Każdy administrator musi liczyć się z możliwością naruszenia ochrony danych osobowych. Przetwarzanie danych osobowych wiąże się z ryzykiem. Przyczyną naruszenia może być szereg różnych zdarzeń. Błąd ludzki, zagrożenia ze sfery cyberbezpieczeństwa czy może zaniedbania organizacyjne? Na razie to bez znaczenia, bo każde z nich może doprowadzić właśnie do naruszenia ochrony danych osobowych.
Czym jest naruszenie ochrony danych osobowych?
O tym, czym jest naruszenie ochrony danych osobowych napisałem już odrębny artykuł. Możesz zapoznać się z nim klikając tutaj. Jeżeli natomiast wpadłeś tu tylko na chwilę, przypomnę w skrócie.
Z naruszeniem ochrony danych osobowych mamy do czynienia w szczególności wtedy, gdy:
- utracisz dostęp do danych;
- utracisz integralność danych, tj. zostaną wbrew Twojej intencji zmienione;
- dane zostaną ujawnione.
Jak ocenić naruszenie?
Jeżeli doszło do zdarzenia, w wyniku którego ucierpiały wskazane wyżej obszary, powinieneś rozpatrzyć je pod kątem naruszenia ochrony danych osobowych. W jaki sposób możesz tego dokonać? Skorzystaj na przykład z metodyki oceniania naruszeń opracowanej przez ENISA. Rekomendacje te pozwolą Ci na przydzielenie konkretnych ocen i obliczenie na ich podstawie wagi naruszenia. Są one uzupełnione o przykłady, które pomogą Ci zastosować je w praktyce. Pamiętaj jednak, że nie są wyczerpujące. Życie pisze zdecydowanie więcej scenariuszy, niż jest to możliwe do oddania w takim dokumencie.
Ocena naruszenia ochrony danych osobowych zaczyna się od określenia jego kontekstu, tj. jakich danych osobowych i jakiego przetwarzania ono dotyczy. Metodologia wyróżnia dane zwykłe, dane dotyczące zachowań, dane finansowe oraz szczególne kategorie danych osobowych. Każda z grup ma przyporządkowane wartości liczbowe, które należy powiększyć lub pomniejszyć w zależności od okoliczności zdarzenia.
Drugim krokiem oceny naruszenia jest określenie łatwości identyfikacji konkretnej osoby z wykorzystaniem danych objętych naruszeniem. Zaproponowana w rekomendacjach ocena zawiera się w czterech ocenach. Wyróżniają kolejno stopień nieistotny, ograniczony, istotny i maksymalny. W dużym uproszczeniu najniższy stopień wiąże się z niewielkim prawdopodobieństwem prawidłowego ustalenia tożsamości osoby, a najwyższy z prawdopodobieństwem bardzo wysokim.
Kolejnym etapem jest przypisanie oceny wspomnianych już okoliczności naruszenia, którymi są utrata dostępu do danych, ich integralności lub poufności. Jeżeli zdarzenie było wywołane działaniem w złej wierze, konieczne będzie podwyższenie oceny.
Wynik oceny naruszenia ochrony danych osobowych
Końcowy wynik oceny naruszenia otrzymasz po podłożeniu uzyskanych liczb do równania:
waga naruszenia = kontekst przetwarzania x łatwość identyfikacji + okoliczności naruszenia
Jeżeli uzyskasz wartość przekraczającą 2, naruszenie podlega obowiązkowi zgłoszenia go do Prezesa Urzędu Ochrony Danych Osobowych.
Ocena naruszenia przy wykorzystaniu rekomendacji ENISA wygląda stosunkowo prosto, przynajmniej na papierze. Z doświadczenia wiem jednak, że w praktyce może nie być to łatwe zadanie. Naruszenia często są bardzo złożone, a ich prawidłowa ocena i podjęcie decyzji co do dalszych działań wymaga znajomości szeregu przepisów i wytycznych. Pomocne są także decyzje wydawane w sprawach naruszeń przez Prezesa UODO.
Na zakończenie życzę Ci, abyś nie musiał skorzystać z tych wskazówek. Jeżeli jednak by tak było, nie jesteś sam. Mogę Ci w tym pomóc i doradzić co zrobić w konkretnej sytuacji.😉
Pingback: Rejestr naruszeń ochrony danych osobowych - Zdrowe Dane