Poszukując nadal i wciąż źródła wielu błędów we wdrożeniach, rozumieniu, dziwnych “samoróbach” i demonizowaniu RODO, wczoraj za sprawą dyskusji w trakcie szkolenia z zarządzania incydentami zrozumiałem, co przez dłuższy czas było obok i było widoczne. 

RODO stoi na głowie

Poważnie. Wymagania co do niektórych działań są zrobione w dziwacznej formie “chyba, że…”

Do obiektu przemieszczającego się po nieboskłonie strzela się z armaty, chyba że jest to wróbel. Wtedy strzela się z procy.

RODO i ryzyko

W dużym skrócie, bo dziś nie chodzi mi o wykład z ryzyka. Kilka pytań i odpowiedzi:

Czy naprawdę wolno nam zakładać (jako działanie normalne) utratę poufności, integralności, dostępności czy przetwarzanie niezgodnie z prawem?

NIE!

A jeśli nie, to gdzie tutaj RYZYKO? 

Utrata poufności, integralności czy dostępności nie jest ryzykiem dla osoby. Naprawdę. Nie wierzycie? To zapytajcie zwykłego Janka Kowalskiego:

– Słuchaj Janek twoje dane utraciły poufność…

I co powie Janek? Pewnie zapyta:

– A co to znaczy dla mnie?

I tutaj jest ryzyko. Tu, gdy dowiemy się, co oznacza dla Janka Kowalskiego utrata poufności. I jeszcze jak poważna jest ta utrata (jakie dane, jak aktualne). To jest skutek. Np. obniżenie mu stopy życiowej, poprzez konieczność spłaty kredytu (skutki w motywie 75 też są poplątane, ale to na inny wpis).

Może też być ośmieszenie Janka poprzez ujawnienie jego preferencji. Może być wykorzystanie danych do nękania Janka. To są skutki, które wynikają z naruszenia atrybutów, bo sama utrata atrybutów Jankowi nic nie robi. Muszą być jeszcze okoliczności, możliwości i chęć działania. A do tego jeszcze musimy dołożyć możliwość wystąpienia tego skutku (prawdopodobieństwo). No i dopiero mamy ryzyko dla osoby, której dane dotyczą. 

RODO i naruszenia

Wczorajsze szkolenie  wskazało mi kolejny obszar, w którym RODO nieco stawia na głowie podejście do bezpieczeństwa. 

Co to jest naruszenie?

Jest to klasyczny incydent bezpieczeństwa informacji, który z przyczyn opisania go w przepisie wymaga dodatkowych czynności wskazanych w art 33 i 34 RODO. Naruszenia, jak to przystało na incydenty i zdarzenia posiadają swoją skalę “ciężkości” (istotności), z której wynika konieczność podejmowania działań, w tym ich “wzmacnianie”. Dlaczego art. 33 i 34 RODO są tak dziwnie napisane, nie wiem, ale jest to przykład “chyba że…”. 

Sama skala “ciężkości zdarzenia” jest po prostu wskazana w RODO i wskazane są również działania jakie należy podjąć w zależności od ryzyka naruszenia praw i wolności osób, których dane zostały naruszone. Tylko… od “drugiej” strony. A więc od armaty.

  • Zdarzenie może być tylko zdarzeniem. W BHP nazywanym near-miss, czyli prawie się zdarzyło. Z wczorajszego szkolenia mam nową nazwę, uniwersalną. OMC – o mało co.
  • Zdarzenie może być incydentem. Zwykłym, który… no nie jest ani istotny, ani krytyczny. Art 33 i 34 RODO mówią w sposób niebywale pokrętny o tym, że nie wymaga informowania organu nadzorczego incydent o małej skali. Ta część 33 ust 1, która się zaczyna od “chyba że jest mało prawdopodobne (…)”. Dla osób nadal nie przekonanych, że nie wszystkie naruszenia podlegają zgłoszeniu, do zapoznania się co najmniej art 33 ust 5. 
  • Incydent może być tez incydentem poważnym i wtedy praca idzie pełną parą. 

Tłumacząc RODO na język zwykły:

W ryzyku pracujemy od identyfikacji zagrożeń, które mogą wykorzystać podatności. Działanie to robimy dla WSZYSTKICH obszarów przetwarzania. I nie ma dla nas znaczenia skutek dla osoby, bo przepisem prawa jesteśmy zobowiązani do zabezpieczenia przed co najmniej utratą atrybutów, przetwarzania danych niepoprawnych, czy przetwarzania bez podsta, czy innych określonych w RODO.

Po zabezpieczeniu się przed zagrożeniami przechodzimy do oceny skutków dla osoby w tych zagrożeniach, które jednak nadal mogą wystąpić, mimo wprowadzonych zabezpieczeń. I tutaj dopiero dochodzi kwestia stosowania dodatkowych zabezpieczeń, środków kontroli ryzyka i całego warsztatu bezpiecznika. 

W incydentach pracujemy również w zależności od istotności incydentu. Małe (co do skutków) wymagają mniejszego działania, duże wymagają większego. 

Prostując nieco pomysły UODO i Grupy Roboczej 29, klasyfikacja incydentów jak napisałem wyżej jest opisana w RODO. I jak każdy w każdym rodzaju incydentu oparta jest o siłę wpływu (ciężkość, istotność) na podmiot ochrony. Klasyfikacje przez atrybuty są klasyfikacjami pomocniczymi.

Porównanie

Ostatnio mam szczególny nastrój na obrazowe porównania. 

Idąc w góry zakładacie już na parkingu uprząż, raczki, dumnie kroczycie z czekanem w ręku, w kasku na głowie, rękawiczkach? Np. na parkingu w Kuźnicach?

Niestety wielu wdrażających RODO tak… Bo nie zauważyli 

“chyba że…”