RODO: Analiza ryzyka

  • Na czym polega ryzyko w zakresie zbierania i przetwarzania danych osobowych klientów w związku z RODO?
  • W jaki sposób przeprowadzić analizę ryzyka?
  • Które procesy związane z przetwarzaniem danych klientów powinny mieć priorytet ochronny?
ECOM_7_14.jpg

Poważne podejście do prowadzonego biznesu zakłada, że pewne bardziej lub mniej prawdopodobne zdarzenia próbujemy przewidywać wcześniej. Jeszcze bardziej zdroworozsądkowe jest minimalizowanie ryzyka ich wystąpienia. Tym samym, dobry menedżer dokona analizy ryzyk w obszarze ochrony danych osobowych i oceni skutki tego procesu. Tego bowiem wymaga nie tylko dobra praktyka zawodowa, ale i stabilna przyszłość funkcjonowania w branży, w której dane osobowe i ich przetwarzanie to codzienność.

RODO w sposób jasny wskazuje, kiedy należy dokonać oceny skutków dla ochrony danych osobowych. Szczególnie istotny staje się ten element, gdy używane są do tego nowe technologie czy rozwiązania analityczno-biznesowe. W dobie precyzyjnego profilowania, dokonywania wybiórczego i selektywnego kierunkowania oferty czy przygotowywania dystrybucji newsletterów opartych na preferencjach zakupowych klientów nie ulega wątpliwości, że taka ocena skutków dla ochrony danych (DPIA – Data Protection Impact Assessment) konieczna jest do przeprowadzenia.

Podejście oparte na ryzyku (Risk based approach) nie jest przy tym czymś nowym w biznesie. Owszem, wywołuje zdziwienie w przypadku wykorzystania tej metody do oceny skutków dla ochrony danych osobowych, ale powiedzmy sobie szczerze – przy tak ogromnej liczbie zbieranych i przetwarzanych danych pełne zamknięcie zbioru chronionego jest, szczególnie w pierwszej fazie zmiany, niemal niemożliwe do przeprowadzenia. Szczególnie w e-biznesie. Stąd więc konieczność dokonania analizy ryzyka niejako „na własną rękę”, bez gotowych wzorców ze strony organu nadzorczego.

Diagnozujemy zatem potencjalne ryzyko naruszenia, starając się je odpowiednio zidentyfikować w trakcie dokonywania analizy szczegółowej procesów i pól ryzyk, a następnie szacujemy prawdopodobieństwo wystąpienia potencjalnych naruszeń. Jeżeli do tego dołożymy wagę zagrożenia, jakie niesie potencjalny incydent naruszający integralność i bezpieczeństwo systemu ochrony danych osobowych, otrzymujemy wymagalny przez punkt 76 preambuły RODO obiektywny, a przy tym indywidualnie mierzalny poziom ryzyka w organizacji. Taka przykładowa matryca, nałożona na wszystkie obszary potencjalnego ryzyka, powinna wykazać stosowną gradację zagrożeń w ramach ochrony danych.

Umożliwia to sprawdzenie we własnym zakresie, które procesy biznesowe mają priorytet ochronny, a które można potraktować z mniejszym zaangażowaniem zasobów – nie zapominając jednak o zachowaniu odpowiedniego poziomu ochrony danych w całej organizacji. Biznes, który łączy ze sobą pracę z klientem w kanale stacjonarnym, wymaga innej ochrony niż ten, który odbywa się w kanale onlinowym. Nie wykluczając w żadnym wypadku konieczności ochrony obu tych kanałów, to analiza ryzyka podpowiada, by większe zasoby przeznaczyć na ochronę w miejscu bardziej wrażliwym (e-commerce).

Co ważne – literalne podejście i interpretacja art. 35 RODO, wbrew obiegowej opinii, wcale nie wywraca do góry nogami bieżącego podejścia do ochrony danych osobowych. Jeszcze przed wejściem w życie przepisów RODO rozsądnie funkcjonujący biznes powinien w sposób metodyczny i procesowy przewidywać cele oraz zakres i kontekst przetwarzania danych osobowych. Tego po 25 maja wymaga RODO w sposób precyzyjny i jasno określony, ale nie można powiedzieć, że w branży e-commerce nie spotykamy się z tym od dawna.

Rys. 1. Elementy konieczne do oceny ryzyka

Źródło: opracowanie własne autora.

Różnice w koncepcjach – konwencjonalnie czy na podstawie ryzyka?

Główną różnicą w podejściu do analizy procesów jest metodyka ocenna, bazująca na odejściu od podejścia konwencjonalnego stosowanego dziś w miażdżącej przewadze w szczegółowej ocenie obszarów wykorzystujących dane osobowe. Tabela 1 jasno pokazuje podstawowe rozbieżności w podejściu konwencjonalnym oraz opartym na ryzyku.

Tabela 1. Różnice w podejściu do oceny skutków dla ochrony danych osobowych

Źródło: opracowanie własne autora.

Zwolennicy konwencjonalnej oceny skutków regulacji dla pola analizy biznesowej powiedzą zapewne, że ta metoda zamyka wszystkie procesy i upraszcza samą analizę. Dodatkowo nie powoduje, że musimy dokonywać kalkulacji ryzyk w zakresie ochrony danych osobowych dla wszystkich obszarów, a identyczne narzędzia ochrony stosujemy w każdym obszarze. Z jednej strony to dobrze, bo jeśli stosuje się bardzo szeroki zakres ochrony dla wszystkich gałęzi biznesu, tym lepiej dla praw klientów sklepu. Rzadko jednak podnosi się wtedy argumentację, że to bardzo trudne w przypadku rozbudowanych struktur organizacyjnych, a w szczególności w przypadku omnichannelowego podejścia do biznesu. Wówczas narażamy się na kilka możliwych punktów zapalnych w analizie:

  • Nie określając skali ważności kanałów sprzedaży czy miejsc styku z danymi osobowymi klientów, ryzykujemy alokację zasobów w miejsca, w których biznes tego nie potrzebuje.
  • Ograniczone zasoby niejednokrotnie nie pozwolą na realizację skutecznej ochrony danych osobowych w każdym miejscu organizacji.
  • Takie rozwiązanie jest droższe, brak priorytetu sprawia, że generuje dodatkowe koszty w miejscu, w którym wcale to nie jest konieczne.
  • Rozbudowana struktura biznesu e-commerce może sprawić, iż wdrożenie odpowiednich mechanizmów kontrolnych może być wysoce nieefektywne i wolne.

Wykorzystałeś swój limit bezpłatnych treści

Pozostałe 54% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.

Kilka wariantów prenumeraty Pokaż opcje
Dwutygodniowy dostęp bez zobowiązań Wybieram

Abonament już od 83 zł miesięcznie

Dwutygodniowy dostęp bez zobowiązań

Pełen dostęp do wszystkich treści portalu
to koszt 83 zł miesięcznie
przy jednorazowej płatności za rok

WYBIERAM

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Pełen dostęp do wszystkich treści portalu
to koszt 83 zł miesięcznie
przy jednorazowej płatności za rok

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.