naruszenie-danych-nad_wpisem.jpg

Jak ocenić wagę naruszenia ochrony danych?

Przemysław Śmiejek
04-11-2021
5 minut czytania
Nie lubimy naruszeń danych, ale gdy już jakieś wystąpi, to najważniejsza jest ocena poziomu naruszenia, bowiem z niej wynika dalsze postępowanie. Sprawy nie ułatwia fakt, że w ostatnich miesiącach głośno było o karach nałożonych przez Prezesa UODO, które wynikały właśnie z niewłaściwej oceny tego poziomu.

Przypomnę, że ogólne rozporządzenie o ochronie danych (RODO) definiuje naruszenie ochrony danych osobowych jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Jednocześnie możemy wyodrębnić trzy poziomy takiego naruszenia:

  1. jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;
  2. naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych;
  3. naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Ocena wagi naruszenia w polskich realiach

Jak widać powyższe definicje nie są zbyt precyzyjne. Jak bowiem ocenić to, czy ryzyko jest mało prawdopodobne lub czy ryzyko jest wysokie? Z doświadczeń i obserwacji działania Urzędu Ochrony Danych Osobowych mogę powiedzieć, że ryzyko należy szacować niezależnie od liczby osób, których dane dotyczą. Choć w RODO mowa o osobach fizycznych (w liczbie mnogiej), to pokontrolne raporty urzędu wyraźnie wskazują, że należy to traktować jako figurę stylistyczną. Argumentacja bazująca na fakcie, że naruszenie objęło niewielką grupę ludzi, nie jest argumentacją, która się broni.

Również obserwacja działań urzędu pozwala powiedzieć, że jedną z ważnych danych jest numer PESEL. Formalnie nie znajduje się on w katalogu szczególnych kategorii danych (art. 9 RODO) i do tego jest w powszechnym użyciu, a jego niejawność wydaje się być utopijnym marzeniem. Z drugiej jednak strony, jest to numer nadawany na całe życie a jednocześnie wykorzystywany aktywnie w sprawach finansowych, sądowych i innych dużej wagi. Stąd też PESEL wywołuje tak wiele kontrowersji, a urzędowe opinie skłaniają do uznawania naruszeń z nim związanych, za naruszenia o wysokim ryzyku.

Metoda wg ENISA

Jak jednak postępować w wypadkach naruszeń niezwiązanych z numerem PESEL? Istnieją różne metody oraz podejścia, a jednym z nich jest metoda oceny wagi naruszenia wg Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Wedle tej metody, do określenia wagi będą potrzebne następujące informacje:

  • kontekst przetwarzania danych (KPD),
  • prawdopodobieństwo identyfikacji (PI),
  • okoliczności naruszenia (ON),

z których wyliczamy, że Waga naruszenia = KPD * PI + ON.

Kontekst przetwarzania danych

Pierwszy czynnik brany pod uwagę to KPD. Składa się on z dwóch składników: rodzaju danych oraz kontekstu podwyższającego lub obniżającego. Najpierw należy więc ustalić rodzaj danych. Metoda proponuje następujące rodzaje, z matematyczną punktacją:

  • dane podstawowe (1 punkt),
  • dane dotyczące zachowań osoby (2 punkty),
  • dane finansowe (3 punkty),
  • dane szczególnych kategorii (4 punkty).

Ocenę kontekstu może podwyższyć lub obniżyć każdy z poniższych elementów:

  • szeroki zakres danych tej samej osoby (+1) – szeroki zarówno w znaczeniu liczby kategorii danych, jak i czasu przez jaki podlegały naruszeniu;
  • możliwe negatywne skutki dla podmiotu danych (+1);
  • charakter danych (+1/-1) – przykładowo zaświadczenie lekarskie o idealnym stanie zdrowia będzie obniżało wycenę, pomimo że to dane szczególnej kategorii, a zaświadczenie o wstydliwej chorobie
  • dodatkowo podwyższało;
  • specyfika podmiotu danych (+1/-1) – inaczej wycenimy dane celebrytów, inaczej dzieci, a inaczej pracowników służb bezpieczeństwa;
  • specyfika administratora (+1/-1) – inaczej wycenimy lokalny klub żeglarski, a inaczej Stowarzyszenie Amazonek;
  • publiczna dostępność danych przed naruszeniem (-1);
  • nieaktualność danych (-1) – przykładowo numer karty kredytowej, której data ważności już upłynęła.

Określając czynniki obniżające należy wnikliwie przeanalizować poprawność tej decyzji oraz przygotować rozsądną argumentację.

Prawdopodobieństwo identyfikacji

Sama skala prawdopodobieństwa nie jest specjalnie skomplikowana. Zaproponowano tu cztery stopnie:

  1. znikome (0,25),
  2. ograniczone (0,5),
  3. wysokie (0,75),
  4. maksymalne (1).

Największe wyzwanie stanowi ich poprawne określenie.

Okoliczności naruszenia

Ostatni element głównego wzoru podwyższa wagę naruszenia z uwagi na kilka aspektów:

  • +0,25 pkt – nastąpiło naruszenie poufności, a dane zostały ujawnione znanym odbiorcom, więc można się do nich zwrócić i podjąć działania minimalizujące szkodę;
  • +0,5 pkt – nastąpiło naruszenie poufności, a dane ujawniono nieznanym odbiorcom;
  • +0,25 pkt – nastąpiło naruszenie integralności, lecz dane da się naprawić;
  • +0,5 pkt – nastąpiło naruszenie integralności, a naprawa danych jest niemożliwa;
  • +0,25 pkt – nastąpiło naruszenie dostępności, lecz dane można odzyskać;
  • +0,5 pkt – nastąpiło naruszenie dostępności, a danych nie da się odzyskać;
  • +0,5 pkt – naruszenie nastąpiło w wyniku zamierzonego, intencjonalnego działania sprawcy, a nie w wypadku omyłki lub zdarzenia losowego.

Ostateczne określenie wagi naruszenia

Większość powyższych obliczeń opiera się na jasnych kryteriach, jednak niektóre wymagają zastanowienia i oszacowania, które niestety każdy z oceniających może wykonać wg własnego podejścia. Sugeruję więc, aby te punkty poddać ocenie więcej niż jednej osoby.

Gdy wszystkie elementy ostatecznego wzoru zostaną poprawnie oszacowane, ostateczny wynik (waga = KPD * PI + ON) pozwoli na rozpoznanie, z którym z przypadków mamy do czynienia:

  • osoby nie zostaną dotknięte naruszeniem lub wywoła ono drobne niedogodności (waga < 2);
  • osoby mogą napotkać niedogodności, które są możliwe do pokonania (waga < 3);
  • mogą wystąpić konsekwencje możliwe do pokonania, ale z poważnymi skutkami (waga < 4);
  • mogą wystąpić znaczące, nawet nieodwracalne konsekwencje (dla wag od 4 w górę).

Szerokie spojrzenie na problem

Choć cała metoda jest usystematyzowana i określona wzorami, to zawiera również elementy oceny ludzkiej, o czym wspominałem również wyżej. Co za tym idzie, ocena może być subiektywna. W decyzji Prezesa UODO (DKN.5131.11.2020) nakładającej karę na jedną z fundacji, znajdziemy stwierdzenia: „za pomocą kalkulatorów możliwe jest uzyskanie dowolnego wyniku, w zależności od danych wprowadzonych do obliczeń […] [dokumenty] nie zawierają opisu szczegółowych kryteriów, jakimi kierowała się Fundacja dokonując oceny za pomocą wskazanego kalkulatora.”

Trzeba więc mieć na uwadze, że podana wyżej metoda ma pomóc oszacować rozmiar zagadnienia, jednak musimy się liczyć z wieloma jego aspektami. Natomiast udokumentowanie toku rozumowania oraz zadbanie o jego bezstronność jest często bardziej istotne niż sam matematyczny opis modelu.

Ta strona używa plików cookie zgodnie z opisaną polityką wykorzystywania plików cookie. Korzystanie z naszych serwisów bez zmiany ustawień przeglądarki oznacza, że wyrażasz zgodę na wykorzystywanie plików cookie.