Problematyką zgłaszania naruszeń zajmuje się art. 33 oraz 34 rodo w zw. z art. 4 pkt 12 rodo, przy czym aby być precyzyjnym i odróżnić zgłoszenie do UODO od zgłoszenia osobie, której dane dotyczą, to drugie nazywane jest zgodnie z rodo zawiadomieniem. Czyli zgłaszamy do UODO a zawiadamiamy osobę dotkniętą naruszeniem.
- Naruszenie ODO a naruszenie praw lub wolności
- Analiza ryzyka naruszenia a nie przetwarzania
- Metodologia
- Dochodzenie u procesora
Naruszenie ODO a naruszenie praw lub wolności
Czym jest naruszenie ochrony danych osobowych definiuje art. 4 pkt 12 rodo:
„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
Należy to odróżnić od naruszenia praw lub wolności osoby (skutek), do którego naruszenie odo (przyczyna) może doprowadzić z różnym ryzykiem (prawdopodobieństwem i wagą skutku). I właśnie ryzyko naruszenia praw lub wolności stanowi powód zgłoszenia (zawiadomienia), a więc samo naruszenie odo jeszcze o tym nie przesądza. Dodatkowo czy w ogóle doszło do naruszenia odo, należy ustalić na podstawie dochodzenia spowodowanego uzasadnionym podejrzeniem, że zaobserwowane zdarzenie (incydent) stanowi naruszenie. W początkowej fazie kiedy pracownik, któregoś z działów organizacji, zaobserwuje jakieś anomalia np. w funkcjonowaniu stacji roboczej, nie wiadomo jeszcze czy doszło do naruszenia, ale mamy do czynienia z incydentem i informatyk (ASI) musi ustalić, czy jest to naruszenie.
Od momentu ustalenie, że doszło do naruszenia należy liczyć 72h na zgłoszenie do UODO i w tym czasie należy dokonać analizy ryzyka naruszenia praw lub wolności, która odpowie na pytanie czy naruszenie odo podlega zgłoszeniu.
Zgłoszeniu do UODO podlega tylko naruszenie odo, które będzie skutkowało naruszeniem praw lub wolności osoby z prawdopodobieństwem wyższym niż małe. Na etapie decyzji czy zgłaszać nie uwzględniamy więc wagi skutku (naruszenia praw lub wolności).
Wagę skutku uwzględniamy przy decyzji czy zawiadomić osobę ponieważ przepis art. 34 rodo mówi o wysokim ryzyku, a takie powstaje z kombinacji średniej wagi i dużego prawdopodobieństwa albo wysokiej wagi i średniego prawdopodobieństwa.
Analiza ryzyka naruszenia a nie przetwarzania
Analiza ryzyka jakiej należy dokonać aby odpowiedzieć na pytanie czy i kogo informować o naruszeniu odo i wynikającym z niego ryzyku naruszenia praw lub wolności, różni się od analizy ryzyka prowadzonej na etapie przetwarzania, ponieważ analiza ta ma dać odpowiedź na pytanie jakie ryzyko wynika z konkretnego naruszenia odo, które przy poprzedniej ocenie (analizie ryzyka I i II stopnia) jeszcze nie było pewne, a więc wtedy istniała niepewność zarówno co do przyczyny (naruszenie odo) jak i co do jej skutku (naruszenie praw lub wolności osoby). Analizując jakie ryzyko dla praw i wolności wynika z przetwarzania, musimy uwzględniać zarówno jakie jest prawdopodobieństwo, że dojdzie do naruszenia odo, jak i to jakie jest prawdopodobieństwo, że naruszenie odo spowoduje naruszenie praw i wolności z określoną wagą (dotkliwością) dla osoby, po naruszeniu odo interesuje nas już tylko to drugie.
Metodologia
Rodo nie daje odpowiedzi jak przeprowadzić analizę ryzyka po wystąpieniu naruszenia odo. Z pomocą przychodzą w szczególności cztery opracowania:
- Wytyczne PUODO (Stosowanie technicznych środków bezpieczeństwa w aspekcie zgłoszeń naruszeń do UODO oraz ocena wagi naruszenie w oparciu o zalecenia Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA)
- Poradnik UODO: Obowiązki administratorów związane z naruszeniami ochrony danych osobowych (Wersja 1.0 | Maj 2019)
- Metodologia ENISY co do oceny wagi naruszenia oraz
- Wytyczne G29 w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679 przyjęte 3 października 2017 r. (WP 250)
Każde warte jest uwagi, jednak na szczególną zasługuje metodologia ENISY, na którą zresztą powołują się poradniki UODO.
Agencja proponuje wzór na wagę naruszenia odo (WN), WN=KPD*PI+ON, gdzie:
WN – Waga Naruszenia ODO
KPD (A+B) – Kontekst Przetwarzania Danych: rodzaj i wrażliwość danych (A) oraz kontekst przetwarzania (B)
PI- Prawdopodobieństwo Identyfikacji
ON – Okoliczności Naruszenia.
Metodologia ta jest przydatna jako wzorzec i źródło inspiracji, ma jednak istotny mankament, który można łatwo wyeliminować. Nie uwzględnia bowiem parametru prawdopodobieństwa wystąpienia naruszenia praw lub wolności w odpowiednim miejscu, a jedynie prawdopodobieństwo identyfikacji, które wpływa na kontekst przetwarzania danych i ostateczny wynik, ale wynik ten nie odpowiada na pytanie jakie jest prawdopodobieństwo (a od tego zależy zgłoszenie) tylko jaka jest waga naruszenia praw lub wolności. Zawiera więc błąd metodologiczny ponieważ ze stopnia prawdopodobieństwa wyciąga wniosek o stopniu wagi, co jest pozbawione sensu, ponieważ wielkości te dotyczą innych kategorii, które na siebie nie wpływają.
Należy też zwrócić uwagę na zamieszanie terminologiczne, waga naruszenia (WN) oznacza tu to samo co waga ryzyka (jeden parametr) tymczasem obliczana jest jako kombinacja prawdopodobieństwa (tu identyfikacji) i czynników dotyczących wagi naruszenia praw lub wolności, czyli stopień ryzyka, ale opis wyników jest taki jak opis wagi (jednego parametru), np. niedogodności możliwe do pokonania – czyli wzór jest wewnętrznie niekonsekwentny.
Modyfikacja metodologii ENISY
Prawidłowo zaprojektowana procedura zgłaszania naruszeń powinna polegać na modyfikacji metodologii ENISY, w ten sposób, że osobno powinna być policzona waga naruszenia praw lub wolności i ten rachunek powinien składać się z rodzaju danych i kontekstu przetwarzania, (np. dane finansowe i szeroki wolumen danych), a osobno prawdopodobieństwo naruszenia praw lub wolności i ten rachunek powinien składać się z okoliczności naruszenia oraz prawdopodobieństwa identyfikacji osoby, (np. intencjonalne działanie sprawcy ale nośnik zaszyfrowany). Dopiero te dwa osobne wyniki powinny być poddane działaniu mnożenia i jego wynik będzie nam mówił jaki jest stopień ryzyka, w metodologii zwany wagą naruszenia odo (WN), przy czym tak wyliczone globalne ryzyko jest istotne dla zawiadomienia osoby, bo przy zgłoszeniu do UODO polegamy tylko na parametrze prawdopodobieństwa.
Oczywiście zastosowanie metodologii bez modyfikacji też zwykle będzie dawało poprawną decyzją co do zgłoszenia, ale całość oceny przebiega w mniej czytelny sposób, trzeba po prostu patrzeć głównie na prawdopodobieństwo identyfikacji i odpowiadać sobie na pytanie jakie jest prawdopodobieństwo wystąpienia skutku, który przewidujemy – jeśli jest wyższe od małego trzeba dokonać zgłoszenia.
Wskazane wyżej opracowania podają jedynie propozycje i niewiążące wskazówki, administrator/procesor musi samodzielnie opracować procedurę, warto jednak wyraźnie wyodrębnić parametr prawdopodobieństwa, ponieważ dla zgłoszenia do UODO ma on kluczowe znaczenie.
Dochodzenie u procesora
W tym miejscu warto jeszcze zwrócić uwagę, że do incydentu może dojść u procesora. W takim wypadku art. 33 ust. 2 rodo stanowi, że „Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.”
Oznacza to, że procesor ma obowiązek przeprowadzić dochodzenie w celu ustalenia czy incydent jest naruszeniem odo, w jakim czasie tego przepis nie określa ani dla procesora ani dla administratora, stąd należy przyjąć że bez zbędnej zwłoki. Jeśli już ustali, że doszło do naruszenia odo, to tu wyraźnie cytowany wyżej przepis art. 33 ust. 2 stwierdza, że bez zbędnej zwłoki ma zgłosić naruszenie administratorowi. Od tego momentu (otrzymania zgłoszenia od procesora) rozpoczyna dla administratora bieg termin 72 h na ocenę (analizę ryzyka) czy naruszenie podlega zgłoszeniu do UODO lub również zawiadomieniu osoby, której dane dotyczą. W analizie ryzyka procesor ma obowiązek pomagać administratorowi (art. 28 ust. 3 lit. f rodo), np. przez przekazanie własnego projektu analizy ryzyka bądź przez udzielanie administratorowi odpowiedzi na pytania dotyczące naruszenia.