Jak Skutecznie Ocenić Ryzyko Naruszenia Danych Osobowych

Jak Skutecznie Ocenić Ryzyko Naruszenia Danych Osobowych

Biorąc pod uwagę, że większość kar nałożonych przez UODO dotyczy niezgłoszenia naruszenia, lub jego nieprawidłowego obsłużenia, zrozumienie jak prawidłowo zadziałać w takiej sytuacji ma duże znaczenie by uniknąc kontroli organu. Nieumiejętność oszacowania ryzyka może prowadzić do poważnych konsekwencji dla administratorów. W tym artykule przedstawie, jak to zrobić krok po kroku, korzystając z metodologii opracowanej przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA).

1. Wprowadzenie do Oceny Ryzyka Naruszenia Danych

Ocena ryzyka naruszenia danych to proces, który pozwala na określenie potencjalnego wpływu naruszenia danych na osoby. Ocena jest przeprowadzana, gdy ustalimy że incydent tj. niepożądane działanie na danych faktycznie jest naruszeniem bo swym zakresem obejmuje dane osobowe poprzez ich zniszczenie, tymczasową utratę lub ujawnienie nieuprawnionej osobie.

2. Kluczowe Kryteria Oceny

Metodologia ENISA przewiduje ocenę ryzyka na podstawie trzech głównych kryteriów:

  • Kontekst przetwarzania danych (Data Processing Context, DPC): rodzaj przetwarzanych danych oraz kontekst, w jakim są one używane. Wpływ na ocenę ma m.in. ilość danych, specyficzne cechy podmiotu spółki dane oraz cechy osób, których dane dotyczą. Wartość wynosi pomiędzy 1 - 4. Zdaniem organu ujawnienie PESEL lub inne unikatowe identyfikatory należy traktować przynajmniej jako wartość 3.

    • Przykłady:
      • Lista nazwisk i numerów telefonów klientów supermarketu może mieć wartość 1.
      • Ta sama lista, jeśli pochodzi od firmy sprzedającej luksusowe samochody, może zwiększyć wartość do 2 punktów, gdyż sugeruje pewien status finansowy klientów.
      • Jeśli lista pochodzi z apteki specjalizującej się w leczeniu cukrzycy, wartość DPC może wzrosnąć do 3 punktów, ponieważ może ona ujawnić stan zdrowia klientów

  • Łatwość identyfikacji (Ease of Identification, EI): jak łatwo można zidentyfikować osobę na podstawie danych, które zostały naruszone. Uwzględnia się tutaj zarówno identyfikację bezpośrednią, jak i pośrednią. Wartość wynosi pomiędzy 0.25 - 1.  Ujawnienie unikatowych identyfikatorów takich jak PESEL, zdaniem organu nalezy traktować przynajmniej jako 0.75 lub 1.

    • Przykłady:
      • Imię i nazwisko mogą mieć 0.25 punktu, jeśli występują w dużej populacji, gdzie wiele osób ma to samo nazwisko.
      • Numer telefonu może mieć 0,5 punktu, jeśli można go przypisać do określonej osoby, ale nie jest publicznie dostępny.
      • PESEL lub numer dowodu osobistego mogą mieć 1 punkt, jeśli są one bezpośrednio powiązane z osobą i łatwo dostępne w bazie danych.

  • Okoliczności naruszenia (Circumstances of Breach, CB): To kryterium dotyczy specyficznych okoliczności naruszenia, takich jak utrata poufności, integralności lub dostępności danych oraz zamiar naruszenia. W przypadku utraty dostępności wylicza się bazując na czasie jak długo są niedostępne, w przypadku integralności czy da sie je odzyskać a w przypadku poufności, jak wiele osób może mieć do nich dostęp i czy ich tożsamość jest znana. Puryści metodologii ENISA uznają że mogą być to tylko czynniki obciążąjące przedsiębiorce a więc zwiększające ryzyko. Często w branży stosuje się także okoliczności obniżające ryzyko np. dobra wola odbiorcy lub szybki czas reakcji.

    • Przykłady:
      • Mail został wysłany do błędnego odbiorcy zwiększa ryzyko o 0.25 punktu.
      • W przypadku celowego działania, np. kradzieży danych przez pracownika, aby je sprzedać, CB może być ocenione na 0,5 punktu.
      • Trwałe i nieodwracalne zniszczenie dokumentu może być ocenione na 0,5 punktu.

3. Obliczanie Stopnia Nasilenia Naruszenia

Aby obliczyć stopień nasilenia naruszenia danych, ENISA proponuje następującą formułę:

S=(DPC×EI)+CBS = (DPC \times EI) + CB

Gdzie:

  • S to wynik oceny stopnia nasilenia naruszenia,
  • DPC to wynik oceny kontekstu przetwarzania danych,
  • EI to wynik oceny łatwości identyfikacji,
  • CB to wynik oceny okoliczności naruszenia.

4. Interpretacja Wyniku

Na gruncie RODO wynik oceny nasilenia (S) wywołuje 3 rodzaje skutków

  • Niskie (S < 2): Naruszenie trzeba odnotować w rejestrze i wdrożyć środki naprawcze.
  • Średnie (2 ≤ S < 3): Oprócz środków powyżej, trzeba też poinformować organ nadzorczy.
  • Wysokie (3 ≤ S): Oprócz środków powyżej, trzeba też poinformować poszkodowanych.

5. Praktyczne Zastosowanie Metodologii

Metodologia ENISA jest powszechnie stosowana przez organizacje do oceny konieczności zgłoszenia naruszenia a także poinformowania poszkodowanych. Wiele firm posiada gotowe wzory excel które samodzielnie wyliczają ryzyko w oparciu o wprowadzone dane lub zaznaczone checkboxy. Coraz częściej możemy znaleźć także programy i strony internetowe posiadające gotowe kalkulatory działające w podobny sposób.

 

Powrót do blogu

Zostaw komentarz