Szacowanie ryzyka w świetle RODO – ujęcie praktyczne.

Szacowanie ryzyka w świetle RODO – ujęcie praktyczne.

Szacowanie ryzyka dla ochrony danych osobowych ma znacznie więcej wspólnego ze zdrowym rozsądkiem, niż to by się mogło na pozór wydawać. Oczywiście – dla wielu problemem będzie kwestia udokumentowania tego działania, i to faktycznie można poczytywać za dodatkowy formalizm – jednak samo udokumentowanie można, a nawet powinno się ograniczyć do niezbędnego minimum.

Przeszkodą, która może dodatkowo zniechęcać do szacowania ryzyka jest zawiły język przepisów, z których ten obowiązek wynika – w szczególności chodzi o art. 24-25, 32, 33 oraz 35 RODO. Choć przepisy nie są sformułowane w sposób łatwy w odbiorze, to wynika z nich kilka wniosków, które można sformułować w dość zwięzły sposób.

Kilka rodzajów szacowania ryzyka

Często jest niedostrzegane, że RODO wyróżnia trzy rodzaje szacowania ryzyka:

 • wstępne, ogólne (dotyczy ono całokształtu działalności i wszystkich operacji przetwarzania), wynika z art. 24 oraz 32 RODO
 • zaawansowane, dokonywane w trybie art. 35 RODO a więc „ocena skutków dla ochrony danych”, z ang. „DPIA” czyli „data protection impact assesment”,
 • następcze, związane z zakwalifikowaniem naruszenia ochrony danych w trybie art. 33 RODO, od dwóch poprzednich różni się tym, że nie dotyczy hipotetycznej sytuacji, a zdarzenia już stwierdzonego (chodzi o ustalenie, czy jest mało prawdopodobne by naruszenie skutkowało ryzykiem naruszenia praw lub wolności, lub czy zachodzi wysokie ryzyko naruszenia praw lub wolności).

Poniższa część dotyczy wyłącznie pierwszego rodzaju szacowania ryzyka – czyli tego, które dotyczy wszystkich administratorów danych lub podmiotów przetwarzających (DPIA z art. 35 dotyczy tylko niektórych sytuacji, a obowiązek z art. 33 aktualizuje się wyłącznie w przypadku stwierdzenia naruszenia).

Ogólne szacowanie ryzyka

Samo szacowanie ryzyka nie jest pojęciem „wymyślonym” przez RODO – to raczej w rozporządzeniu zapisano je tak, by odzwierciedlało pewne uniwersalne zasady, wyrażone już np. w normie ISO 27005 dotyczącej szacowania ryzyka dla bezpieczeństwa informacji. W największym skrócie można ująć to w ten sposób, że należy ustalić:

 • w stosunku do czego będzie szacowane ryzyko (zasób, aktywo)
 • jaka jest jego wartość, tzn. jakie informacje są z jego użyciem przetwarzane
 • od czego zależy bezpieczeństwo tego zasobu (aktywa wspierające)
 • jakie są podatności (słabości, „pięty achillesowe”) tych aktywów wspierających
 • jakie są zagrożenia, które mogą te podatności wykorzystać oraz źródła tych zagrożeń
 • jaka będzie dotkliwość realizacji konkretnych zagrożeń dla osób, których dane są przetwarzane (w zakresie utraty dostępności, poufności i integralności)
 • jakie jest prawdopodobieństwo realizacji konkretnych zagrożeń
 • jaki jest wynik skorelowania dotkliwości z prawdopodobieństwem (to właśnie to działanie daje ustalony poziom ryzyka)
 • jakie są możliwe działania w celu eliminowania lub ograniczania stwierdzonych podatności
 • jaki jest ostateczny plan postępowania z ryzykiem, czyli konkretne działania,      w konkretnym czasie, wykonywane przez konkretne osoby

Praktyczne przykłady

Czym jest szacowanie ryzyka w praktyce? To np. przeniesienie serwerowni z pomieszczenia, w którym znajdował się przeciekający grzejnik. W tym przypadku zasobem jest to, co znajdowało się na serwerze, aktywami wspierającymi pomieszczenie, grzejnik, a podatnościami samo umiejscowienie grzejnika oraz jego stan techniczny. Efekt szacowania ryzyka w tym przypadku mógłby też polegać np. na likwidacji grzejnika w tym miejscu.

Innym przykładem może być zmiana przeznaczenia pomieszczenia, które do tej pory było wykorzystywane zarówno na archiwum akt pracowniczych, jak i na miejsce, w którym pracownicy mogli zmieniać odzież roboczą przed wejściem na hale produkcyjną – brzmi to absurdalnie, ale to o wyeliminowanie właśnie takich absurdalnych sytuacji chodzi w pierwszym rzędzie. Przy szacowaniu ryzyka dla bezpieczeństwa danych osobowych zdrowy rozsądek to więcej niż połowa sukcesu.

W jeszcze innym przypadku efektem szacowania ryzyka będzie zmiana stanowiska biurowego dla pracownika, który w ramach swoich obowiązków przyjmuje wnioski   o pomoc z ZFŚS, często zawierające w uzasadnieniu opis swojej sytuacji rodzinnej, majątkowej, zdrowotnej itd. – jeżeli pracownik, który przyjmuje te pisma pracuje na samym środku wielkiej hali, na której obok pracuje kilkudziesięciu innych pracowników w ramach „open-space” – nie trzeba mieć wielkiej wyobraźni, by dostrzec, że naruszenie poufności poprzez np. „shoulder-surfing” jest nieuniknione.

Jeżeli np. firma umieściła dla pracowników na hali produkcyjnej terminale do wprowadzania i obsługi informacji o urlopach, zwolnieniach oraz innych tego rodzaju sprawach, w ramach szacowania ryzyka powinno  się uwzględnić ich umiejscowienie, np. mogą być one skierowane monitorami do środka hali (niedobrze), lub w stronę ściany (lepiej).

Jeżeli w swojej firmie mamy recepcję, przez którą ze swojej natury mogą przechodzić „osoby z ulicy”, powinniśmy uwzględnić fakt, że osoba, która obsługuje recepcję czasem będzie ją opuszczać np. żeby pójść do toalety, po kanapkę itd. Co z tego wynika? Że „w zasięgu ręki” interesanta nie powinny się znajdować dokumenty, do których nie powinien mieć on dostępu.

To wszystko są rzeczy, które wydają się oczywiste – powyższe sytuacje są jednak wzięte z codziennej praktyki, a zostały spowodowane właśnie tym, że nikt na takie aspekty nie zwracał wcześniej uwagi.

Dokumentowanie

Dokumentowanie polega na odnotowaniu, jakie zasoby, aktywa wspierające, podatności, scenariusze zagrożeń uwzględniliśmy, oraz wedle jakich kryteriów ustaliliśmy dotkliwość oraz prawdopodobieństwo – oczywiście, wiele elementów będzie tu subiektywnych, należy jedynie pamiętać o tym, by stosować powtarzalną metodologię, tzn. by istniały ustalone kryteria, wedle których powyższe rzeczy będziemy oceniać.

Dodaj komentarz