Małe co nieco o ryzyku w RODO czyli Motyw 75

Motyw 75 jest tak zakręcony i pokręcony, że chwilę mi zajęła jego interpretacja.

(75) Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Dowiadujemy się z niego, że

  • występuje tylko jeden rodzaj ryzyka - ryzyko naruszenia praw lub wolności osób
  • ma ono różne prawdopodobieństwa i wagi (ang. severity)
  • może ono wynikać z.... no i właśnie tutaj jest problem... resztę tego zdania trzeba rozbić na mniejsze kawałki

Ryzyko (...) może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: 

  • jeżeli przetwarzanie może poskutkować:
    • dyskryminacją,
    • kradzieżą tożsamości lub
    • oszustwem dotyczącym tożsamości,
    • stratą finansową,
    • naruszeniem dobrego imienia,
    • naruszeniem poufności danych osobowych chronionych tajemnicą zawodową,
    • nieuprawnionym odwróceniem pseudonimizacji lub
    • wszelką inną znaczną szkodą gospodarczą lub społeczną;
  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi
  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi
  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi
  • jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych
  • jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa
  • jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych
  • jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci
  • jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
Część z nich to są skutki przetwarzania, a część to zagrożenia (np. odwrócenie anonimizacji) a cześć z nich to...sam nie wiem, pewnie z punktu widzenia identyfikacji ryzyka to są po prostu cenne aktywa lub procesy (w sensie cenniejsze niż zazwyczaj). 
 
Dalej w Motywie 76 czytamy:
(76) Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.
Co ciekawe, raz mówi się o wadze ryzyka a innym razem o jego powadze, w wersji angielskiej konsekwentnie występuje severity.
 
W ocenie skutków dla ochrony danych czytamy, że (art. 35 ust. 1)
Jeżeli dany rodzaj przetwarzania (…) z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Do mnie nie bardzo przemawia określenie "z dużym prawdopodobieństwem może powodować wysokie ryzyko" - czy chodzi o wysokie ryzyko, które ma wysokie prawdopodobieństwo wystapienia? Czy chodzi o w ogóle wysokie ryzyko jako takie, a to "duże prawdopodobieństwo" jest przez pomyłkę.  W wersji angielskiej mamy „is likely to result in a high risk to the rights and freedoms of natural persons”, a więc o prawdopodobieństwie materializacji ryzyka nie ma mowy, Niezrozumiałe wydaje się, dlaczego w polskim tłumaczeniu mamy „z dużym prawdopodobieństwem”, „likely” w tym zdaniu należy rozumieć jako „może” (tak jak w zdaniu „likely to rain”), zaś całość należałoby interpretować tak, że ocena skutków jest niezbędna, gdy z oceny ryzyka wyjdzie najpewniej wysokie ryzyko. To by oznaczało, że ocena ryzyka może być wykonywana jak to zwykło się mówić „na czuja”, bazując na intuicji.
 
Ale przeczy temu wyraźnie art. 35 ust. 7 lit. c):
Ocena zawiera co najmniej: (…)
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; (...)
Wynika z niego, że w ust. 1 mowa jest o ocenie ryzyka, z której wynika że przetwarzanie "z dużym prawdopodobieństwem może powodować wysokie ryzyko". Na pewno można to było napisać bardziej przejrzyście - że trzeba dokonać oceny ryzyka, że gdy ryzyko jest wysokie, to trzeba jeszcze wykonać ocenę skutków dla ochrony danych (która de facto jest też oceną ryzyka)
 
Rozporządzenie uznaje, że są różne stopnie (poziomy) ryzyka — bez wątpienia mamy poziom ryzyka umiarkowany lub normalny, określany po prostu mianem ryzyka (motyw 76). W rozporządzeniu znajdujemy też jeszcze ryzyka wysokie (ang. high), znaczące (ang. significant) oraz poważne (ang. serious) — co należy uznać za niedopatrzenie, gdyż taka niespójność powoduje trudność w przyjęciu skali oceny ryzyka -- gdyby to potraktować poważnie, to skala oceny ryzyka musiała by być pięciostopniowa
  • ryzyko poważne,
  • ryzyko znaczące,
  • ryzyko wysokie,
  • ryzyko (w domyśle przeciętne, normalne, średnie),
  • ryzyko niskie.
Rozporządzenie uważam za bardzo dobry przepis, ale kwestie szacowania ryzyka (także te w ocenie skutków dla ochrony danych) -- można było lepiej opisać. Bo to, co jest teraz, to mogę nazwać tylko "burdlem". Ale może tylko się czepiam :-)
 
A! Warto też jako uzupełnienie poczytać sobie poradniki polskiego organu nadzoru -- "Jak rozumieć podejście oparte na ryzyku cz. 1" oraz "Jak rozumieć podejście oparte na ryzyku cz. 2"