W dzisiejszej rzeczywistości, gdzie coraz to więcej aspektów działania przenosi się do świata cyfrowego, dane osobowe wymagają szczególnej ochrony. Pomału wzrasta świadomość podmiotów danych, które zaczynają zwracać większą uwagę na zakres przetwarzania informacji, mogących je jednoznacznie zidentyfikować.

Tym samym administratorzy danych osobowych, działając w oparciu o przepisy m.in. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., dokładają wszelkich starań, aby zapobiegać ewentualnym naruszeniom danych osobowych.

Przywołane powyżej rozporządzenie, znane powszechnie jako RODO, jasno definiuje naruszenie danych osobowych. W art. 4 pkt. 12 wskazano, że należy przez nie rozumieć: „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych”. Akt prawny jednoznacznie określa także kroki działania w przypadku stwierdzenia naruszenia danych osobowych. Wówczas administrator bez zbędnej zwłoki, możliwie nie przekraczając 72 godzin od daty stwierdzenia naruszenia, dokonuje zgłoszenia incydentu naruszenia danych osobowych do organu nadzorczego, a także, jeżeli jest to wymagane, informuje o tym fakcie podmioty danych. Zgłoszenie incydentu naruszenia nie jest wymagane, jeśli istnieje małe prawdopodobieństwo, że spowoduje ono naruszenie praw lub wolności osób fizycznych.

Powiadomienie organu nadzorczego o incydencie związanym z  danymi osobowymi poprzedza wykonanie oceny wagi naruszenia. W tym celu można posłużyć się zaproponowaną przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) metodą oceny wagi naruszenia. Uwzględnia ona takie czynniki, jak:

  • kontekst przetwarzania danych (KPD) – określa poziom krytyczności zestawu naruszonych danych
    w określonym kontekście przetwarzania;
  • prawdopodobieństwo identyfikacji – PI – określa łatwość identyfikacji osoby na podstawie naruszonych danych osobowych przez osobę, która uzyskała do nich niepożądany dostęp; jest to czynnik, który może korygować KPD;
  • okoliczności naruszenia – ON – wskazanie okoliczności, które wystąpiły lub nie w danym przypadku.*

To właśnie opisaną powyżej metodę zastosowano przy tworzeniu aktywnego formularza, który umożliwia przeprowadzenie oceny wagi naruszania w systemie RODOprotektor. Dzięki niej, po wprowadzeniu do formularza określonej punktacji dla każdego z opisanych kryterium, otrzymamy ocenę wagi w oparciu o wzór:

WN=(DO+CS)*MI+ON+IK

gdzie:

  • WN – oznacza wagę naruszenia;
  • DO+CS – uwzględnia kryterium danych osobowych (np. dane finansowe, charakter danych osobowych) i kryterium specyfiki naruszenia;
  • MI – kryterium uwzględniające możliwość identyfikacji;
  • ON – czynniki wpływające na okoliczności naruszenia (np. znany odbiorca danych, brak możliwości poprawienia danych osobowych);
  • IK – inne kryterium (np. celowe naruszenie, dane niedostępne z powodu szyfrowania).

Po uzupełnieniu formularza w systemie RODOprotektor o określone wartości dla kryterium mających związek z naszym incydentem, system automatycznie:

  • wylicza ocenę dotkliwości naruszenia,
  • wskazuje na ocenę wagi (z uwzględnieniem poziomów: niski, średni, wysoki oraz bardzo wysoki),
  • podpowiada, czy oceniany incydent podlega obowiązkowi zgłoszenia do organu nadzorczego, a także czy należy poinformować podmioty danych.

Przykładowa ocena wagi naruszenia dla incydentu związanego ze zgubieniem pendrive’a z danymi pracowników wykonana przy pomocy systemu RODOprotektor:

Ocena wagi naruszenia danych osobowych z wykorzystaniem RODOprotektor

Uzupełniamy wartości dotyczące kryterium danych osobowych, w tym wartość dla czynnika podstawowe dane osobowe (0,5 pkt), dla danych dotyczących zachowań osoby (1 pkt), dla czynnika dane finansowe (1,5 pkt). Następnie dla kryterium specyfiki naruszenia wartościujemy takie czynniki, jak: szeroki zakres danych osobowych (1 pkt), charakter danych (-1 pkt), publiczna dostępność danych (-1 pkt).

W kolejnych krokach podajemy wartości dla czynników:

Ocena wagi naruszenia danych osobowych z wykorzystaniem RODOprotektor

Znikoma możliwość identyfikacji osoby, której dane dotyczą (0,25 pkt.), nieznana liczba podmiotów, którym ujawniono dane osobowe (1 pkt) oraz, dla przywołanego przykładu, brak możliwości poprawienia danych osobowych (1 pkt).

W następnym kroku należy uzupełnić punktację dla czynników z grupy „inne kryterium”, w tym przypadku – celowe naruszenie (1 pkt).

Ocena wagi naruszenia danych osobowych z wykorzystaniem RODOprotektor

Po wskazaniu wartości dla czynników wpływających na ocenę wagi naruszenia dla przywołanego przykładu na górze formularza uzyskamy wskazówki co do dalszego działania. Ocena dotkliwości wynosi 3,5, co wskazuje  na wysoką wagę naruszenia danych osobowych. Obowiązkowe jest zatem powiadomienie organu nadzoru danych na temat incydentu, a także poinformowanie podmiotu danych.

Ocena wagi naruszenia danych osobowych z wykorzystaniem RODOprotektor

Ponadto, po wykonaniu oceny wagi naruszenia możemy wygenerować raport dla ocenianego incydentu, w którym pojawią się wszystkie wymagane przepisami informacje dotyczące naruszenia, a także wynik wykonanej oceny.

Ocena wagi naruszenia danych osobowych z wykorzystaniem RODOprotektor

Ocena wagi naruszenia danych osobowych z wykorzystaniem RODOprotektor pozwala na wartościowanie incydentów i klasyfikację ich jako naruszenia w zautomatyzowany sposób. Dzięki temu Inspektor Ochrony Danych Osobowych otrzymuje jasną informację co do wypełnienia obowiązku informacyjnego o incydencie naruszenia wobec organu nadzorczego, a także podmiotów danych osobowych.

Źródło

*Więckowska, Stosowanie technicznych środków bezpieczeństwa w aspekcie zgłoszeń naruszeń do UODO oraz ocena wagi naruszenia w oparciu o zalecenia Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), Warszawa 2019, s. 38.

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość