Zacznijmy od kary. Spora, bo 85,5 tysiąca złotych za naruszenie dotyczące dwóch osób to naprawdę poważna kwota. Ale nie to jest kanwą dzisiejszego artykułu. Nie jest on też naszą jedyną publikacją w temacie Warty, szykujemy kolejne. Kuriozalność niektórych sformułowań jak i dyskusji w środowisku po prostu nas do tego zmusiły. 

Zacznijmy od fundamentów ochrony danych osobowych. Nie wszystkich, tylko tych związanych z ich ochroną. Do białości rozgrzewa Internet dyskusja o jednym z elementów decyzji. Rzeczywiście punkt mocno dyskusyjny (nie jedyny), niemniej jeśli weźmiemy myślenie oparte o ryzyko przestaje być tak dyskusyjny.

Chodzi oczywiście o podanie niewłaściwego maila przez osobę dla której była przygotowana oferta ubezpieczenia. W wyniku podania złego maila oferta trafiła do niewłaściwej osoby. 

I nad tym dziś się skupimy, bo znów dyskusja w internecie staje się rozpatrywaniem kwestii prawnych, poszukiwaniu zapisów, a tymczasem wygląda na to, że zawiódł warsztat bezpiecznika. 

Po pierwsze szacowanie i ocena ryzyka

Tak, ale pełne. Pisaliśmy na naszych łamach wiele artykułów na ten temat, więc tylko przypomnimy jeden z ciekawszych na którym oprzemy:

Zobacz więcej: Analiza BOW TIE w ryzyku

Procesowo też opisaliśmy, więc tylko przypomnimy przebieg:

  • Po pierwsze identyfikacja procesu w KTÓRYM SĄ PRZETWARZANE dane osobowe. To nie to samo co proces przetwarzania
  • Po drugie wartościowanie zasobów (czyli danych osobowych)
  • Po trzecie identyfikacja zagrożeń, czyli zdarzeń, sytuacji które mogą wykorzystać słabość zasobu, zabezpieczenia i doprowadzić do negatywnego skutku
  • Po czwarte prawdopodobieństwo – a więc możliwość wystąpienia zdarzenia
  • Po piąte skutek – czyli co się może stać w związku z incydentem
  • Po szóste prawdopodobieństwo (znów) owego skutku.

Dziś omówimy kwestie od drugiej, a więc bez analizy procesu w którym dane są przetwarzane. 

Wartościowanie zasobów

Wartościowanie, to przypisanie “ważności” konkretnemu zasobowi w zależności od zakresu prowadzonej oceny ryzyka. Lekko uszczypliwie proponuję pominąć ten obszar w poradnikach Urzędu Ochrony Danych Osobowych, dlatego że w poradnikach pojawia się propozycja wartościowania finansowego (kosztowego). 

A przecież RODO mówi o ochronie osoby fizycznej. A więć jak wartościować dane?

RODO zawiera już pewną sugestię:

  • Dane niebędące danymi osobowymi
  • Dane zwykłych kategorii
  • Dane szczególnych kategorii
  • Dane dotyczące skazań i naruszeń prawa. 

Do tej klasyfikacji w naszej pracy proponujemy dodać wspomniane na wstępie myślenie oparte o ryzyko. A więc np, zastanowić się do czego konkretny zestaw danych może być wykorzystany. Na jednym z warsztatów zrobiliśmy klasyfikację oparta o wyłudzenie kredytów i pożyczek

  • Zestaw: Imię, nazwisko, nazwisko rodowe, imię matki, nazwisko panieńskie, numer PESEL, numer dowodu, miejsce i data urodzenia – to dane mogące posłużyć do wzięcia kredytu na dużą kwotę;
  • Zestaw jak wyżej ale bez danych rodziców – kredyt do 100 tysięcy;
  • Zestaw: PESEL, numer dowodu, miejsce zamieszkania – to chwilówka do 10 tysięcy.

Pominę dziś ze względu na objętość artykułu kwestię prawdziwej oceny ryzyka, w której powinniśmy rozważyć czy dla każdej osoby 10 tys to mało, czy dużo i analogicznie czy 5 milionów to dużo, czy mało. Skutkiem dla osoby jest to co wynika z obciążenia spłatą (analiza BOW-TIE pomaga), a nie wartość wyrażona w złotówkach (tu dochodzi identyfikacja podmiotów danych). 

Zwróćmy uwagę, że zestaw danych, który może skutkować zaciągnięciem zobowiązania na miliony składa się z danych zwykłych kategorii. Ale skutki są podobne (choć w innym wymiarze) do szczególnych kategorii. Podkreślam jeszcze raz – ZESTAW. A więc na bazie tak krótkiego wartościowania należy uznać, że dane zawarte w polisie są “wrażliwe” jako zestaw, mimo że pojedynczo żadna z nich nie musi być opisaną w art 9 RODO. 

Skoro już mamy wartości i wiemy, że są to dane WARTOŚCIOWE (wrażliwe) z powodu zestawu, zostawmy je na chwilkę i wróćmy do prawdziwego warsztatu bezpiecznika. 

Zagrożenia

Zagrożenia sobie są. Nie są zależne od wartości danych, skutków dla osoby. To są po prostu zupełnie samoistne byty, czasem zainspirowane do działania otoczeniem (np. premią za ryzyko u człowieka, a przy zdarzeniach naturalnych czy technicznych, stanem technicznym obiektu, budynku).

W naszej pracy klasyfikujemy zagrożenia z punktu widzenia źródła:

  • Z sił natury
  • Z działania człowieka
  • Z techniki

W omawianym przypadku mamy działanie człowieka. W nim mamy dwa sposoby klasyfikowania:

  • Działanie naszego człowieka
  • Działanie obcego człowieka

A druga klasyfikacja, nazywana czasem intencjonalnością:

  • Działanie umyślne 
  • Działanie nieumyślne

Analizując przypadek doszło do nieumyślnego działania człowieka obcego. 

Prawdopodobieństwo

Zanim rozważymy, ważna sprawa. Percepcja prawdopodobieństwa w analizach jakościowych i ilościowych. Najczęściej… błędna. 

Przykład

Szacujemy, że coś wydarzy się w ciągu roku. I zakładamy, że to będzie za jakiś czas. Często pod koniec roku. A co jeśli wydarzy się w ciągu roku, ale dziś? Nadal będzie to 1/365 * 100% czy raz w roku.

Wróćmy do Warty. Ile razy zdarzyło się Państwu źle coś wpisać na formularzu? Albo nieczytelnie?

  • Prośba o wpis drukowanymi literami – to jest zabezpieczenie
  • Prośba o wysłanie testowego maila – to jest zabezpieczenie. 

Są to zabezpieczenia przed materializacją zagrożenia (obniżenie prawdopodobieństwa).  A jak każde zabezpieczenie, musi być adekwatne (odpowiednie) do zagrożeń. Więc jeśli dyskutujemy o mailu, o tym czy trzeba wysyłać testowy, to:

  • Po pierwsze musimy wiedzieć, jaką wartość mają zasoby przesyłane tym mailem (wartościowanie)
  • Po drugie musimy wiedzieć, jaka jest możliwość, że dojdzie do błędu w mailu. Tylko nie w scenariuszu klienta, bo przecież nasz pracownik też może się pomylić (działanie człowieka, naszego, nieumyślne). 

Dopiero będziemy mieć pierwszy punkt kontrolny w ocenie. 

A ryzyko?

To jest “prawa strona”: BOW-TIE. Już wstępnie przy danych osobowych powinno być rozważone na etapie wartościowania. Tutaj już powinniśmy oszacować możliwość wystąpienia, a więc.. znów prawdopodobieństwo z percepcją. 

Akurat ten przypadek jest idealny do omówienia. W tym przypadku praktycznie PIERWSZE zdarzenie wywołało spory skutek. Co prawda dla firmy (a więc nie w RODO), ale jak widac skutek z kategorii “grubo” (dodajmy jeszcze utratę reputacji i inne). 

Decyzja

Zestawmy jednak to co pisze organ w decyzji i jak argumentuje. 

Co do zagrożenia – nie jesteśmy w stanie nad nim zapanować w 100%. Wdrożyć możemy zabezpieczenia, które spowodują obniżenie możliwości wprowadzenia złego maila, ale nie jesteśmy w stanie zapanować nad intencjonalnym działaniem. 

Uwaga: PUODO nie prowadził postępowania w zakresie poprawności danych. A szkoda, bo dla sprawy byłoby to jaśniejsze. W jaki sposób ukarany administrator nadzoruje poprawność danych (bo o to się toczy batalia w necie i o zabezpieczenia związane z integralnością czyli poprawnością danej osobowej jaką jest adres e-mail powiązany z osobą). 

Co do skutku – jesteśmy je w stanie ograniczyć. Wysyłka pliku spakowanego i zabezpieczonego hasłem to podstawa. A zależnie od wartości danych (zestawu) nawet dalej idące środki. 

Podsumowanie

Gorąca dyskusja w necie jest nieco dziwna, bo nie dotyczy stosowania RODO, myślenia opartego o ryzyko i celu stosowania zabezpieczeń (fundamenty szacowania i oceny ryzyka), a dotyczy dyskusji, czy winą za błędny mail obarczyć administratora czy nie. 

Mam złą nowinę. Za ulewny deszcz czy pożar też nie da się obarczyć admina. Ale za skutki już tak. 

Druga konkluzja jest poważniejsza. Nie dotyczy już słabego warsztatu bezpiecznika osób zajmujących się ochroną danych osobowych, a pewnym nastawieniem organu. Nie jest to pierwszy przypadek, w którym na administratora przenoszone są zagrożenia z celowego działania innych osób. Nawet w tej decyzji przewija się bardzo niebezpieczne stwierdzenie, w którym administrator nie jest pewien, czy osoba nie usunęła, czy nie wykorzystała danych. Przypomnijmy art. 107 Ustawy o ochronie danych osobowych. W tym przypadku może dochodzić do przestępstwa popełnionego przez osobę, która dane omyłkowo otrzymała i nie chce ich usunąć. 

PS podobny przypadek obsługiwaliśmy już w czerwcu 2018. Pierwsza informacja do osoby do której wysłano omyłkowo umowę obejmowała definicję administratora oraz treść art. 107 UODO.