Ryzyko w takim najbardziej popularnym podejściu to kombinacja prawdopodobieństwa i skutku. Skutek w przypadku RODO dotyczy osoby, której dane dotyczą. Przykład skutków znajdziemy w motywie 75 RODO, w którym zostały one podzielone na 4 podstawowe grupy.
W przypadku ryzyk kalendarzowych mamy do czynienia z zależnością ryzyka od drugiego parametru, jakim jest prawdopodobieństwo. Prawdopodobieństwo to rozpatrywane jest w dwóch wymiarach:
- Prawdopodobieństwo wystąpienia zagrożenia – czyli pojawienie się źródła ryzyka.
- Prawdopodobieństwo zaistnienia skutku, w wyniku wystąpienia zagrożenia, które się zmaterializuje. Czyli, rozważenie, czy każde zagrożenie od razu i ze 100% pewnością wywoła skutek, jaki zawarliśmy w wynikach szacowania i oceny ryzyka.
Podejście RODO
RODO wymaga podejścia do osób, których dane dotyczą w sposób bardziej indywidualny, niż mamy to w wielu systemach szacowania i oceny ryzyka. Wskazuje na to choćby konieczność wskazania choćby przybliżonej liczby osób w przypadku naruszeń ochrony danych osobowych. Parametr ten jest podstawą również do „wyliczenia” kary, jaką nakłada organ nadzorczy. Poniżej kilka przykładów, dlaczego ta liczba osób jest tak ważna.
Prawdopodobieństwo i modele
Szacowanie prawdopodobieństwa opiera się na dwóch podstawowych modelach:
- Jakościowy – czyli opisowy. Analitycy przypisują do konkretnych przedziałów informacje typu „wysokie”, „średnie” lub „możliwe” czy „niemożliwe”. Czasem pojawi się informacja „może się wydarzyć w ciągu…” i zależnie od przedziałów – w ciągu tygodnia, miesiąca, kwartału i roku.
- Ilościowy – czyli wyliczony na podstawie dostępnych danych (analiza ex-post) oraz prognozowania (analiza ex-ante). I tutaj stosowane są wartości procentowe (najczęściej). Czyli prawdopodobieństwo na poziomie poniżej 1%, do 2%, do 5% i wyżej.
Ilość osób, a prawdopodobieństwo
Łatwiejszym przykładem do wskazania różnic w ryzyku w RODO powiązanych z ilością osób jest wskazanie na tym drugim przykładzie. Wyliczenie matematyczne:
Prawdopodobieństwo zaistnienia skutku to 0,01%. Miesięcznie mamy 5.000 klientów. Oznacza to, że ryzyko może dotknąć „pół osoby”.
5.000 x 0,01% = 0,5
A więc jest na poziomie akceptowalnym. Tu na chwilę się zatrzymamy. RODO, mimo, że wskazuje bardzo dużą rolę ryzyka, nie dopuszcza jednak jakiegokolwiek poziomu naruszenia ochrony danych. Gdybyśmy w naszym szacowaniu przeszli do porządku dziennego, że mamy 1% prawdopodobieństwa skutku, oznacza to, że się na taki skutek godzimy.
Wróćmy do szacowania ryzyka. W naszym przykładzie pół osoby może być dotknięte skutkiem, a więc jest OK. A co jeśli naszych klientów będzie nie 5 a 50 tysięcy? Idą święta, więc normalnym jest zwiększenie obrotów.
50.000 x 0.01% = 5
Czy naprawdę administrator godzi się, aby w okresie świątecznym doszło do naruszeń praw i wolności 5 osób?
Ten sam mechanizm znajdziemy, jak już zostało wskazane wyżej, w obsłudze naruszeń i incydentów. Prawdopodobieństwo wystąpienia skutku w postaci wzięcia kredytu może być np. 1 na 10.000. Jeśli naruszenie dotknie 100 osób, skutek raczej nie wystąpi (raczej, bo jest to szacowanie, a nie analiza znanych czynników). Przy 10.000 osób pojawia się już jedna osoba, a przy 100.000 osób – będzie ich 10.
W modelu jakościowym wpływ różnic w ilości osób, z którymi mamy do czynienia (klientów) również może być zauważalny. Związany jest z kontekstem przetwarzania. W nim zawieramy informacje, ilu osób dotyczy nasze przetwarzanie. O ile w normalnym okresie będzie to 5.000 osób (jak w przykładzie 1), to w okresie świątecznym może być ich dużo więcej, np. 50.000 a nawet 500.000. Oznacza to, że prawdopodobieństwo oznaczone jakościowo (wydarzy się mniej niż raz na rok) może być szacunkiem błędnym. Ponieważ w ciągu miesiąca możemy mieć ilość klientów większą niż w całym roku.
Podsumowanie
To tylko jeden z przykładów ryzyk kalendarzowych, a dokładniej takich, które zmieniają się zależnie od kalendarza. Są jeszcze takie, które związane będą z kalendarzem pór roku (np. ekstremalnie wysokie temperatury i prawdopodobieństwo awarii systemów HVAC – w tym klimatyzacji) i wiele innych.
Szacowanie i ocena ryzyka to nie jest jednostkowe, pojedyncze działanie. Kalendarz jest jednym z tych czynników, jaki należy brać pod uwagę. Gdy zauważymy od czego może zależeć poziom ryzyka (często od prawdopodobieństwa), będziemy w stanie przygotować się na nie i oddziaływać już na etapie prewencji, wczesnego wykrycia czy obniżenia podatności zasobów. O tym jeszcze będziemy na łamach naszego portalu pisać wielokrotnie.
