Aktualizacja poradnika UODO: Czy każde naruszenie należy zgłaszać?
Chyba dawno nie było tak wielkiego poruszenia w branży ochrony danych osobowych, jak po aktualizacji poradnika dotyczącego naruszeń. Już pierwszy poradnik wydany kilka lat temu wzbudził silne emocje, ale najważniejsze jest to, że stał się punktem wyjścia do masowego stosowania kalkulatorów oceny ryzyka naruszenia. Administratorzy bardzo często opierali swoje decyzje zgłoszenia lub nie naruszenia do organu nadzorczego na narzędziach opracowanych na podstawie jednej z zaleconych w tym poradniku metod. Natomiast w decyzjach Prezesa UODO coraz częściej pojawiało się stwierdzenie, że administrator niewłaściwie ocenił ryzyko. W konsekwencji najczęściej organ nakładał karę za niezgłoszenie naruszenia. W nowym poradniku przemilczano temat metody oceny ryzyka naruszenia wg wytycznych ENISA. Natomiast zaprezentowano „nowe podejście”. W praktyce powstała panika, bo dotychczasowy świat „szacowania ryzyka naruszenia” został wywrócony do góry nogami. Nagle okazało się, że promowana wcześniej metoda jest zła. Eksperci komentowali nowy poradnik, radząc administratorom, aby na nowo oszacowali ryzyko. A najlepiej, żeby zgłaszać wszystkie naruszenia, bo organ nadzorczy „zmienił zdanie”, więc teraz każde naruszenie będzie wpadać pod obowiązek zgłoszenia. A kto nie zgłosi, musi liczyć się z karą.
Nie chcę wychodzić na obrońcę UODO lub stawać w kontrze do niego. Natomiast fakty są takie, mówiłam to od bardzo dawna, że kalkulatory nie są najlepszymi narzędziami do oceny ryzyka naruszenia. Uważam, że fajnie wspierają proces myślowy, ale są bardzo wrażliwe na manipulacje, więc łatwo uzyskać wynik, jakiego się oczekuje, a nie obiektywną ocenę ryzyka naruszenia. Poza tym, jak każda metoda obliczeniowa, mają ograniczoną liczbę informacji, które są uwzględniane do ważenia ryzyka. W praktyce takim kalkulatorom umykają liczne subtelności, które mają kluczowy wpływ na ocenę ryzyka.
Gdy zaczęło obowiązywać RODO, ocenę ryzyka naruszenia realizowałam w oparciu o wytyczne z motywu 76 preambuły, zgodnie z którym w celu określenia ryzyka naruszenia, należy wziąć pod uwagę możliwe negatywne skutki, uwzględniając możliwy wpływ na osobę, której dane dotyczą, charakter przetwarzania, kontekst przetwarzania, zakres naruszonych danych. Taka ocena nie jest łatwa i szybka, ale nigdy mnie nie zawiodła. Był moment kiedy w związku z wytycznymi z poradnika UODO, dodatkowo stosowałam wyliczenie wg ENISA. Jednak bardzo szybko zrezygnowałam, bo widziałam że „rozjeżdżają” się wyniki tych dwóch metod. Przy czym zazwyczaj metoda wyliczeniowa zaniżała ryzyko. Przestałam ją stosować, bo gdy administrator zobaczył dwa wyniki analizy ryzyka naruszenia, gdzie pierwszy wskazywał na konieczność zgłoszenia go do organu nadzorczego, a drugi jedynie na odnotowanie w wewnętrznej dokumentacji, był gotów odstąpić od zgłoszenia. Oczywiście nie zawsze wyniki były rozbieżne, ale gdy do tego dochodziło, musiałam mierzyć się z ciężką dyskusją z administratorem, podczas której przekonywałam go, że jednak w jego interesie jest dokonanie zgłoszenia. Później pojawiły się wytyczne EROD (1/2021), w których stosowano tylko i wyłącznie ocenę zgodną z RODO, więc ocena ryzyka stała się łatwiejsza.
Z mojej perspektywy, zaktualizowany poradnik dotyczący naruszeń nie wprowadził wielkich zmian. W końcu pojawiło się rozróżnienie pojęć „naruszenie ochrony danych” oraz „naruszenie przepisów o ochronie danych” – wiem z doświadczenia, że wielu administratorów oraz inspektorów miało problem ze zrozumieniem różnicy. Nie uważam natomiast, że zmieniło się stanowisko dotyczące oceny ryzyka naruszenia. Raczej położono nacisk na to co nie wybrzmiało w pierwszym poradniku: nie ma idealnej metody, dlatego tak ważne jest to, aby podejść rzetelnie do oceny i należy pamiętać, że każda metoda może być obarczona błędem. Może on wynikać z samej metodologi, ale także subiektywizmu osób, które wykonują ocenę. Nie, ten poradnik nie jest rewolucją dla osób, które stosowały i rozumiały RODO. Natomiast może być szokiem tam, gdzie zrozumienie mechanizmu oceny naruszenia było pobieżne. Nie oznacza to, że jeśli ktoś stosował tylko i wyłącznie kalkulatory oparte o metodę ENISA, ma źle oszacowane ryzyko naruszenia. Może dla niektórych zdarzeń, mieć zaniżone ryzyko. Jednak tak samo może być, jeśli stosował inne rozwiązania, a nie uwzględnił wszystkich czynników. Po prostu ocena ryzyka naruszenia nie jest łatwa.
Duża część dyskusji wobec zaktualizowanego poradnika, krąży wobec stwierdzenia, że zgłoszeniu nie podlegają tylko te zdarzenia, dla których administrator stwierdził brak ryzyka. Eksperci biją na alarm, że jest to podejście o wiele bardziej rygorystyczne, niż wynikające z przepisów RODO. Wynika z niego, że należy zgłaszać wszystko. Jednak jeśli przeczyta się cały rozdział, a nie fragment wyrwany z kontekstu, to okazuje się, że w poradniku pojawia się wyjaśnienie, że brak ryzyka oznacza, że jest mało prawdopodobne, że dojdzie do materializacji negatywnych skutków naruszenia (s. 66 poradnika). Takie probabilistyczne podejście jest zgodne z art. 33 ust. 1 RODO. Należy pamiętać, że zgodnie z nim, obowiązkiem administratora jest dokonanie zgłoszenia naruszenia ochrony danych osobowych. Tylko w szczególnych przypadkach, gdy administrator jest w stanie wykazać, że to prawdopodobieństwo negatywnych skutków tego zdarzenia dla osoby, której dane dotyczą jest bardzo niskie („mało prawdopodobne”), wówczas może odstąpić od zgłoszenia. To jest wyjątek od reguły, stosowany w szczególnych przypadkach. Gdzie „mało prawdopodobne” oznacza, że ryzyko jest równe zero lub bliskie zeru. Jeśli jest chociaż cień szansy, że negatywny wpływ jest możliwy, to nie zadziała wyjątek od zgłoszenia. Tak wynika z motywu 76 oraz wytycznych EROD. Jeśli nie mamy pewności, czy naruszenie może mieć negatywny wpływ, należy jest zgłosić. Wynika to z prostego faktu, że administrator w takim wypadku nie potrafi wykazać, że wystąpił wyjątek od obowiązku zgłoszenia.
Sądzę, że mogą być administratorzy, którzy nie dokonali zgłoszenia, bo niewłaściwie ocenili ryzyko. Stąd tak duży stres i poruszenie wobec nowego poradnika.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.
