RODO: Analiza ryzyka
- Na czym polega ryzyko w zakresie zbierania i przetwarzania danych osobowych klientów w związku z RODO?
- W jaki sposób przeprowadzić analizę ryzyka?
- Które procesy związane z przetwarzaniem danych klientów powinny mieć priorytet ochronny?
Poważne podejście do prowadzonego biznesu zakłada, że pewne bardziej lub mniej prawdopodobne zdarzenia próbujemy przewidywać wcześniej. Jeszcze bardziej zdroworozsądkowe jest minimalizowanie ryzyka ich wystąpienia. Tym samym, dobry menedżer dokona analizy ryzyk w obszarze ochrony danych osobowych i oceni skutki tego procesu. Tego bowiem wymaga nie tylko dobra praktyka zawodowa, ale i stabilna przyszłość funkcjonowania w branży, w której dane osobowe i ich przetwarzanie to codzienność.
RODO w sposób jasny wskazuje, kiedy należy dokonać oceny skutków dla ochrony danych osobowych. Szczególnie istotny staje się ten element, gdy używane są do tego nowe technologie czy rozwiązania analityczno-biznesowe. W dobie precyzyjnego profilowania, dokonywania wybiórczego i selektywnego kierunkowania oferty czy przygotowywania dystrybucji newsletterów opartych na preferencjach zakupowych klientów nie ulega wątpliwości, że taka ocena skutków dla ochrony danych (DPIA – Data Protection Impact Assessment) konieczna jest do przeprowadzenia.
Podejście oparte na ryzyku (Risk based approach) nie jest przy tym czymś nowym w biznesie. Owszem, wywołuje zdziwienie w przypadku wykorzystania tej metody do oceny skutków dla ochrony danych osobowych, ale powiedzmy sobie szczerze – przy tak ogromnej liczbie zbieranych i przetwarzanych danych pełne zamknięcie zbioru chronionego jest, szczególnie w pierwszej fazie zmiany, niemal niemożliwe do przeprowadzenia. Szczególnie w e-biznesie. Stąd więc konieczność dokonania analizy ryzyka niejako „na własną rękę”, bez gotowych wzorców ze strony organu nadzorczego.
Diagnozujemy zatem potencjalne ryzyko naruszenia, starając się je odpowiednio zidentyfikować w trakcie dokonywania analizy szczegółowej procesów i pól ryzyk, a następnie szacujemy prawdopodobieństwo wystąpienia potencjalnych naruszeń. Jeżeli do tego dołożymy wagę zagrożenia, jakie niesie potencjalny incydent naruszający integralność i bezpieczeństwo systemu ochrony danych osobowych, otrzymujemy wymagalny przez punkt 76 preambuły RODO obiektywny, a przy tym indywidualnie mierzalny poziom ryzyka w organizacji. Taka przykładowa matryca, nałożona na wszystkie obszary potencjalnego ryzyka, powinna wykazać stosowną gradację zagrożeń w ramach ochrony danych.
Umożliwia to sprawdzenie we własnym zakresie, które procesy biznesowe mają priorytet ochronny, a które można potraktować z mniejszym zaangażowaniem zasobów – nie zapominając jednak o zachowaniu odpowiedniego poziomu ochrony danych w całej organizacji. Biznes, który łączy ze sobą pracę z klientem w kanale stacjonarnym, wymaga innej ochrony niż ten, który odbywa się w kanale onlinowym. Nie wykluczając w żadnym wypadku konieczności ochrony obu tych kanałów, to analiza ryzyka podpowiada, by większe zasoby przeznaczyć na ochronę w miejscu bardziej wrażliwym (e-commerce).
Co ważne – literalne podejście i interpretacja art. 35 RODO, wbrew obiegowej opinii, wcale nie wywraca do góry nogami bieżącego podejścia do ochrony danych osobowych. Jeszcze przed wejściem w życie przepisów RODO rozsądnie funkcjonujący biznes powinien w sposób metodyczny i procesowy przewidywać cele oraz zakres i kontekst przetwarzania danych osobowych. Tego po 25 maja wymaga RODO w sposób precyzyjny i jasno określony, ale nie można powiedzieć, że w branży e-commerce nie spotykamy się z tym od dawna.
Rys. 1. Elementy konieczne do oceny ryzyka
Źródło: opracowanie własne autora.
Różnice w koncepcjach – konwencjonalnie czy na podstawie ryzyka?
Główną różnicą w podejściu do analizy procesów jest metodyka ocenna, bazująca na odejściu od podejścia konwencjonalnego stosowanego dziś w miażdżącej przewadze w szczegółowej ocenie obszarów wykorzystujących dane osobowe. Tabela 1 jasno pokazuje podstawowe rozbieżności w podejściu konwencjonalnym oraz opartym na ryzyku.
Tabela 1. Różnice w podejściu do oceny skutków dla ochrony danych osobowych
Źródło: opracowanie własne autora.
Zwolennicy konwencjonalnej oceny skutków regulacji dla pola analizy biznesowej powiedzą zapewne, że ta metoda zamyka wszystkie procesy i upraszcza samą analizę. Dodatkowo nie powoduje, że musimy dokonywać kalkulacji ryzyk w zakresie ochrony danych osobowych dla wszystkich obszarów, a identyczne narzędzia ochrony stosujemy w każdym obszarze. Z jednej strony to dobrze, bo jeśli stosuje się bardzo szeroki zakres ochrony dla wszystkich gałęzi biznesu, tym lepiej dla praw klientów sklepu. Rzadko jednak podnosi się wtedy argumentację, że to bardzo trudne w przypadku rozbudowanych struktur organizacyjnych, a w szczególności w przypadku omnichannelowego podejścia do biznesu. Wówczas narażamy się na kilka możliwych punktów zapalnych w analizie:
- Nie określając skali ważności kanałów sprzedaży czy miejsc styku z danymi osobowymi klientów, ryzykujemy alokację zasobów w miejsca, w których biznes tego nie potrzebuje.
- Ograniczone zasoby niejednokrotnie nie pozwolą na realizację skutecznej ochrony danych osobowych w każdym miejscu organizacji.
- Takie rozwiązanie jest droższe, brak priorytetu sprawia, że generuje dodatkowe koszty w miejscu, w którym wcale to nie jest konieczne.
- Rozbudowana struktura biznesu e-commerce może sprawić, iż wdrożenie odpowiednich mechanizmów kontrolnych może być wysoce nieefektywne i wolne.
Wykorzystałeś swój limit bezpłatnych treści
Pozostałe 54% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.
Zaloguj się
