„Kowal zawinił, cygana powiesili”. Czytając niektóre uzasadnienia urzędu czy dyskusje specjalistów, trudno nie wrócić do naszej staropolskiej mądrości. Zgodnie z nią administrator danych, u którego doszło do naruszenia ochrony danych, będzie odpowiadać za naruszenia prawa, których dopuścił się lub może dopuścić zupełnie ktoś inny. W krótkim cyklu postaramy się przybliżyć, jak bardzo mylne jest to stanowisko oraz w jaki sposób poradzić sobie z oceną ryzyka do RODO.
Nie tylko skutek, też prawdopodobieństwo
Rozpatrując ryzyko, nie możemy funkcjonować w oderwaniu od rzeczywistości. Ryzyko to nie wymyślanie „co się może stać”, ale też „jak jest to prawdopodobne”. Analizując niektóre postanowienia czy dyskusje, trudno nie odnieść takiego wrażenia, że o tym prawdopodobieństwie zapomina się bardzo często. Mimo że jest poruszone w RODO i to wielokrotnie.
Przykład:
W jednym z postepowań przeciwko ubezpieczycielowi Prezes Urzędu Ochrony Danych Osobowych w uzasadnieniu wskazał, że deklaracja osoby (o usunięciu danych i zniszczeniu), która weszła w posiadanie danych nie oznacza, że zgodnie z nią dane usunie. Mimo swoich deklaracji, może jednak je zostawić i np. mieć możliwość zaciągnięcia kredytu.
Czy w kontekście tej (i wielu innych) wypowiedzi i uzasadnień powinniśmy ZAWSZE zakładać, że podmiot (osoba, organizacja), który uzyskał dane w wyniku naszego błędu, wykorzysta je w niecnych celach? Tak wynika z postanowień. Szybko wyjaśniając, to nie jest podejście najgorszego scenariusza (worst case scenario), tylko dość podobne do niego, a dokładniej pierwszy krok. O tym niebawem.
Kłóci się ono również z zasadami szacowania i oceny ryzyka, w tym w szczególności w rozważeniu kontekstu przetwarzania danych. Przypomnijmy, że kontekst to wszelkie okoliczności związane z przetwarzaniem danych osobowych, w tym również zainteresowane strony (interesariusze), a więc też nasi klienci. Ryzyko, a więc możliwość wykorzystania danych przekazanych wraz z tym, co owa osoba może zrobić, musi wynikać ze zrozumienia, kim jest nasz niezaplanowany odbiorca.
Trzymając się przykładu.
- Czy dwie osoby, które otrzymały nieswoje polisy są przestępcami, którzy wyłudzają kredyty?
- Czy jakiekolwiek czynniki wskazują na to, że może i by się skusili?
- Czy zakres danych umożliwiłby uzyskanie kredytów na taką sumę, która ich zadowoli (premia za ryzyko z progiem akceptacji w tle)?
Pytań, które niestety nie zostały zadane w tym konkretnym zdarzeniu jest wiele. Mam nadzieję, że rozumiecie już o co chodzi z szacowaniem ryzyka, a więc prawdopodobieństwa wystąpienia skutku, w tym również w podejściu najgorszego scenariusza. Powtarzając wcześniejsze słowa- to nie jest konkurs na najbardziej czarny i wymyślny scenariusz.
Jest jeszcze inny aspekt. Przypisanie negatywnych cech to jeszcze nie przestępstwo. Ale już osoba, organizacja, która może być posądzona o to, że wykorzysta dane do zaciągnięcia kredytu (popełnienie przestępstwa) lub innego czynu zabronionego może poczuć się urażona. Ja na pewno bym się poczuł. A w przypadku tego konkretnego ubezpieczyciela są to tylko dwie osoby.
Co z tym kowalem?
W podejściu organu, a za nim za sprawą kopiowania założeń zawieranych w systemach ochrony danych przez fanów orzeczeń dochodzi do pewnej kuriozalnej wręcz sytuacji. Otóż administrator danych osobowych zaczyna szacować ryzyko, wynikające z przetwarzania (nawet niezamierzonego) u innego administratora. A więc skutki i prawdopodobieństwo nielegalnego i niezgodnego z prawem przetwarzania danych osobowych przez innego administratora. Wszak to choćby wspomniana ocena osób, które dane przetwarzają, będzie prowadzić do oceny, czy dane zdarzenie może zaistnieć, czy też nie.
Tylko jak się ma to do RODO, gdy administrator to osoba, która określa cele i zakres przetwarzania danych osobowych oraz szacuje ryzyko dla osób, których dane przetwarza w celu i zakresie. Ma więc możliwości (i obowiązek) oszacowania skutków, jakie nastąpić mogą w wyniku jego operacji, działań, przetwarzania, zastosowanych środków przetwarzania itd., a także szans ich wystąpienia.
Idąc tokiem podejścia, w którym rozważamy skutki, jakie mogą nastąpić w przypadku przetwarzania przez inna osobę bądź organizację (w obu przypadkach mogą to być administratorzy), nieco trudniej będzie nam:
- wskazać cel przetwarzania danych – pozyskanie nielegalne środków. Nie wiemy, czym dysponuje ów administrator, a przecież nie zajmujemy się w ogóle pozyskiwaniem nielegalnym środków finansowych (wyłudzeniami), co oznacza, że trudniej nam będzie oszacować możliwość wystąpienia skutku;
- oszacować ryzyka – nie wiemy, jakich środków przetwarzania używa, w jakich sieciach, lokalizacjach, jakie zabezpieczenia stosuje.
Być może ostatnie zdania brzmią nieco sarkastycznie. Ideą jest jednak uświadomienie, że o ile możemy (i powinniśmy) mieć wiedzę, KOMU przesłaliśmy dane w tym konkretnym przypadku (kontekst przetwarzania – interesariusze), o tyle ryzyka za kogoś nie możemy oszacować. I nie może go również oszacować (realnie i rzetelnie) nikt, kto do tego administratora nie zapuka i nie sprawdzi jego aktualnej sytuacji.
Jak więc sobie poradzić?
Zajrzeć do RODO. Naprawdę. I trzymać się przepisu. Przepis mówi, że powinniśmy rozważyć potencjalny skutek dla osoby, związany (tu) z ujawnieniem danych w sposób niezamierzony. Do tego warto mieć zebrane dane wcześniej (jakie dane, interesariusze) – dane zgromadzone i rozważone w procesie szacowania i oceny ryzyka.
Wszak rozważamy niezamierzone udostępnienie danych w naszych systemach?
Wracając do przysłowiowego kowala i cygana. Gdy komuś przez przypadek wyślę młotek, trudno mnie sądzić za formę popełnienia czynu – pomocnictwo w rozboju z użyciem niebezpiecznego narzędzia. Ten wątek również poruszymy, jednak nie w kontekście tego, JAK SIĘ BRONIĆ przed zarzutami PUODO, ale jak poprawnie prowadzić incydent, a później naruszenie.
