25 maja 2018 r. okazał się dniem przełomowym nie tylko dla osób zajmujących się problematyką danych osobowych, ale też w sposób szczególny zaznaczył się w kalendarzach osób odpowiedzialnych za marketing i szeroko rozumianą promocję marek, produktów i usług. Od tego dnia zaczęto bowiem stosować w Polsce oraz pozostałych krajach Unii Europejskiej ogólne rozporządzenie o ochronie danych osobowych, znane powszechnie jako RODO.

Reforma systemu ochrony danych osobowych, jaka dokonała się za sprawą rozporządzenia, odcisnęła znaczące piętno nie tylko w zakresie obowiązków administratorów danych osobowych (przez których należy rozumieć w uproszczeniu przedsiębiorców decydujących o zakresie i sposobie przetwarzania danych), ale wpłynęła również na zasady realizacji działań o charakterze marketingowym. Rozporządzenie przewiduje, że już na etapie planowania czynności związanych z promocją określonych produktów administrator powinien nie tylko uwzględniać kwestie ochrony danych osobowych osób fizycznych, ale niejako z automatu mieć na uwadze domyślną ochronę praw i wolności podmiotów danych. Koniecznie należy przy tym zastrzec, że jednym z filarów rozporządzenia jest zasada risk based approach, która zakłada podejście do zagadnień przetwarzania danych oparte na ryzyku.

Jednym z filarów RODO jest zasada risk based approach, która zakłada podejście do zagadnień przetwarzania danych oparte na ryzyku.

Ryzyko w procesie przetwarzania danych

Co to jest ryzyko i w czym przejawia się podejście na nim oparte? Ogólne rozporządzenie o ochronie danych nie definiuje wprost pojęcia ryzyka, choć pojawia się ono w kilkunastu przepisach tego aktu prawnego. Pomocne w zrozumieniu tego pojęcia będzie odwołanie się do definicji słownikowej, zgodnie z którą ryzyko to możliwość, że coś się nie uda czy też okoliczności, które nie pozwalają zrealizować czy osiągnąć określonego celu. Reguła risk based approach nakazuje zaś uwzględniać ryzyko w każdym procesie przetwarzania danych. Jeden z motywów RODO (postanowień rozporządzenia zawierających uzasadnienie wprowadzanych rozwiązań) odwołuje się do ryzyka z perspektywy jego prawdopodobieństwa i powagi, nakazując jego ocenę przez pryzmat charakteru, zakresu, kontekstu i celów przetwarzania danych. Z jednej strony zatem nie mamy konkretnych, gotowych metod i sposobów oceny ryzyka, z drugiej jednak unijny ustawodawca pozostawił administratorom znaczącą swobodę w doborze środków ochrony praw i wolności osób fizycznych. Szeroki wachlarz dostępnych na rynku metodyk oceny i analizy ryzyka daje przy tym administratorom elastyczność w podejmowanych działaniach, zarówno analitycznych, jak i praktycznych.

Szeroki wachlarz dostępnych na rynku metodyk oceny i analizy ryzyka daje administratorom elastyczność w podejmowanych działaniach.

Zgodnie z art. 32 ust. 1 RODO administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Rozporządzenie wskazuje na szereg czynników, które należy uwzględnić przy zapewnieniu odpowiedniego poziomu bezpieczeństwa – zalicza się do nich:

• stan wiedzy technicznej;
• koszt wdrażania;
• charakter, zakres, kontekst i cele przetwarzania;
• różne prawdopodobieństwo wystąpienia i wagę ryzyka naruszenia.

Analiza i klasyfikacja ryzyka

Aby móc wdrożyć odpowiednie środki, konieczne jest przeprowadzenie analizy ryzyka, na którą składają się czynności dwojakiego rodzaju: zebranie kompleksowych informacji na temat przetwarzania danych osobowych oraz właściwa analiza tych informacji pod kątem ryzyka. W ramach pierwszego z wymienionych procesów należy m.in. ustalić, jakie kategorie danych przetwarzamy, czy dysponujemy podstawami ich przetwarzania, czy spełnione zostały zasady przetwarzania danych osobowych określone w art. 5 RODO, wreszcie jaki charakter ma przetwarzanie danych osobowych i jakie narzędzia wykorzystujemy do tego przetwarzania.

W ramach właściwej analizy powinniśmy natomiast określić zasoby i zabezpieczenia, z jakich korzystamy, potencjalne zagrożenia, jakie wiążą się z przetwarzaniem, prawdopodobieństwo ich wystąpienia oraz wagę danych, jakie przetwarzamy. Szczególnie ważne jest ustalenie, jak przeprowadzane na danych osobowych czynności przetwarzania mogą wpłynąć na poufność, integralność i dostępność danych. W wyniku tak przeprowadzonej analizy będziemy w stanie ustalić konkretne wartości ryzyka, co w efekcie pozwoli na jego sklasyfikowanie wedle kategorii: niskie, średnie, wysokie, krytyczne. Zwłaszcza ustalenie wysokiego i krytycznego stopnia ryzyka jest znaczące dla dalszych działań. Motyw 84 RODO przewiduje, że w przypadku „gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, należy zobowiązać administratora do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka”. Przeprowadzenie oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA) jest zaś kolejnym obowiązkiem administratora, określonym w art. 35 rozporządzenia.

Marketingowe procesy przetwarzania pod lupą

Analiza ryzyka powinna być przeprowadzona dla każdego, pojedynczego procesu przetwarzania. Najbardziej powszechne procesy występujące w organizacjach administratorów obejmują przykładowo: rekrutację pracowników, wykonywanie obowiązków związanych z zatrudnieniem, sprzedaż towarów lub świadczenie usług, księgowość czy obieg dokumentacji. Z reguły też jako osobny proces wydzielane są działania marketingowe. Analiza tego procesu przysparza wielu trudności, zwłaszcza jeśli dla realizacji poszczególnych zadań (marketing bezpośredni, newsletter, fanpage, konta w portalach społecznościowych etc.) wykorzystujemy narzędzia dostarczane przez zewnętrzne podmioty bądź na zasadzie outsourcingu powierzamy wykonanie tych działań wyspecjalizowanym firmom. Udział podmiotów trzecich w procesie oraz zakres przetwarzanych danych wiążą się w przypadku tego procesu ze szczególnym ryzykiem, które powinno być minimalizowane wprowadzonymi środkami organizacyjnymi i technicznymi, adekwatnymi do prawdopodobieństwa i powagi ryzyka.

Metody szacowania ryzyka

Ponownie należy podkreślić, że rozporządzenie jest neutralne pod względem metodyki oceny ryzyka – nie wskazuje konkretnej metody ani nie rekomenduje określonych rozwiązań. Nie zmienia to faktu, że w obrocie funkcjonuje kilka metod szacowania ryzyka. Spośród nich najpopularniejsza metoda sprowadza się do zastosowania prostego algorytmu, w myśl którego poziom ryzyka wyraża się jako iloczyn prawdopodobieństwa wystąpienia zdarzenia oraz dolegliwości jego skutku.

W świetle powyższych rozważań przeprowadzenie analizy ryzyka jawi się jako niezwykle żmudne i trudne zadanie, zwłaszcza dla osób, które na co dzień nie zajmują się sprawami dotyczącymi ochrony danych osobowych. Warto podkreślić, że pomocne dla wykonania analizy ryzyka mogą być dostępne na rynku narzędzia, dedykowane do tego celu. Oczywiście takim podstawowym wsparciem może być klasyczny arkusz Excel, który z technicznego punktu widzenia pomoże dokonać stosownych wyliczeń. Samo opracowanie wzorca i uzupełnienie go odpowiednimi informacjami może być jednak czasochłonne. Warto zatem zwrócić uwagę na opracowane przez specjalistów aplikacje lub gotowe do uzupełnienia formularze, które wspierają administratora w formułowaniu wniosków z przeprowadzanej analizy i podpowiadają gotowe rozwiązania.

Jednym z takich narzędzi jest m.in. PIA – program opracowany i udostępniony przez francuski CNIL, tj. organ nadzorujący kwestie ochrony danych osobowych. Warto także zwrócić uwagę na innowacyjną polską aplikację służącą analizie ryzyka – GDPR RiskTracker. Opiera się ona na mapowaniu poszczególnych procesów w przedsiębiorstwie, tj. wyodrębnieniu w działalności administratora specyficznych operacji, aktywności czy przedsięwzięć o wspólnym celu, w ramach których dochodzi do pozyskania, wykorzystania i usunięcia danych. Funkcjonalne podejście do analizy ryzyka pozwala w tym wypadku na pełną realizację zaleceń i wymagań określonych w przepisach ogólnego rozporządzenia o ochronie danych.

Funkcjonalne podejście do analizy ryzyka pozwala na pełną realizację zaleceń i wymagań określonych w RODO.

Dlaczego warto?

Mając na uwadze wszystkie poruszone wyżej zagadnienia pojawia się pytanie, dlaczego analiza ryzyka jest taka istotna. Oczywiście jej znaczenie wynika przede wszystkim z faktu przyjęcia przez wspólnotowego ustawodawcę, że przeprowadzenie analizy ryzyka stanowi obowiązek administratora. Ewentualne uchybienie temu obowiązkowi może skutkować daleko idącymi konsekwencjami, również finansowymi. Trzeba mieć bowiem na względzie, że naruszenie przepisów rozporządzenia obwarowane jest administracyjną karą pieniężną, która w tym wypadku może wynieść do 10 000 000 euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

W szczególności jednak właściwe ustalenie poziomu ryzyka pozwoli na wdrożenie odpowiednich środków zapewniających bezpieczeństwo przetwarzania danych, a w konsekwencji poszanowanie praw i wolności osób fizycznych. Warto o tym pamiętać, bo w obrocie gospodarczym występujemy nie tylko w ramach organizacji administrujących danymi, ale także jako podmioty danych.

Adam Szkurłat - Absolwent Wydziału Prawa i Administracji Uniwersytetu Łódzkiego oraz podyplomowych studiów „Wykonywanie funkcji inspektora ochrony danych” w Instytucie Nauk Prawnych Polskiej Akademii Nauk. Adwokat w Lubasz i Wspólnicy – Kancelarii Radców Prawnych sp. k. W ramach praktyki kompleksowo doradza, audytuje i szkoli administratorów danych osobowych, w tym wiodące spółki z branży produkcyjnej, e-commerce oraz IT. Autor kilkudziesięciu publikacji z zakresu ochrony danych osobowych.