Ryzyka kalendarzowe

Przeczytaj koniecznie!

Niezbędność

Styczeń z RODOmaniakami

Alkomaty raz jeszcze

Grzegorz Krzeminski
Grzegorz Krzeminski
Od ponad 22 lat związany z ochroną danych osobowych. Zaczynał od administracji rządowej i samorządowej. Od 2007 roku na rynku komercyjnym w Polsce i Wielkiej Brytanii. Doświadczony audytor, doradca, wdrożeniowiec i trener.

Ryzyko w takim najbardziej popularnym podejściu to kombinacja prawdopodobieństwa i skutku. Skutek w przypadku RODO dotyczy osoby, której dane dotyczą. Przykład skutków znajdziemy w motywie 75 RODO, w którym zostały one podzielone na 4 podstawowe grupy.

W przypadku ryzyk kalendarzowych mamy do czynienia z zależnością ryzyka od drugiego parametru, jakim jest prawdopodobieństwo. Prawdopodobieństwo to rozpatrywane jest w dwóch wymiarach:

  • Prawdopodobieństwo wystąpienia zagrożenia – czyli pojawienie się źródła ryzyka.
  • Prawdopodobieństwo zaistnienia skutku, w wyniku wystąpienia zagrożenia, które się zmaterializuje. Czyli, rozważenie, czy każde zagrożenie od razu i ze 100% pewnością wywoła skutek, jaki zawarliśmy w wynikach szacowania i oceny ryzyka.

Podejście RODO

RODO wymaga podejścia do osób, których dane dotyczą w sposób bardziej indywidualny, niż mamy to w wielu systemach szacowania i oceny ryzyka. Wskazuje na to choćby konieczność wskazania choćby przybliżonej liczby osób w przypadku naruszeń ochrony danych osobowych. Parametr ten jest podstawą również do „wyliczenia” kary, jaką nakłada organ nadzorczy. Poniżej kilka przykładów, dlaczego ta liczba osób jest tak ważna.

Prawdopodobieństwo i modele

Szacowanie prawdopodobieństwa opiera się na dwóch podstawowych modelach:

  • Jakościowy – czyli opisowy. Analitycy przypisują do konkretnych przedziałów informacje typu „wysokie”, „średnie” lub „możliwe” czy „niemożliwe”. Czasem pojawi się informacja „może się wydarzyć w ciągu…” i zależnie od przedziałów – w ciągu tygodnia, miesiąca, kwartału i roku.
  • Ilościowy – czyli wyliczony na podstawie dostępnych danych (analiza ex-post) oraz prognozowania (analiza ex-ante). I tutaj stosowane są wartości procentowe (najczęściej). Czyli prawdopodobieństwo na poziomie poniżej 1%, do 2%, do 5% i wyżej.

Ilość osób, a prawdopodobieństwo

Łatwiejszym przykładem do wskazania różnic w ryzyku w RODO powiązanych z ilością osób jest wskazanie na tym drugim przykładzie. Wyliczenie matematyczne:

Prawdopodobieństwo zaistnienia skutku to 0,01%. Miesięcznie mamy 5.000 klientów. Oznacza to, że ryzyko może dotknąć „pół osoby”.

5.000 x 0,01% = 0,5

A więc jest na poziomie akceptowalnym. Tu na chwilę się zatrzymamy. RODO, mimo, że wskazuje bardzo dużą rolę ryzyka, nie dopuszcza jednak jakiegokolwiek poziomu naruszenia ochrony danych. Gdybyśmy w naszym szacowaniu przeszli do porządku dziennego, że mamy 1% prawdopodobieństwa skutku, oznacza to, że się na taki skutek godzimy.

Wróćmy do szacowania ryzyka. W naszym przykładzie pół osoby może być dotknięte skutkiem, a więc jest OK. A co jeśli naszych klientów będzie nie 5 a 50 tysięcy? Idą święta, więc normalnym jest zwiększenie obrotów.

50.000 x 0.01% = 5

Czy naprawdę administrator godzi się, aby w okresie świątecznym doszło do naruszeń praw i wolności 5 osób?

Ten sam mechanizm znajdziemy, jak już zostało wskazane wyżej, w obsłudze naruszeń i incydentów. Prawdopodobieństwo wystąpienia skutku w postaci wzięcia kredytu może być np. 1 na 10.000. Jeśli naruszenie dotknie 100 osób, skutek raczej nie wystąpi (raczej, bo jest to szacowanie, a nie analiza znanych czynników). Przy 10.000 osób pojawia się już jedna osoba, a przy 100.000 osób – będzie ich 10.

W modelu jakościowym wpływ różnic w ilości osób, z którymi mamy do czynienia (klientów) również może być zauważalny. Związany jest z kontekstem przetwarzania. W nim zawieramy informacje, ilu osób dotyczy nasze przetwarzanie. O ile w normalnym okresie będzie to 5.000 osób (jak w przykładzie 1), to w okresie świątecznym może być ich dużo więcej, np. 50.000 a nawet 500.000. Oznacza to, że prawdopodobieństwo oznaczone jakościowo (wydarzy się mniej niż raz na rok) może być szacunkiem błędnym. Ponieważ w ciągu miesiąca możemy mieć ilość klientów większą niż w całym roku.

Podsumowanie

To tylko jeden z przykładów ryzyk kalendarzowych, a dokładniej takich, które zmieniają się zależnie od kalendarza. Są jeszcze takie, które związane będą z kalendarzem pór roku (np. ekstremalnie wysokie temperatury i prawdopodobieństwo awarii systemów HVAC – w tym klimatyzacji) i wiele innych.

Szacowanie i ocena ryzyka to nie jest jednostkowe, pojedyncze działanie. Kalendarz jest jednym z tych czynników, jaki należy brać pod uwagę. Gdy zauważymy od czego może zależeć poziom ryzyka (często od prawdopodobieństwa), będziemy w stanie przygotować się na nie i oddziaływać już na etapie prewencji, wczesnego wykrycia czy obniżenia podatności zasobów. O tym jeszcze będziemy na łamach naszego portalu pisać wielokrotnie.

- REKLAMA -spot_img

Ostatnio dodane