czy przeprowadzenie analizy ryzyka, to jeszcze doradzanie, czy już działanie realizowane za ADO, tym samym naruszenie niezależności inspektora i przepisów RODO (art. 38 ust. 6). I moim zdaniem nie da się jednoznacznie odpowiedzieć, bazując jedynie na przepisach. Nawet w literaturze pojawiają się bardzo rozbieżne stanowiska, gdzie raz rola IOD ogranicza się do przypominania i mówienia, jak coś zrobić; a innym razem wykonania działania po konsultacji z personelem.
Analiza ryzyka jest trudna, jednak jest niesamowicie przydatnym narzędziem. Nim dłużej zajmuję się kwestiami bezpieczeństwa informacji, tym mocniej doceniam to narzędzie. Jednak na początku była to „droga przez mękę”. Bazując na moich doświadczeniach, mogę stwierdzić, że administrator samodzielnie nie przeprowadzi analizy ryzyka dla ochrony danych osobowych. Nawet jeśli w organizacji jest wiedza w zakresie analizy ryzyka, to zastosowanie standardowej metodyki, może dać przekłamane wyniki. Przede wszystkim dlatego, że skupia się na stratach dla organizacji (często jedynie finansowych), a w przypadku analizy dla ochrony danych, należy jeszcze wziąć pod uwagę dotkliwość skutków dla osoby, której dane dotyczą. I ponownie jest to dziedzina, w której inspektor odnajduje się doskonale, jednak personel administratora może mieć problem ze stwierdzeniem poziomu dotkliwości. Wniosek nasuwa się sam: nie da się przeprowadzić analizy ryzyka dla ochrony danych bez czynnego udziału inspektora. W praktyce będzie raczej tak, że inspektor będzie inicjował i zarządzał procesem, a personel udzielał mu niezbędnych informacji. Może też być tak, że pracownicy wypełnią tabelki, a inspektor zbierze ich analizę w „jedną całość”.
Jednak czy może IOD może przeprowadzić analizę samodzielnie nie powodując konfliktu interesów, bez udziału pracowników?
Moim zdaniem tak. Jest to możliwe w przypadku oparcia procesu analizy na sprawozdaniu z audytu. W takim wypadku analiza powinna obejmować tylko te obszary, które były weryfikowane i odwoływać się do ustalonego stanu faktycznego. Proces audytu i analizy ryzyka dla ochrony danych osobowych jest podobny w zakresie uzyskiwania informacji od personelu oraz określania niezgodności z RODO. W zasadzie już podczas audytu inspektor identyfikuje ryzyka dla ochrony danych. Jest też w stanie na podstawie ustaleń z personelem oraz własnego doświadczenia, stwierdzić poziom prawdopodobieństwa materializacji zdarzenia i dotkliwość skutków. Zalecenia z audytu będą też zbieżne z zaleceniami w zakresie mitygowania ryzyka wskazanymi w analizie. Co ciekawe, przeprowadzając analizę ryzyka po przeprowadzonym audycie, inspektor ponownie dokonuje oceny stanu faktycznego i może się zdarzyć, że zidentyfikuje konieczność zalecenia dodatkowych zabezpieczeń. Taka analiza ryzyka będzie skuteczna i przeprowadzona w oparciu o stan faktyczny ochrony danych osobowych u administratora. Od strony technicznej zostanie wykonana tylko przez inspektora, co może budzić zastrzeżenia, jednak przyglądając się temu procesowi, należy stwierdzić, że jest to obiektywna analiza, gdyż przeprowadzono ją w oparciu o audyt zgodności z RODO, a nie „przemyślenia” inspektora, który w wolnej chwili usiadł sobie do tabelek z analizą ryzyka. Uważam zatem za naturalne połączenie procesu audytu z analizą ryzyka oraz wykonywanie jednego po drugim. W idealnym świecie IOD powinien omówić wykonaną analizę z personelem, aby upewnić się, że nie ma w niej pomyłek. I co ważne, po wdrożeniu zaleceń z audytu, można będzie dokonać ponownego oszacowania ryzyka, aby stwierdzić na ile zaproponowane środki zaradcze, okazały się skuteczne. Może okazać się, że analiza ryzyka wykaże konieczność podjęcia dodatkowych działań.
Odniosę się jeszcze do kwestii samej metodyki szacowania ryzyka. Polecam wybrać taką metodę, która umożliwia „sprawne” określanie poziomu ryzyka. Czyli jeśli zaczynamy „główkować”, to jest znak, że może ta metoda nie pracuje najlepiej. Sama też od dłuższego czasu wpisuję w tabelę analizy informacje, które stanowiły podstawę do określenia prawdopodobieństwa zdarzenia oraz dotkliwości skutków, jak zastosowane zabezpieczenia, wnioski z audytu, odnotowane dla danego ryzyka naruszenia w przeszłości. To pozwala nie tylko obiektywnie ustalić wskaźniki, ale także wytłumaczyć się z przyjętych wartości.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia?Napisz do mnie
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
