W ostatnich miesiącach co chwilę czytamy doniesienia o skutkach kolejnych ataków hakerskich na systemy i sieci różnych organizacji. Kradzież, skasowanie, zaszyfrowanie, zniekształcenie czy publikacja poufnych danych w Internecie to problemy, przed którymi muszą zabezpieczać się nie tylko wielkie koncerny. Dane osobowe są szczególnie łakomym kąskiem dla atakujących. Dodatkowo do naruszeń może dojść też wewnątrz struktury organizacji. Dlatego kluczowym zagadnieniem w codziennej rzeczywistości – dla wszystkich przedsiębiorców bez względu na branżę, jest właściwe zapewnienie ochrony tych danych. W tym także odpowiednie zorganizowanie działań prewencyjnych i walki z ewentualnymi incydentami.

Co może pójść nie tak? Dokumentacja ochrony danych osobowych standardowo zawiera wzór rejestru incydentów lub jak wynika z literalnego brzmienia RODO – naruszeń ochrony danych osobowych. W wielu firmach do niedawna ten dokument nie był w ogóle wypełniony. Można byłoby uznać, że brak wpisów w takim rejestrze świadczy o świetnym stanie ochrony danych osobowych w firmie i na tym temat zamknąć. Dla doświadczonego „RODO-wca” powinien to być jednak bardzo wyraźny sygnał ostrzegawczy, że coś zawiodło.

Braki w komunikacji i świadomości załogi

Brak wpisów w rejestrze incydentów wynika na ogół z braku zgłoszeń od osób, które przetwarzają dane. To znaczy, że pracownicy w firmach nie rozpoznają sytuacji, kiedy dochodzi do naruszenia ochrony danych osobowych lub je ignorują. Może to świadczyć o niewystarczającym poziomie szkoleń lub dużym skomplikowaniu rzeczywistości. W bezpieczeństwie informacji nic nie jest stałe i niezmienne. Pojawiają się nowe podatności i nowe zagrożenia, które je wykorzystują. Dlatego nie zawsze naruszenia ochrony danych są łatwe do stwierdzenia. Pracownicy w natłoku podstawowych zadań często nie przywiązują odpowiedniej wagi do tych kwestii albo unikają odpowiedzialności. Wyzwaniem dla pracodawców jest więc właściwe zakomunikowanie podejścia firmy do ochrony danych i dostosowanie procedur w taki sposób, żeby ten proces stał się możliwie naturalny i prosty w codziennym stosowaniu. Standardy związane z bezpieczeństwem informacji bardzo wyraźnie akcentują zmienność warunków, w jakich funkcjonują organizacje. Dlatego konieczne są systematyczne przeglądy i aktualizacje wdrożonych rozwiązań oraz zmiany w stosowanych politykach i procedurach, które dostosują je do aktualnych potrzeb.

Zarządzanie incydentami jest środkiem, nie celem samym w sobie

Jak zaprojektować skuteczny system ochrony danych? Jak zwykle w biznesie ważne jest właściwe ustalenie celów i narzędzi do ich realizacji. Przedsiębiorcy za główny cel w tym obszarze stawiają sobie często walkę z incydentami. Żeby im zapobiec lub ograniczyć ich skutki prowadzą ciągłą walkę z zagrożeniami zewnętrznymi i wewnętrznymi. Na potrzeby tej walki wybierają narzędzia, które zapewnią im bezpieczeństwo i formułują dla nich budżety. Pojawia się jednak pytanie: czy to właściwa droga do ochrony danych osobowych. Myślenie o bezpieczeństwie danych przez pryzmat incydentów jest naturalnym odruchem. Kształtują go postanowienia RODO, które określają zasady nakładania kar na administratorów danych ściśle powiązane z naruszeniem przepisów o ochronie danych osobowych. W potocznym rozumieniu naruszenia najłatwiej utożsamiać ze spektakularnymi wyciekami danych, a więc incydentami. Zarządzanie ochroną danych przez pryzmat naruszeń może jednak odwracać uwagę od właściwego celu, jakim powinno być zapewnienie praw i wolności osobom, których dane przetwarza administrator lub procesor.

Jak oceniać poziom bezpieczeństwa danych?

Incydenty są jednym z wyznaczników poziomu bezpieczeństwa. Ich częstotliwość i zasięg są podstawowym źródłem informacji o skuteczności systemu bezpieczeństwa. Oczywiście kluczowa jest też reakcja na incydent, czyli skuteczność wdrożonych procedur. Skoro zarządzanie incydentami jest centralnym procesem bezpieczeństwa, pojawia się więc pytanie jak należy go właściwie zaplanować. Zgodnie z definicją z art. 4 pkt. 12 RODO naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa, którego skutkiem jest przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do przetwarzanych danych. Administrator i procesor mają obowiązek identyfikować zdarzenia, które mogą mieć taki skutek oraz oceniać ich wpływ na bezpieczeństwo danych. Wybór odpowiednich środków ochrony danych wymaga w pierwszej kolejności określenia jakie dane i w jaki sposób są przetwarzane. Dopiero wtedy możliwe jest ustalenie, jakie zdarzenia mogą prowadzić do naruszenia ochrony tych danych i jakie mogą być ich skutki. Nie dla firmy, która je przetwarza, ale dla osób, których te dane dotyczą (dla ich praw i wolności). Działania, jakie powinny zostać wdrożone dla zapewnienia odpowiedniej ochrony danych osobowych są determinowane poziomem ryzyka – tym jakie szkody mogą powstać w związku z przetwarzaniem danych dla osób, których dane dotyczą oraz na ile są realne. Dlatego ochrona danych to nie tylko unikanie incydentów, ale również właściwa organizacja procesu przetwarzania.

Jak  myśleć o ryzyku dla bezpieczeństwa danych?

Z przepisów jasno wynika, że bezpieczeństwo danych musi bazować na zabezpieczeniach odpowiednich do ryzyk, z którymi wiąże się ich przetwarzanie. Ryzyko jest rozumiane w sposób charakterystyczny dla systemów zarządzania bezpieczeństwem informacji – jako wypadkowa prawdopodobieństwa zdarzenia o negatywnym wpływie na bezpieczeństwo i ciężkości jego skutków. Zdarzeniem powodującym ryzyko nie musi być wcale naruszenie ochrony danych, może być nim również sam proces przetwarzania danych.

Skutek, o jakim mowa w kontekście ryzyka jest utożsamiany przede wszystkim ze szkodą. RODO nie formułuje zamkniętego katalogu skutków, dlatego tak dużo trudności sprawia właściwe dostosowanie się do nałożonych tymi przepisami obowiązków. Wskazuje jednak trzy obszary, w jakich może powstać szkoda, co jest zgodne z zasadami klasyfikacji określonymi na gruncie prawa cywilnego i karnego. Skutki przetwarzania danych mogą negatywnie oddziaływać na stan majątkowy, sferę psychiki lub zdrowia (kondycji fizycznej człowieka). Jako przykłady RODO wymienia  m.in.:

  1. dyskryminację,
  2. kradzież tożsamości lub oszustwo dotyczące tożsamości,
  3. stratę finansową,
  4. naruszenie dobrego imienia,
  5. naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
  6. nieuprawnione odwrócenie pseudonimizacji,
  7. znaczną szkodę gospodarczą lub społeczną,
  8. pozbawienie praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;

W praktyce ustalenie możliwych skutków przetwarzania danych  nie zawsze jest łatwe. Jeżeli z firmy wypłyną dane PESEL z adresem klientów, kradzież tożsamości jest stosunkowo jasnym skutkiem. W przypadku wycieku nagrań z monitoringu skutki dla praw lub wolności nagranych osób nie są już tak jednoznaczne. Dlatego RODO jasno wskazuje na konieczność oceny ryzyk w odniesieniu do specyfiki dokonywanego przetwarzania. Dotyczy to zwłaszcza sytuacji, w których ma miejsce:

  1. przetwarzanie danych wrażliwych, dotyczących wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa,
  2. ocena czynników osobowych (m.in. analizowanie lub prognozowanie efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się) – w celu tworzenia lub wykorzystywania profili osobistych;
  3. przetwarzanie danych osób wymagających szczególnej opieki, w szczególności dzieci;
  4. przetwarzanie dużej ilości danych osobowych, które wpływa na dużą liczbę osób, których dane dotyczą,
  5. monitorowanie na dużą skalę miejsc dostępnych publicznie,
  6. przetwarzanie z wykorzystaniem nowoczesnych technologii.

Skuteczność zależy od dobrego przygotowania

W Polsce brakuje jednoznacznych wytycznych Prezesa UODO dotyczących oceny ryzyka związanego z określonymi czynnościami na danych osobowych i wymaganych przy nich środków bezpieczeństwa. Widać to szczególnie wyraźnie w kontekście przetwarzania danych w związku z COVID-19, jak chociażby w związku z mierzeniem temperatury. Dlatego dla administratorów danych i procesorów kluczową kwestią jest dokonanie odpowiedniej analizy procesów przetwarzania i związanych z nimi ryzyk. Zarządzanie incydentami jest kluczowe z punktu widzenia bezpieczeństwa, jednak nie będzie realizowane skutecznie bez właściwego ustalenia przedmiotu ochrony, czyli praw i wolności osób na jakie może wpływać przetwarzanie.  Takie działania będę nie tylko kosztowne, ale przede wszystkim nieskuteczne – nie ochronią ani przed naruszeniem RODO ani przed stratami finansowymi czy wizerunkowymi, które dotkną administratorów lub procesorów.