Naruszenia w RODO #001

[stm_post_details]

Tytuł dzisiejszego artykułu jest nieco przewrotny z powodu przewrotności tych, którzy odpowiadają za polską wersję RODO. Otóż po drodze w toku tłumaczenia (lub tworzenia w języku polskim) polskiego opisu, “personal data breach” stało się naruszeniem ochrony danych osobowych.

Dlaczego to jest takie ważne?

Podmiotem naruszenia (potencjalnego) są dane osobowe (i ich atrybuty), poprzez naruszenie ochrony (skierowanej na utrzymanie atrybutów). W polskiej wersji RODO podmiotem naruszenia jest ochrona danych (środki organizacyjne i techniczne). Ale… tłumaczenie jak każde prawda? Istotne w zrozumieniu dzisiejszego rozważania jest to, że potem dość ciężko dojść do tego, o co w przepisie chodziło. 

Druga przewrotność naszych rodzimych twórców to zrównanie słowa bezpieczeństwo ze słowem ochrona. W dużym skrócie:

  • Bezpieczeństwo – to stan niezagrożenia, zaplanowany i uzyskany poprzez stosowane środki
  • Ochrona – to te środki, które pozwalają uzyskać i utrzymać stan niezagrożenia

Z tego powodu polska definicja, że naruszenie ochrony jest naruszeniem bezpieczeństwa bywa nieco… zmyłkowa. Na tyle, że w trakcie ostatnich kilku audytów Inspektorzy Ochrony Danych oraz specjaliści byli zdziwieni, jak poprosiłem o rejestr naruszeń i dokumentację ich dotyczącą i… pusto. Ani jednego, ani drugiego. A po chwili rozmowy nagle okazało się, że trochę tych naruszeń w każdym z audytowanych podmiotów było. 

Czym jest naruszenie?

Naruszenie danych (w oryginale) oznacza naruszenie ochrony, zmierzające do naruszenia bezpieczeństwa w postaci (postać naruszenia)

  • Przypadkowego (czyli takiego, jakie nie jest opisane w procedurach, politykach, instrukcjach administratora lub procesora)
  • Niezgodnego z prawem (czyli takiego, jakie nie jest opisane w przepisach prawa)

Prowadzące do (WAŻNE: nie “które doprowadziło”, a więc skutek lub potencjalny skutek):

  • Zniszczenia
  • Utracenia
  • Zmodyfikowania
  • Ujawnienia (nieuprawnionego – ale to wynika z postaci naruszenia)
  • Dostępu do danych (nieuprawnionego – ale to wynika z postaci naruszenia)

Które (formy przetwarzania, których naruszenie dotyczy)

  • Są przesyłane
  • Są przechowywane
  • Są przetwarzane w innych sposób (kolejna przewrotność tworzenia prawie katalogu sposobów przetwarzania, których będzie dotyczyć naruszenie)

Czym jest naruszenie – po ludzku

Definicje nie są proste, a już pewne zmiany i nie do końca prawidłowe (zgodne ze sztuką) nazewnictwo stosowanie w przepisie pokomplikowało rozumienie. Dlatego na prawdziwych przykładach będziemy opisywać to co naszym zdaniem jest naruszeniem.. 

Opisy naruszeń i postępowania będą opisane mniej więcej w strukturze narzuconej przepisem art 33 RODO, ale z pominięciem niektórych punktów (np. tych o danych kontaktowych). Również kwestie związane z informowanie organu lub osób będą opisywane tak, jak w obsłudze zdarzenia miało to miejsce, a więc nie zawsze. 

Zwolnienie i ciąża… tylko czyja?

Opis

Pracownik zwrócił uwagę, że ma wpisane w systemie kadrowo-płacowym zwolnienie oraz że jest w ciąży. System pobiera dane automatycznie z systemu ZUS z wystawianych elektronicznie zwolnień. Dane w systemie płacowo-kadrowym były nieprawidłowe przez okres około 14 dni. Czynności podjęto w dniu wykrycia. 

UWAGA: taka wrzutka do zaznaczenia. Naruszono DANE osobowe (atrybut), a nie ich ochronę. 

Po konsultacji mailowej i telefonicznej z działem kadr pracownik zwrócił się do lekarza w celu korekty wpisu (drogą elektroniczną). Na dalszy rozwój wypadków czekamy…

Syntetycznie:

Po stronie administratora doszło do niezawinionego przetwarzania niepoprawnych danych, zaimportowanych z systemu zewnętrznego podmiotu.

Kategorie danych

Dane identyfikacyjne, dane o stanie zdrowia. 

Liczba osób

Jedna

Liczba wpisów

Mimo, że w tym konkretnym przypadku nie ma takich informacji, niemniej punkt ten należy uważnie rozpatrywać. Istotą jest zidentyfikowanie wszystkich miejsc (systemów, kartotek), w których dane osobowe są błędne a pochodzą z importu z zewnętrznego systemu. W przeciwnym razie może się okazać, że dane te nie zostaną skorygowane, a to będzie stanowić niezgodność z przepisem 5.1.d.

Możliwe konsekwencje

  • Błędnie naliczone wynagrodzenie.
  • Postępowanie ZUS w sprawie niepowstrzymania się od pracy (bardziej skutek dla pracodawcy).
  • Informacja o ciąży (partner może się nieco zdenerwować, jak się dowie, choć nie powinien z innego źródła niż osoba w ciąży), do zadymy w domu włącznie. 

Środki ochrony stosowane (przed naruszeniem)

Brak informacji (pomagaliśmy społecznie i pro publico bono).

Środki ochrony projektowane

System porównania wpisów w systemach kadrowych pochodzących z rejestru czasu pracy z systemem importującym wpisy z eWUŚ. Celem jest wyłapanie różnic, czyli sytuacji w której pracownik zarejestrował się w pracy (karta dostępu, system ewidencji czasu pracy, logowanie do komputera w miejscu pracy) w odniesieniu do wpisu z danych zaimportowanych i wskazujących na absencję. Np.:

  • Mechanizm wykrycia niezgodności (o ile to będzie możliwe)
  • Mechanizm zawieszenia importu (o ile możliwe) lub oznaczenia rekordu wymagającego rozstrzygnięcia

Środki minimalizujące ryzyko (choć w przepisie skutki)

  • Brak (minimalizować będziemy prawdopodobieństwo wystąpienia zagrożenia, czyli zaimportowania błędnego wpisu, aby nie doszło do przetwarzania danych błędnych. Na sam skutek w tym przypadku nie ma jak oddziaływać, bo nie zaistniał). 
  • W przypadku gdyby doszło do błędnego naliczenia wynagrodzenia (tutaj jest 100%), szybka ścieżka weryfikacji i natychmiastowa wypłata różnicy. 

Zgłoszenie do organu

Nie podlega, mało prawdopodobne aby doszło do naruszenia praw i wolności (art 33.1 RODO). 

Podsumowanie

Opis powyżej wykonany jest językiem dość syntetycznym. Natomiast opisuje normalne działania podejmowane w trakcie obsługi naruszenia. Warto też prowadzić sobie dziennik działań, aby można było w trakcie kontroli organu wykazać, co zostało podjęte. 

Co ważne. Osoba, której dane dotyczą, a nawet inne osoby biorące udział w obsłudze naruszenia wcale nie muszą wiedzieć, że to było naruszenie (choć mogą). Wiedza taka powinna być po stronie osób, które są “personelem bezpieczeństwa”, czyli uruchamiają konkretne procedury. Z jednej strony procedury wyjaśnienia błędnego wpisu, a z drugiej… dodanie w polu CC (do wiadomości) specjalistę ds. ochrony danych, czy IODa. I wysłanie mu na koniec konkretnego etapu działania podsumowanie. A po skorygowaniu danych, potwierdzenie, że skorygowano. Natomiast IOD może sobie po tym wrzucić jakiś system śledzenia, nawet banalne przypomnienie za miesiąc, aby sprawdzić czy:

  • Dane już zostały skorygowane (jeśli nie dostanie wcześniej maila);
  • Czy IT już coś wymyśliło w temacie porównywania wpisów

Nie komplikujmy ochrony danych osobowych, bo ona jest prosta. I naprawdę to ma działać po prostu, a nie być wszędzie oklejone hasłem RODO. Wyjaśnianie błędów w zwolnieniach było, jest i będzie normalnym działaniem komórek kadrowych i pracowników.

[stm_post_about_author]
[stm_sidebar sidebar=”527″]

#RODOonline!

[stm_news loop=”size:6|post_type:post|categories:114″ posts_per_row=”1″]