Prawo nie dba o drobiazgi? WSA o wycieku danych

Jest zasada wyrażona łacińską paremią i uświęcona tradycją, że prawo nie dba o drobiazgi. Problem w tym, że istnieją trudności niemożliwe do przezwyciężenia w rozpoznaniu co jest drobiazgiem.

Pracownik firmy przez pomyłkę wysłał umowę do nie tej osoby co trzeba. W następstwie zdarzenia wyciekło:

  • imię i nazwisko
  • pesel
  • dane teleadresowe
  • treść umowy

UODO ustalił, że zaistniało wysokie ryzyko naruszenia praw lub wolności osoby, uzasadniające zarówno zgłoszenie do organu (art. 33 rodo) jak i zawiadomienie osoby (art. 34 rodo). Ponieważ spółka nie dokonała ani jednego (z analizy ryzyka wynikającego z naruszenia odo wyszło jej że prawdopodobieństwo naruszenia praw lub wolności osoby jest małe) organ nałożył na nią karę w wysokości 282 tyś zł.

Na skutek skargi sprawą zajął się WSA (sygn. II SA/Wa 219/24). Sąd stwierdził, że wprawdzie nie ma dowodów ani przekonującego uzasadnienia decyzji, że ryzyko (wynik mnożenia prawdopodobieństwa i wagi)  jest wysokie ale prawdopodobieństwo jest wyższe niż małe, dlatego zgłoszenia do UODO należało dokonać, a zawiadomienia osoby niekoniecznie. Decyzję więc uchylił co oznacza, że sprawa trafi do ponownego rozpoznania.

Stanowisko zarówno UODO jak i Sądu jest błędne co do oceny prawdopodobieństwa naruszenia praw lub wolności osoby. W kluczowym fragmencie uzasadnienia Sąd stwierdza:

W rozpatrywanym przypadku charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał ustalenie tożsamości konkretnej osoby bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez szczególnej potrzeby gromadzenia dodatkowych informacji pozwalających określić tę tożsamość. W tych okolicznościach osoba, której dane zostały udostępnione utraciła możliwość sprawowania kontroli nad swoimi danymi osobowymi i tym samym doznała naruszenia jej prawa do ochrony danych osobowych (art. 51 ust. 1 Konstytucji RP).

Te okoliczności pozwalają zdaniem Sądu przyjąć, że nie została spełniona określona w art. 33 ust. 1 rozporządzenia nr 2016/679 przesłanka zwalniająca administratora danych z obowiązku zgłoszenia organowi nadzoru faktu naruszenia danych osobowych. Należy zatem podzielić stanowisko Prezesa UODO co do tego, że prawdopodobieństwo, by stwierdzone naruszenie ochrony danych osobowych rodziło ryzyko naruszenia praw lub wolności osoby, której dane zostały ujawnione, nie jest małe. Skarżąca miała zatem obowiązek zgłoszenia tego naruszenia organowi nadzoru.

Pierwsze co jest uderzające to wypowiedź ta jest sprzeczna, jeden akapit wyklucza drugi. W pierwszym Sąd oświadcza, że doszło do naruszenia praw osoby (pewność) a w drugim że ryzyko naruszenia nie jest małe (niepewność). Sąd stwierdza, że samo to że zakres danych pozwala na identyfikację (bez tego rodo w ogóle nie miało by zastosowania) powoduje, że doszło do utraty kontroli nad danymi, co stanowi naruszenie praw osoby. Jest to fundamentalny błąd który prowadzi do dalszych negatywnych konsekwencji, nie tylko w tej sprawie ale w każdej innej jeśli to nieporozumienie będzie się utrzymywało.

Utrata kontroli nad danymi nie jest naruszeniem praw lub wolności (art. 33 rodo) tylko naruszeniem ochrony danych osobowych (art. 4 pkt 12 rodo – nieuprawnione ujawnienie). Dopiero zaistnienie tej przyczyny uruchamia potrzebę badania jakie jest ryzyko skutku (naruszenia praw lub wolności). Niejako usprawiedliwieniem tego błędu jest sam tekst rodo, ponieważ motywy 75 i 85 sprzecznie wypowiadają się o utracie kontroli nad danymi. Motyw 75 prawidłowo stwierdza ze utrata kontroli nad danymi jest naruszeniem odo (przyczyną) która może ale nie musi prowadzić do naruszenia praw lub wolności (skutek), natomiast motyw 85 wprost, błędnie (odmiennie) stwierdza, że jedną z postaci naruszenia praw (skutku) jest utrata kontroli nad danymi.

Jeśli już zostanie prawidłowo ustalone, że utrata kontroli nad danymi (ujawnienie) nie stanowi naruszenia praw lub wolności, to otwiera się droga do analizy czy w konkretnych okolicznościach może do tego doprowadzić i z jakim ryzykiem (prawdopodobieństwem i wagą). O konieczności zastosowania art. 33 rodo decyduje jedynie parametr prawdopodobieństwa. Nawet jeśli waga jest błaha ale prawdopodobieństwo jest wyższe niż małe należy zgłaszać.

Kluczowe jest pytanie co musi się stać, żeby prawdopodobieństwo skutecznego wykorzystania w sposób negatywny ujawnionych danych (naruszenia praw lub wolności) było wyższe niż małe. Odpowiedź jest prosta – muszą trafić w ręce przestępcy. Dlatego atak hakerski nie przysparza dylematów, wiadomo że prawdopodobieństwo jest wyższe niż małe. Ale omyłkowo wysłany mail, do jednej czy nawet kilku osób… Jakie jest prawdopodobieństwo, że trafi do przestępcy. Samo uzasadnienie wyroku dostarcza materiału żeby to stwierdzić. W jednym z lat poprzedzających odnotowano 8096 prób wyłudzeń kredytów. Załóżmy nawet, że każda próba pochodziła od osobnego przestępcy i że było ich na okrągło 10 tyś. 40 mln/10 tyś daje 4 tyś. Szansa że mail trafi do przestępcy jest jak 1:4000. Powiedzieć, że mało prawdopodobne to jest eufemizm. Tymczasem zarówno organ nadzorczy jak i Sąd twierdzą, że prawdopodobieństwo jest wyższe niż małe. Nawet EROD w Wytycznych 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych, przyjęte 14 grudnia 2021 r., wersja 2.0, pkt 106, zakres danych: imię nazwisko, adres zamieszkania, cena i wygląd butów – ujawniony jednej osobie, uznał za generujący niskie ryzyko i stwierdził że nie wymaga ani zgłoszenia do organu ani zawiadomienia osoby. Czyli uznał, że utrata kontroli nad takim zakresem danych (naruszenie odo) nie powoduje prawdopodobieństwa naruszenia praw lub wolności w stopniu wyższym niż małe. Uznał tym samym że sama utrata kontroli nad danymi nie stanowi naruszenia praw lub wolności.

Oczywiście 10 tyś przestępców, to nie wszyscy, ale ta liczba jest najistotniejsza z punktu widzenia analizy bo wiadomo że mają modus operandi polegający na wyłudzeniach kredytów (wykorzystaniu danych osobowych). UODO chcąc stwierdzić jakie jest prawdopodobieństwo naruszenia praw lub wolności w wyniku omyłkowego wysłania maila powinien ustalić ilu jest innych przestępców statystycznie np. w kategorii kradzieże i ocenić z jakim prawdopodobieństwem mail trafi do takiego. Przykładowo niechby ich było 10x tyle co cyberprzestępców czyli 100 tyś. To daje prawdopodobieństwo 1:400 – nadal małe.

Wskazówką co do stopni prawdopodobieństwa (małe, średnie, duże) mogą być recepty zawierające informację o prawdopodobieństwie działań niepożądanych:

Wysokie prawdopodobieństwo: oznacza to, że pojawia się ono częściej niż u 1 na 10 pacjentów;

Średnie prawdopodobieństwo: takie działanie pojawia się rzadziej niż u 1 na 10 pacjentów, ale jednocześnie częściej niż u 1 na 100;

Małe prawdopodobieństwo: rzadziej niż u 1 pacjenta na 100, ale częściej niż u 1 na 1000.

Trzeba mieć nadzieję, że ta sprawa albo inna tego typu, trafi do NSA i tam zostanie rozstrzygnięte co oznacza prawdopodobieństwo, co to jest naruszenie odo a co naruszenie praw lub wolności i czym jest utrata kontroli nad danymi, a także czy przy stosowaniu art. 33 rodo należy brać pod uwagę parametr wagi, bo zgodnie z fragmentem uzasadnienia decyzji:

Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest dokonanie zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienie o naruszeniu osoby, której dane dotyczą, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osoby, której dane dotyczą (jak wyżej wykazano), to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu Podmiotu Danych.

tymczasem przepis brzmi:

1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Gdyby tu chodziło o kombinację prawdopodobieństwa i wagi to przepis nie mówiłby o prawdopodobieństwie tylko o ryzyku. Przepis zaś mówi, że zgłaszać nie trzeba jeśli jest małe prawdopodobieństwo bez względu na wartość parametru wagi ryzyka.

Osobną kwestią jest ocena czy wyciek ten powodował wysokie ryzyko (prawdopodobieństwo x waga) uzasadniające zawiadomienie osoby. W tym zakresie Sąd prawidłowo wątpi w wysokie ryzyko i wskazuje, że UODO wysokiego ryzyka nie wykazał. Sąd podkreśla, że zestaw danych jak: imię nazwisko pesel, nie wydaje się wystarczający do kradzieży tożsamości.

Zdaniem Sądu, organ nie wykazał przekonywująco, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem Internetu lub telefonicznie. Powoływany szeroko w uzasadnieniu zaskarżonej decyzji wyrok Sądu Rejonowego w […] dotyczył sytuacji podjęcia próby wyłudzenia kredytu, w której posłużono się nie tylko numerem PESEL, ale także numerem dowodu osobistego, który był wprawdzie nieważny, jednak był wydany danej osobie. Powyższe w żaden sposób nie potwierdza zatem, że możliwe jest uzyskanie kredytu jedynie na podstawie numeru PESEL oraz imienia i nazwiska. Podawane przez organ dane liczbowe dotyczące rosnącej liczby wyłudzeń kredytów, również nie potwierdzają, że w tych przypadkach doszło do skutecznego wyłudzenia kredytu na podstawie jedynie numeru PESEL i imienia i nazwiska. Argumentacja organu nie potwierdza zatem tak przyjętej tezy.

I co ważne Sąd tu nie kwestionuje wysokiego ryzyka ze względu na parametr wagi, tylko twierdzi że jest nieprawdopodobne żeby wycieknięty zakres danych umożliwiał naruszenie praw lub wolności, nawet gdyby pechowo trafił do osoby, która miałaby wolę żeby go wykorzystać do przestępstwa. W innymi miejscu, jak zostało wyżej wskazane, niekonsekwentnie twierdzi Sąd że doszło do naruszenia praw osoby (pewność). Jeśli by rzeczywiście doszło, to było by to coś więcej niż tylko wysokie ryzyko naruszenia praw (niepewność), i w takim razie konsekwentnie należałoby twierdzić, że wymagane jest również zawiadomienie z art. 34 rodo.

W uzasadnieniu zarówno decyzji jak i wyroku próżno szukać innych realnych naruszeń praw lub wolności oprócz „flagowej” kradzieży tożsamości. A jeśli tak to nawet jakby pechowo mail z danymi trafił do przestępcy, ten nie mógłby z nimi nic zrobić, bo chwilówki nie weźmie a do niczego innego taki zakres nie jest „przydatny”. Jeśli taki zestaw mógłby do czegoś posłużyć to milion takich zestawów jest dla każdego (w tym przestępców) dostępny w rejestrze KRS – obywatel w tym ado ma prawo oczekiwać od państwa konsekwencji, albo taki zakres danych wiąże się z prawdopodobieństwem wyższym niż małe i nie powinien być dostępny publicznie, albo jeśli jest dostępny to nie można oczekiwać, na etapie analizy czy zgłaszać naruszenie do UODO, innej oceny niż dokonał ustawodawca.

Na koniec warto jeszcze zwrócić uwagę, że organ nadzorczy wyciąga niewłaściwe wnioski z fragmentu Wytycznych 9/2022 o „zaufanym odbiorcy” a nie przytacza fragmentu, który ewidentnie przemawia za brakiem obowiązku zgłaszania w okolicznościach niniejszej sprawy. To że EROD jako przykład „wyeliminowania prawdopodobieństwa” naruszenia praw lub wolności podaje omyłkowe wysłanie danych do odbiorcy z którym ado pozostaje w stałych kontaktach, nie oznacza że wysłanie do przypadkowej nieznanej osoby wiąże się z prawdopodobieństwem wyższym niż małe. O prawdopodobieństwie decyduje statystyka, w tym wypadku ilość przestępców w kraju lub regionie, gdzie trafił omyłkowy mail/list.

Natomiast UODO pomija poniższy fragment:

75. W art. 33 ust. 1 RODO wyraźnie stwierdzono, że nie ma obowiązku zgłaszania organowi nadzorczemu naruszeń, co do których „jest mało prawdopodobne, by […] skutkował[y] ryzykiem naruszenia praw lub wolności osób fizycznych”. Przykładem może być sytuacja, w której dane osobowe już są publicznie dostępne i ujawnienie takich danych nie wiąże się z prawdopodobnym ryzykiem dla danej osoby fizycznej.

Z fragmentu tego wynika, że jeśli dane są już publicznie dostępne, nie ma obowiązku zgłaszania naruszenia. Taki zakres danych jak imię nazwisko i pesel jest publicznie dostępny w rejestrze KRS, dlatego że jego wyciek nie tylko do jednej ale do miliardów ludzi (do każdego kto ma Internet), nie wiąże się z prawdopodobieństwem wyższym niż małe – tak to trafnie ocenił polski ustawodawca. Co prawda w tym fragmencie EROD miał na myśli publicznie dostępne dane konkretnej osoby które wyciekły z innego miejsca, ale to samo można odnieść do zakresu danych, który jest publicznie dostępny ze względu na obowiązujące przepisy (ocenę ustawodawcy), ponieważ w jednym i drugim przypadku publiczna dostępność jest legalna.

Na koniec warto przypomnieć, że niezbędne jest ścisłe i konsekwentne posługiwanie się nomenklaturą:

  • incydent
  • naruszenie odo
  • naruszenie praw lub wolności
  • naruszenie rodo