Czy to już naruszenie, czy tylko incydent?
Dość długa cisza na blogu, to efekt krótkiego (i niestety trzy razy przerywanego) urlopu, a także armagedonu, który rozpętał się u moich klientów po powrocie. Mówiąc krótko, trzy tygodnie po urlopie stwierdziłam, że aby dojść do siebie, przydałby mi się kolejny. Jeśli jesteś IOD, szczególnie tym działającym na własny rachunek, być może zauważyłeś, że w wakacje nagle „wszyscy przypominają sobie o RODO”. Nagle chcą uporządkować sprawy, które zawsze były „mniej pilne”, zaktualizować dokumentację, zrobić audyt. Od kilku lat wakacje są w mojej firmie okresem bardzo intensywnej pracy, tym bardziej, że zawsze w osłabionym, ze względu na sezon urlopy, składzie.
Poza tym wakacje to najgorszy czas na naruszenie, właśnie ze względu na braki kadrowe, szczególnie wśród osób decyzyjnych. Jednak chciałabym zwrócić uwagę na jeszcze jeden problem: niechęć do zgłaszania naruszeń. Samo w sobie naruszenie jest stresujące, wymaga działania na wielu frontach. Nagle zamieniasz się w kapitana tonącego statku, który jako jedyny na pokładzie nie tracie zimnej krwi i wie co robić. Przynajmniej w teorii, bo w praktyce każdy incydent to mniejszy lub większy stres. I przepychanki z załogą: zgłaszać, czy nie zgłaszać?
O tym, jak zawiadomić organ o naruszeniu pisałam już wcześniej – wbrew pozorom nie jest to łatwe. Odrębną kwestią jest dokonanie oceny ryzyka naruszenia. Można dokonać tego poprzez ocenę materializacji negatywnych skutków dla osoby, które dane dotyczą lub skorzystanie z kalkulatora ryzyka naruszena (jest ich kilka dostępnych w Internecie). Jednak nie każdy incydent można łatwo zamknąć w ramach tej oceny. Miałam okazję dwa razy przekonać się o tym w te wakacje.
Nie jest tak naprawdę istotne czego dotyczyły naruszenia, ale jak przebiegał proces ich oceny. W pierwszym przypadku uważałam, że doszło do naruszenia, po osoba, która nie była do tego uprawniona otrzymała wgląd do danych. Nie miało znaczenia, że była zobligowana do poufności. Jednakże podczas „burzy mózgów”, byłam bardzo skutecznie przekonywana, że jednak w tym wypadku ryzyko negatywnych skutków jest bardzo niewielkie, więc zgłoszenie jest złym pomysłem. I szczerze, byłam skołowana. Zakres danych niewielki, w zasadzie nawet znane (chociaż nie w tym kontekście) osobie, która otrzymała do nich wgląd. Prawie dałam się przekonać, jednak nie byłam pewna. W takim wypadku korzystanie z narzędzi do oceny ryzyka naruszenia jest bezużyteczne, ponieważ nie jesteś w stanie obiektywnie dokonać oceny, napakowany subiektywnymi argumentami. Polecam Ci jedno proste rozwiązanie – zapytanie o zdanie kogoś zupełnie obiektywnego. Oczywiście najlepiej innego IOD, ale może być też to osoba zupełnie nie związana z ochroną danych. Ja dokładnie tak zrobiłam. Zapytałam się dwojga znajomych z branży, czy zdarzenie (opisane obiektywnie, bez żadnych szczegółów) ich zdaniem jest naruszeniem, które podlega zgłoszeniu. Oboje od razu odpowiedzieli twierdząco i podali dokładnie te same argumenty, którymi ja kierowałam się na początku. I bardzo szybko odrzucili wnioski za tym, aby nie zgłaszać. Co więcej, kolega podał mi doskonały argument do każdej przyszłej rozmowy z klientem: bardzo wielu nieuprawnionych odbiorców danych, zgłasza zdarzenie do Prezesa UODO. Niektórzy uważają, że mają taki obowiązek (bo słyszeli, że naruszenia należy zgłaszać), inni z prywatnych pobudek. O ile argumenty racjonalne, dotyczące zgłoszenia często nie trafiają do administratora, o tyle argument o możliwym donosie oraz karach, które są nakładane za niezgłoszenie w takim wypadku (choćby przykład Warty), działają wręcz magicznie.
Podsumowując: gdy nie wiesz lub jesteś skołowany, zapytaj kogoś niezaangażowanego w proces o opinię. I nie bój się zagrać kartą „donosu do UODO”, gdy przekonujesz administratora, że warto dokonać zgłoszenia. Ostatecznie niezgłoszenie to o wiele większe zagrożenie karą.
Druga sytuacja, która jest warta omówienia dotyczy naruszenia, które w praktyce nie jest naruszeniem, a incydentem. Przykładem może być rozmowa z oszustem, który próbuje wyłudzić dane osobowe, ale ostatecznie mu się nie udaje. Co ciekawe takich zdarzeń pracownicy klientów zgłaszają mi bardzo dużo, szczególnie gdy dochodzi do wysłania wiadomości e-mail do niewłaściwego odbiorcy. Jednak nie każdy błędnie wysłany mail jest naruszeniem. Zrozumienie tego wymaga powrotu do korzeni, czyli samej definicji naruszenia. Przy czym odwołam się bardziej do logiki, niż RODO, bo czasami znajomość RODO to za mało.
Naruszenie ochrony danych to zdarzenie, gdy dojdzie do utraty jednej z cech danych osobowych: poufności, dostępności lub integralności, przy jednoczesnym negatywnym skutku dla osób, których danych dotyczy naruszenie. Wysłanie przez pracownika wiadomości o zmianie godziny spotkania pod zły adres e-mail, gdzie pracownik ujawnił tylko swoje służbowe dane ze stopki, nie będzie naruszeniem ochrony jego danych. Gdyż nie zmaterializowały się cechy naruszenia, tzn. nie doszło do naruszenia poufności danych osobowych pracownika, przy jednoczesnym negatywnym skutku tego zdarzenia. Wiem, że gdy to czytasz, może wydawać Ci się dziwne, że w ogóle poruszam temat „nienaruszeń”, ale w praktyce spotykam się z nimi bardzo często, a towarzyszy im panika pracowników, których trzeba racjonalnie uspokoić. Wtedy potrzebne są mądre argumenty.
Podsumowując: naruszenie wymaga, aby doszło do negatywnej w skutkach dla osób fizycznych, utraty poufności lub integralności lub dostępności danych.
A kiedy zgłosić naruszenie? W praktyce prawie zawsze. Serio. Jeśli negatywne skutki dla osoby fizycznej są możliwe, zgłoszenie jest konieczne. Czyli niskie ryzyko naruszenia też wymaga zgłoszenia. Nie zgłaszamy tylko wtedy, gdy jesteśmy pewni, że negatywne konsekwencje nie mają szans się zmaterializować. Sam Prezes UODO napisał w poradniku dotyczącym naruszeń, że jeśli administrator ma wątpliwości, lepiej niech zgłosi, niż nie zgłasza. W końcu zgłoszenie naruszenia to jedynie czynność techniczna i nie skutkuje automatycznym nałożeniem kary. Na karę trzeba sobie zasłużyć.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.