RODO w pigułce cz. 5 – Szacowanie ryzyka

| Danuta Gogolińska-Gajda
szacowanie ryzyka RODO

Zgodnie z RODO, każdy podmiot zobowiązany jest do samodzielnej oceny ryzyka, jakie przetwarzanie danych osobowych może spowodować dla praw oraz wolności osób, których te dane dotyczą. Jednak RODO nie wskazuje konkretnej metody przeprowadzenia oceny w tym zakresie, a podmiot dokonując oceny musi uwzględnić wiele specyficznych czynników.

Szacowanie ryzyka

Każdy podmiot, który w jakikolwiek sposób przetwarza dane osobowe, narażony jest na wpływ zarówno czynników zewnętrznych jak i wewnętrznych. Czynniki te mogą spowodować naruszenie bezpieczeństwa, które może prowadzić do przypadkowego bądź niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych, które są przez podmiot przesyłane, przechowywane bądź też w inny sposób przetwarzane. Stan taki nazywany jest „ryzykiem”, ponieważ istnieje możliwość niezrealizowania założeń podmiotu w wyniku zajścia wyżej określonych zdarzeń.

Zgodnie z wytycznymi RODO każdy podmiot zobowiązany jest do dokonania samodzielnej oceny w zakresie możliwego ryzyka. Jednocześnie każdy podmiot musi uwzględnić wiele specyficznych czynników obejmujących: wielkość, strukturę organizacyjną, możliwości techniczne, jak również zakres i rodzaj danych oraz cel w jakim te dane są przetwarzane. Szacowanie i ocena ryzyka ma na celu zdefiniowanie prawdopodobieństwa wystąpienia określonych rodzajów ryzyka oraz określenie wartości możliwych strat. Inaczej mówiąc szacowanie ryzyka ma na celu określenie, co może się zdarzyć (kiedy, gdzie, jak oraz dlaczego) oraz jak dotkliwe będą tego konsekwencje.

Metody szacowania ryzyka

Nie ma jednej, uniwersalnej dla wszystkich podmiotów metody szacowania ryzyka. Najpopularniejszymi metodami identyfikacji, analizy i oceny ryzyka są metody eksperckie obejmujące listę pytań kontrolnych, metodę delficką oraz metody heurystyczne obejmujące metodę scenariuszy czy metodę burzy mózgów. Należy mieć na uwadze, że każda z wymienionych metod ma swoje wady i zalety, w związku z czym będzie lepiej lub gorzej sprawdzała się w przypadku konkretnego podmiotu. W związku z tym każda organizacja, biorąc pod uwagę obszar swojej działalności, wielkość i kulturę bezpieczeństwa, musi stworzyć własną metodę, która będzie najlepszą dla niej.

Na stronie GIODO znaleźć można dwa poradniki: „Jak zrozumieć podejście oparte na ryzyku według RODO?” i „Jak stosować podejście oparte na ryzyku?”. Poradniki zawierają wiele cennych informacji na temat podejścia opartego na ryzyku i jego szacowaniu, jak również przedstawiają możliwe działania mające na celu przeprowadzenie ogólnej i szczegółowej oceny ryzyka.