W czasach RODO uwydatniło się wyzwanie dla ryzyka IT związane z ochroną danych osobowych, rozumiane nie tylko jako ochrona firmy przed konsekwencjami związanymi z naruszeniem przetwarzania danych osobowych ale również jako ryzyko praw i wolności osób, czy inaczej ryzyko prywatności osób których dane przetwarzamy. Piszę o uwydatnieniu się wyzwania, bo nie są to kwestie nowe, jedynie wcześniej (przed RODO) nie były tak intensywnie eksponowane.

Tu jeszcze jedna kwestia – czym jest prywatność, ostatnio słyszałem wymowną kwintesencję tych słów – prywatność to nie imię i nazwisko, prywatność to coś co chcemy mieć dla siebie, być może ukryć, to np. choroba, czy nawet „dziura w skarpecie”. Czym zatem jest imię, nazwisko, adres email – to dane pozwalające zidentyfikować osobę. Czy trzeba zatem chronić dane identyfikujące konkretną osobę – trzeba, ponieważ kontekst użycia danych zidentyfikowanej osoby może naruszać prywatność. Np. jeżeli ktoś kupuje bilet na film pornograficzny, to naruszeniem prywatności będzie przede wszystkim ujawnienie informacji o fakcie zakupu biletu (kontekst) przez konkretną osobę.

Jak zatem widać, ryzyko praw i wolności osób jest niejako ryzykiem pośrednim dla firmy. Ryzyko to nie wynika wprost z faktu wystąpienia określonego zdarzenia. Natomiast konsekwencją samego zdarzenia np. wycieku informacji może być naruszenie prywatności naszych klientów, co może przekładać się na straty po naszej stronie. Np. możemy być narażeni na utratę reputacji, czy też możemy być zmuszeni do wypłaty odszkodowania, itd. Zagadnienie potencjalnych konsekwencji dla firm poruszę w jednym z kolejnych wpisów.

Teraz wróćmy do ryzyka w kontekście RODO, a przede wszystkim podejściu do analizy tego ryzyka oraz sposobów postępowania. RODO wymaga przeprowadzenia analizy, stajemy więc przed wyzwaniem wyboru metodyki szacowania ryzyka oraz narzędzia, które wspierałoby realizację analizy ryzyka i dokumentowanie wykonywanych działań. Wybrana metodyka powinna charakteryzować się z jednej strony skutecznością, a z drugiej powinna być możliwa do wdrożenia w organizacji. Ten drugi aspekt zazwyczaj oznacza, że metodyka powinna być stosunkowo prosta i najlepiej by była zaimplementowana w dostępnym dla organizacji narzędziu. W efekcie zależy nam na tym, by wdrożenie działań związanych z analizą ryzyka nie wymagały wysiłku organizacji większego, niż jest to absolutnie konieczne.

Biorąc pod uwagę powyższe, interesującym rozwiązaniem, które na pewno warto brać pod uwagę jest metodyka opracowana przez francuski organ nadzorczy CNIL, która jest elementem wytycznych CNIL odnośnie realizacji PIA (Privacy Impact Assessment) lub inaczej DPIA (Data Protection Impact Assessment) [edytowane: metodyka dostępna również w języku polskim].  Głównym elementem przewagi tej metodyki jest gotowe narzędzie implementujące metodykę – Aplikacja PIA. Aplikacja PIA jest aplikacją francuskiego organu nadzorczego CNIL, która ma na celu pomóc administratorom danych osiągnąć i wykazać zgodność z RODO. Pomaga należycie przeprowadzić ocenę skutków dla ochrony danych, ułatwiając skorzystanie z metodyki PIA opracowanej przez CNIL. W szczególności, narzędzie pomaga w oszacowaniu ryzyka związanego z analizowanymi czynnościami przetwarzania danych. Cechy wyróżniające Aplikację PIA obejmują:

1. kompleksowe udokumentowanie oceny skutków dla ochrony danych, w kontekście przepisów RODO. Aplikacja umożliwia udokumentowanie zarówno spełnienia wymagań RODO (compliance), jak i przeprowadzonej analizy ryzyka dla konkretnej czynności przetwarzania;
2. kompletne narzędziem do zebrania i zaprezentowania informacji o PIA, włącznie z obrazem ryzyka, mapą analizy ryzyka jak i planami działania;
3. udokumentowanie akceptacji i konsultacji PIA.
4. narzędzie dystrybuowane na podstawie licencji GNU GPL v3.0 – co czyni go darmowym do użytku prywatnego i komercyjnego;
5. narzędzie w wersji 1.6.3 jest w pełni zlokalizowane na język polski, tłumaczenie zweryfikowane przez Urząd Ochrony Danych Osobowych.

Poznaliśmy zalety Aplikacji PIA, ale nie zawsze jest to optymalny wybór, podchodząc do wyboru metodyki analizy ryzyka musimy wziąć pod uwagę aktualny sposób realizacji procesów związanych z ryzykiem. Typowe sposoby podejścia to:

1. Firma nie stosuje sformalizowanego podejścia do analizy ryzyka – praktycznie zarządzanie ryzykiem jest realizowane nieformalnie i na bieżąco.
2. Firma stosuje sformalizowaną metodę analizy ryzyka, wspiera ją przy pomocy narzędzia (choćby w arkuszu kalkulacyjnym), ale kierownictwo firmy nie jest zadowolone z osiąganych wyników.
3. Firma stosuje sformalizowaną metodę analizy ryzyka, wspiera ją przy pomocy narzędzia i decydenci są zadowoleni z osiąganych wyników.
4. Firma stosuje zaawansowane rozwiązania do zarządzania i analizy ryzyka (np. GRC), decyzje w firmie są podejmowane bazując na ryzyku.

Na podstawie przedstawionych podejść, dobór narzędzia powinien być rozpatrywany pomiędzy rozwijaniem posiadanych procesów, metod i narzędzi, a wdrażaniem nowych, np. takich jak Aplikacja PIA. Możliwe podejście do wyboru narzędzia przedstawia poniższy diagram.

Użycie Aplikacji PIA jest właściwe do zapewnienia zgodności z wymogami RODO w sytuacji braku narzędzi wspierających dla tych czynności. Niemniej, dla firm średnich i dużych w przypadku wyboru takiego rozwiązania powinien być to tylko przystanek do wdrożenia pełnego wsparcia przy zarządzaniu ryzykiem i realizacji DPIA, najlepiej z użyciem rozwiązania klasy GRC.