Nie lubimy naruszeń danych, ale gdy już jakieś wystąpi, to najważniejsza jest ocena poziomu naruszenia, bowiem z niej wynika dalsze postępowanie. Sprawy nie ułatwia fakt, że w ostatnich miesiącach głośno było o karach nałożonych przez Prezesa UODO, które wynikały właśnie z niewłaściwej oceny tego poziomu.
Przypomnę, że ogólne rozporządzenie o ochronie danych (RODO) definiuje naruszenie ochrony danych osobowych jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Jednocześnie możemy wyodrębnić trzy poziomy takiego naruszenia:
1. jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;
2. naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych;
3. naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Jak widać powyższe definicje nie są zbyt precyzyjne. Jak bowiem ocenić to, czy ryzyko jest mało prawdopodobne lub czy ryzyko jest wysokie? Z doświadczeń i obserwacji działania Urzędu Ochrony Danych Osobowych mogę powiedzieć, że ryzyko należy szacować niezależnie od liczby osób, których dane dotyczą. Choć w RODO mowa o osobach fizycznych (w liczbie mnogiej), to pokontrolne raporty urzędu wyraźnie wskazują, że należy to traktować jako figurę stylistyczną. Argumentacja bazująca na fakcie, że naruszenie objęło niewielką grupę ludzi, nie jest argumentacją, która się broni.
Również obserwacja działań urzędu pozwala powiedzieć, że jedną z ważnych danych jest numer PESEL. Formalnie nie znajduje się on w katalogu szczególnych kategorii danych (art. 9 RODO) i do tego jest w powszechnym użyciu, a jego niejawność wydaje się być utopijnym marzeniem. Z drugiej jednak strony, jest to numer nadawany na całe życie a jednocześnie wykorzystywany aktywnie w sprawach finansowych, sądowych i innych dużej wagi. Stąd też PESEL wywołuje tak wiele kontrowersji, a urzędowe opinie skłaniają do uznawania naruszeń z nim związanych, za naruszenia o wysokim ryzyku.
Jak jednak postępować w wypadkach naruszeń niezwiązanych z numerem PESEL? Istnieją różne metody oraz podejścia, a jednym z nich jest metoda oceny wagi naruszenia wg Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA). Wedle tej metody, do określenia wagi będą potrzebne następujące informacje:
z których wyliczamy, że Waga naruszenia = KPD * PI + ON.
Kontekst przetwarzania danych
Pierwszy czynnik brany pod uwagę to KPD. Składa się on z dwóch składników: rodzaju danych oraz kontekstu podwyższającego lub obniżającego. Najpierw należy więc ustalić rodzaj danych. Metoda proponuje następujące rodzaje, z matematyczną punktacją:
Ocenę kontekstu może podwyższyć lub obniżyć każdy z poniższych elementów:
Określając czynniki obniżające należy wnikliwie przeanalizować poprawność tej decyzji oraz przygotować rozsądną argumentację.
Prawdopodobieństwo identyfikacji
Sama skala prawdopodobieństwa nie jest specjalnie skomplikowana. Zaproponowano tu cztery stopnie:
1. znikome (0,25),
2. ograniczone (0,5),
3. wysokie (0,75),
4. maksymalne (1).
Największe wyzwanie stanowi ich poprawne określenie.
Okoliczności naruszenia
Ostatni element głównego wzoru podwyższa wagę naruszenia z uwagi na kilka aspektów:
Ostateczne określenie wagi naruszenia
Większość powyższych obliczeń opiera się na jasnych kryteriach, jednak niektóre wymagają zastanowienia i oszacowania, które niestety każdy z oceniających może wykonać wg własnego podejścia. Sugeruję więc, aby te punkty poddać ocenie więcej niż jednej osoby.
Gdy wszystkie elementy ostatecznego wzoru zostaną poprawnie oszacowane, ostateczny wynik (waga = KPD * PI + ON) pozwoli na rozpoznanie, z którym z przypadków mamy do czynienia:
Choć cała metoda jest usystematyzowana i określona wzorami, to zawiera również elementy oceny ludzkiej, o czym wspominałem również wyżej. Co za tym idzie, ocena może być subiektywna. W decyzji Prezesa UODO (DKN.5131.11.2020) nakładającej karę na jedną z fundacji, znajdziemy stwierdzenia: „za pomocą kalkulatorów możliwe jest uzyskanie dowolnego wyniku, w zależności od danych wprowadzonych do obliczeń […] [dokumenty] nie zawierają opisu szczegółowych kryteriów, jakimi kierowała się Fundacja dokonując oceny za pomocą wskazanego kalkulatora.”
Trzeba więc mieć na uwadze, że podana wyżej metoda ma pomóc oszacować rozmiar zagadnienia, jednak musimy się liczyć z wieloma jego aspektami. Natomiast udokumentowanie toku rozumowania oraz zadbanie o jego bezstronność jest często bardziej istotne niż sam matematyczny opis modelu.