W ostatnim czasie media obiegła informacja o tym, że dwa portale społecznościowe padły ofiarami incydentów bezpieczeństwa, a w ich wyniku wyciekły dane osobowe. O ile w przypadku Facebooka miejsce miał rzeczywiście incydent bezpieczeństwa informacji, o tyle na LinkedIn nie do końca można mówić o naruszeniu ochrony w rozumieniu RODO, czy incydentu bezpieczeństwa informacji, którego skutkiem jest utrata poufności. Wystawiona na sprzedaż baza danych użytkowników LinkedIn oparta jest o publiczne, ujawnione dane. Dla przypomnienia, nawet jeśli są to dane szczególnej kategorii, to zgodnie z przepisami z art. 9 takie przetwarzanie jest dozwolone (dane ujawnione w sposób oczywisty).

Reklama

Metoda, jaką dane zostały pozyskane, nazywa się scrapping i polega na ekstrakcji, czy wręcz pobraniu danych z portali, najczęściej za pomocą aplikacji. Wykonując to w „ręczny” sposób, jest to nieco żmudne, choć są aplikacje, które wspierają np. kolekcjonowanie danych z LinkedIn i importowanie ich bezpośrednio do systemów CRM (customer relationship management, zarządzania relacjami z klientami).

Wróćmy do LinkedIn i ryzyka. Jeśli nie było więc incydentu, który można zaklasyfikować jako naruszenie, czy taki temat w ogóle w RODO nie istnieje?

Ryzyko, a ryzyko

Motyw 75 jest doskonałym poradnikiem klasyfikacji ryzyka w ochronie osób fizycznych w związku z przetwarzaniem ich danych. Wskazuje na 4 podstawowe kategorie, dostarcza przykładów skutków rzędu 2 i 3 (kolejne poziomy ryzyka). Jedną z tych klas jest to, co w naszej pracy nazywamy ryzykiem z przetwarzania, a więc takie ryzyko, które może wynikać z dozwolonego, uprawnionego przetwarzania danych osobowych. Może to być przetwarzanie danych o wyznaniu, zarejestrowane w monitoringu firmy. Może to być właśnie ujawnienie informacji kontaktowych na portalu typu LinkedIn.

Audytem w ryzyko

W trakcie audytów zawsze sprawdzamy proces szacowania i oceny ryzyka. Pominę dziś kwestię właściwych zasobów informacyjnych, czy oceny kompetencji analityków bezpieczeństwa (standard w audycie). W kontekście LinkedIn i scrappingu należy stwierdzić, że do tej pory rzadko, naprawdę rzadko udało nam się znaleźć elementy oceny związane właśnie z dozwolonym przetwarzaniem. Większość firm ma monitoring wizyjny, na którym rejestruje niepełnosprawność, przynależność do konkretnych organizacji (wpinki, piny), czasem nawet poglądy polityczne (artefakty fizyczne popierające partie), wyznanie (poprzez ubiór, czy noszone artefakty). W analizie ryzyka niestety jest tylko skutek z incydentu, a więc niedozwolonego działania.

Sytuację broni nieco obowiązkowe wykonanie analizy wpływu na ochronę danych w przypadku, gdy monitoring wizyjny wyczerpuje zakres przetwarzania, określony w komunikacie Prezesa Urzędu Ochrony Danych Osobowych. Pozostałe obszary są nieco zapomniane. Jak widać na przykładzie LinkedIn- trochę niesłusznie, bo zestaw danych wystawionych w bazach daje naprawdę spore możliwości.

Garść porad

W ocenie ryzyka z przetwarzania:

  • Rozważ, czy dane, które przetwarzasz mogą generować skutki opisane w motywie 75 RODO, nawet jeśli ich przetwarzanie, w tym ujawnienie, jest w pełni dozwolone.
  • Jeśli tak, oszacuj, jak poważne mogą to być skutki. LinkedIn umożliwia pobranie maila, numeru telefonu, stanowiska (oczywiście zależy to od ustawień). To podstawa dużo mocniejsza do próby podszycia się pod inną osobę niż wyciek za jaki np. Energa została ukarana.
  • Jeśli skutki są poważne, opracuj zabezpieczenia. Niech to będzie chociażby informacja dla osoby, której dane dotyczą, gdzie i jak można wykorzystać konkretne dane (przykłady).
  • W budowaniu świadomości rozważ zastosowanie programów i kampanii security awareness.

Podsumowanie

Organ nadzorczy nie może nas ukarać za skutek, jeśli doszło do niego w sposób niezawiniony przez administratora. Szukając natomiast podstaw skutków, nawet tych z dozwolonego przetwarzania, może rozważyć, czy oceniliśmy ryzyko z przetwarzania dozwolonego i czy podjęliśmy jakiekolwiek działania, zmierzające do ochrony osoby, której dane dotyczą, przed tymi skutkami.

Takie podejście miało już miejsce. Ukarano firmę, która wysłała informacje do niewłaściwej osoby. Mimo że osoba, której dane dotyczyły wpisała błędny mail, a więc to ona zawiniła. Istotą „zawinienia” administratora może być brak zabezpieczeń dla integralności (poprawności) danych w trakcie ich zbierania, czyli brak jakiejkolwiek czynności, która pozwoli przyjąć, że dane są poprawne. Przykładowo zapytanie, czy mail jest prawidłowy, odczytanie go, prośba o wpisanie wielkimi literami (zestaw zabezpieczeń organizacyjnych). Można też wysłać maila testowego, wpiętego w proces sprzedaży, do podziękowania za wizytę z dołączoną informacją, że dopiero mail zwrotny będzie stanowić podstawę wysłania dokumentów.

Rozwiązań jest wiele. Warto pamiętać, że RODO wymaga szacowania i oceny ryzyka nie tylko do incydentów, ale również do codziennego, dozwolonego przetwarzania danych. Skutki mogą zaś wynikać nie tylko z naruszenia, ale też z dozwolonego przetwarzania.