W poniedziałek Prezes UODO opublikował bardzo ważną dla praktyków ochrony danych decyzję ws. Virgin Mobile: https://uodo.gov.pl/pl/138/1791. Decyzja ta jest o tyle istotna, że krajowy organ nadzorczy odniósł się w niej bardziej szczegółowo do tego jak postrzega prawidłowe przeprowadzenie analizy ryzyka zgodnie z wymaganiami RODO i wprost wskazuje, jakie elementy przy szacowaniu tego ryzyka należy uwzględnić. Przeczytałem z zapartym tchem i… kamień spadł mi z serca. W DAPR robimy to dobrze . Poniżej odniosłem się do najistotniejszych z punktu widzenia metodyki fragmentów, dzieląc wpis na 5 części:

1. Do czego odnosi się ryzyko w RODO?
2. Jakie to ryzyko?
3. Ryzyko inherentne czy stan faktyczny?
4. Regularne testy zabezpieczeń i wdrożenie ISO
5. Co jeszcze ważnego w decyzji?

Kiedy skończyłem pisać okazało się, że wyszedł z tego całkiem obszerny materiał. Tym bardziej warto jednak się z nim zapoznać, ponieważ może być on pomocny w uporządkowaniu dość złożonych kwestii analizy ryzyka, w odniesieniu do omawianej decyzji. Także zalecam kubek dobrej kawy i zapraszam do lektury 

1. Do czego odnosi się ryzyko w RODO?

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu.

Definiowanie ryzyka jako iloczynu prawdopodobieństwa i skutków nie jest niczym zaskakującym i za pomocą tych samych składowych określone zostało w RODO. Pewne niejasności pojawiają się natomiast w zakresie tego, do czego to ryzyko powinno się odnosić. Innymi słowy, czego prawdopodobieństwo i powagę skutków szacujemy. Dlatego w cytowanym fragmencie ważne jest też trzecie pojęcie – incydentu. Część analiz ryzyka, w tym ta krytykowana przez organ w omawianej decyzji wydaje się ten element pomijać. Czym jest zatem wspomniany incydent? Powinniśmy w tym miejscu przytoczyć kolejny fragment decyzji:

Wskazane w przedstawionej analizie ryzyka zagrożenie w postaci „nieuprawniony dostęp osób trzecich lub nieuprawnione ujawnienie danych osobom trzecim” nie powinno zostać określone przez Spółkę na poziomie „Nie dotyczy”, ponieważ zdarzenie to może zaistnieć w każdej organizacji, z powodu wielu różnych przyczyn, natomiast odpowiedź „Nie dotyczy” byłaby zasadna w sytuacji, gdyby Spółka nie przetwarzała w tym procesie danych osobowych. Natomiast, jak wynika z materiału dowodowego ustalonego w toku kontroli oraz postępowania administracyjnego, właśnie to zagrożenie zmaterializowało się, poprzez wykorzystanie niezidentyfikowanej podatności istniejącej w procesie przetwarzania danych osobowych (…).

W powyższym fragmencie przedstawiono opis zaistniałego incydentu, który jest niczym innym, jak zrealizowanym scenariuszem badanego ryzyka, który może prowadzić do naruszenia ochrony danych osobowych. Zamiennie dla słowa „incydent” może być stosowane sformułowanie „naruszenie bezpieczeństwa”, wykorzystane w definicji naruszenia ochrony danych osobowych z art. 4. punkt 12) RODO.

Kiedy incydent/naruszenie bezpieczeństwa staje się naruszeniem ochrony danych osobowych? Zgodnie z powyższą definicją ma to miejsce wtedy, gdy w jego wyniku następuje kolejny etap (określony w cytowanym fragmencie słowem „zdarzenie”), w postaci utraty jednego z atrybutów bezpieczeństwa danych osobowych, określonych w art. 5 ust. 1 f) RODO (poufność, integralność, dostępność, zgodność z prawem). To właśnie scenariusz: incydent prowadzący do zdarzenia, np. utraty poufności danych (naruszenia ochrony danych), wraz ze skutkami tego ostatniego dla osób fizycznych stanowi przedmiot badania w analizie ryzyka na potrzeby RODO.

Do wyjaśnienia całości wykorzystanego aparatu pojęciowego brakuje jeszcze zagrożenia i podatności. Tak jak wskazano w cytowanym fragmencie, do zdarzenia w postaci nieuprawnionego ujawienia danych (utraty poufności) może dojść z wielu różnych przyczyn. Przyczyny te to nic innego jak właśnie zagrożenia, czyli hipotetyczne incydenty. W tym przypadku zagrożeniem było wykonanie nieautoryzowanej kopii danych przez osoby do tego nieuprawnione. Zmaterializowało się ono dzięki wykorzystaniu podatności, czyli słabości systemu wykorzystywanego przez Virgin Mobile do realizacji czynności przetwarzania. To samo zdarzenie, czyli nieuprawnione ujawnienie danych mogłoby nastąpić w wyniku innych zagrożeń, takich jak np. atak ze strony hakera lub kradzież nośników danych.

Z powyższego fragmentu można odnieść również wrażenie, że słowa zagrożenie oraz zdarzenie stosowane są zamiennie. Takie wrażenie można odnieść również z lektury poradnika UODO z maja 2018 pt. Jak stosować podejście oparte na ryzyku. Rozstrzygające będą tutaj jednak (cytowane zresztą w tym samym poradniku na s. 35) wytyczne Grupy Roboczej Art. 29 WP 248 pt. Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, które w załączniku 2, opisującym kryteria dopuszczalnej oceny skutków dla ochrony danych zawierają kolejno punkty:

– zidentyfikowano możliwe skutki dla praw i wolności osób, których dane dotyczą, w przypadku zdarzeń takich jak bezprawny dostęp, niepożądane zmiany i zniknięcie danych; 

– zidentyfikowano zagrożenia, które mogłyby doprowadzić do bezprawnego dostępu, niepożądanych zmian i zniknięcia danych;

W związku z powyższym, w zespole DAPR posługujemy się wymienionymi pojęciami tak jak zostało to przedstawione powyżej.

2. Jakie to ryzyko?

Nie bezpodstawnie tytułuję tę część zgodnie z nazwą naszego projektu www.jakietoryzyko.pl. Urząd w decyzji odniósł się także do tego, jak należy szacować prawdopodobieństwo i powagę skutków. Zacznijmy od tego drugiego.

W przypadku oceny powagi skutków incydentu, organ podkreśla konieczność wcześniejszego ustalenia wartości aktywów:

Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla organizacji, firmy – administratora danych osobowych. (…) Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych).

W tym miejscu należy z kolei wyjaśnić, że chociaż w decyzji Prezes UODO stosuje generalną definicję aktywów, to zgodnie ze standardami bezpieczeństwa informacji (co urząd wskazuje również w swoim poradniku na s. 6) dzielą się one na aktywa podstawowe (w tym przypadku będą to informacje – dane osobowe) oraz wspierające (hardware, software, lokalizacje, personel itd.).

Nie mam wątpliwości, że dla oceny powagi skutków w przypadku ryzyka związanego z naruszeniem ochrony danych osobowych kluczowe będzie przede wszystkim określenie wartości tych pierwszych, czyli samych danych osobowych. Jedynym możliwym do zastosowania kryterium w tym przypadku będzie intensywność ewentualnego wpływu na osoby fizyczne w przypadku naruszenia. „Wartość” ta będzie wprost proporcjonalna do intensywności wpływu. Innymi słowy, im poważniejsze konsekwencje dla osób, których dane dotyczą może spowodować utrata jednego z omówionych w Części 1. atrybutów bezpieczeństwa danych z art. 5 ust. 1 f) RODO, tym większą „wartość” będą miały te aktywa.

Do tego odnoszą się kolejne fragmenty:

Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw i wolności osób fizycznych. (…) Przemawia za tym poważny charakter naruszenia oraz krąg osób nim dotkniętych (123.391 – stu dwudziestu trzech tysięcy trzystu dziewięćdziesięciu jeden abonentów (…).

W jakich kategoriach należy mierzyć powagę tych konsekwencji (skutków)? Odpowiedź również mamy w decyzji:

W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

Na podstawie powyższego fragmentu widoczne jest, że organ posługuje się kategoriami skutków wymienionymi w motywie 75. RODO. Kto próbował jednak wartościować dane w ramach tych kategorii ten wie, że taka ocena nie jest wcale łatwa. Poza zakresem danych osobowych, oraz tym ilu i jakich osób dotyczą, należy tutaj uwzględnić również charakter przetwarzania (kontekst procesu). W DAPR zdaliśmy sobie sprawę z tego wyzwania już na początku naszych prac nad analizą ryzyka. Na potrzeby tej oceny przygotowaliśmy wtedy autorską skalę, którą posługujemy się i doskonalimy do dziś – można ją poznać właśnie na www.jakietoryzyko.pl. Szerzej na temat oceny powagi skutków dla osób fizycznych rozpisaliśmy się też w artykule do Magazynu ODO: https://magazyn-odo.pl/w-numerze/.

Po przeanalizowaniu powagi skutków możemy zająć się oceną drugiego ze składników ryzyka, jakim jest prawdopodobieństwo. Organ w swojej decyzji odniósł się również do tego jak należy, a raczej nie należy go szacować:

Podkreślić należy, iż badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

Należy wyjaśnić, że podejście, w którym prawdopodobieństwo zaistnienia określonego zdarzenia może być określane poprzez częstość jego wcześniejszego występowania w danym przedziale czasu ma swoje korzenie w standardach ISO dotyczących bezpieczeństwa informacji i zarządzania ryzykiem. Znajdziemy je chociażby w normach ISO 27005 czy ISO 31010. Jednocześnie normy te wskazują jasno, że jest to tylko jedna z możliwych do zastosowania technik i nie zawsze uzasadniona, chociażby w sytuacji gdy organizacja jest „młoda” lub nie miała nigdy w przeszłości do czynienia z danym rodzajem zdarzenia. W takiej sytuacji rekomendowane są inne możliwości, np. analiza drzewa błędów lub po prostu skorzystanie z opinii specjalistów. Należy wtedy oprzeć się na zidentyfikowanych w stanie faktycznym podatnościach i posiadanych zabezpieczeniach.

Podatności i zabezpieczeń nie możemy z kolei rozpatrywać w oderwaniu od drugiego rodzaju aktywów występujących w organizacji – aktywów wspierających. Chociaż nie mają one znaczenia dla określenia powagi konsekwencji dla osób fizycznych, to będą one niezbędne dla szacowania prawdopodobieństwa. To na nie będą bowiem oddziaływać poszczególne zagrożenia. Pominięcie tego elementu jest częstym błędem w analizach ryzyka, a przecież nie da się ukraść, zhakować lub zgubić czynności przetwarzania jako takiej – zagrożenia te mogą natomiast dotyczyć wykorzystywanych w tych czynnościach aktywów wspierających. To w kontekście tych aktywów (uczestniczących w czynnościach) powinniśmy określać prawdopodobieństwo. Samo oszacowanie ich wartości również będzie pomocne dla spełnienia obowiązków wynikających z RODO w zakresie zarządzania ryzykiem. Dlaczego? Ponieważ wiedząc, które aktywa wspierające są najistotniejsze z punktu widzenia ochrony danych osobowych będziemy mogli bardziej precyzyjnie zaadresować adekwatne środki techniczne i organizacyjne, zgodnie z art. 32 ust. 1 RODO. Z perspektywy ochrony danych osobowych najwyższą wartość będą miały te aktywa wspierające, które uczestniczą w największej ilości czynności przetwarzania, przechowują najwięcej/najszerszy katalog danych osobowych, uczestniczą w czynnościach przetwarzania objętych najwyższym ryzykiem. Taką klasyfikację sporządzamy w ramach funkcji Raportów naszej aplikacji.

3. Ryzyko inherentne czy stan faktyczny?

Kolejną wątpliwością, która często pojawia się przy analizie ryzyka na potrzeby RODO jest zagadnienie tzw. ryzyka inherentnego. Najczęściej jest ono definiowane jako ryzyko oszacowane w sytuacji braku zabezpieczeń. W kontekście RODO pojawia się pytanie, czy takie właśnie ryzyko w ramach art. 32 powinno się mierzyć, aby następnie dostosować adekwatne środki techniczne i organizacyjne? Przytaczany już wcześniej fragment decyzji ws. Virgin wydaje się rozwiewać tę wątpliwość na niekorzyść powyższej tezy:

– (…) analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.

Cytowane zdanie wskazuje na to, że powinno się brać pod uwagę stan aktualny wraz z istniejącymi zabezpieczeniami, co również przyjmuję z zadowoleniem, ponieważ od początku wychodziliśmy z takiego założenia wykonując analizy dla naszych klientów.

4. Regularne testy zabezpieczeń i wdrożenie ISO

W Spółce nie było przeprowadzane kompleksowe regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych (…).

To pierwsza decyzja, w tak dużym stopniu oparta na art. 32 ust. 1 d) RODO. Podkreślenie konieczności udokumentowania przeprowadzanych ocen skuteczności zabezpieczeń może zwrócić uwagę tych administratorów, którzy ten punkt traktowali do tej pory z przymrużeniem oka, chociaż pojawił się on wcześniej m.in. w decyzji dot. SGGW. Co istotne, organ stwierdził, że gwarancję przeprowadzania regularnych przeglądów i audytów zabezpieczeń zapewnia wdrożenie i utrzymywanie przez administratora norm ISO 27001, 27002 i 27701:

(…) wymogi utrzymania certyfikatów zgodności systemu zarządzania w Spółce z wdrożonymi normami oznaczają m.in objęcie funkcjonowania systemu zarządzania bezpieczeństwa informacji i ochrony danych corocznym audytem wewnętrznym prowadzonym przez Spółę, jak i zewnętrznym niezależnej instytucji wydającej certyfikat. Powyższe oznacza, że Spółka wdrożyła rozwiązania zapewniające regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków zapewniających bezpieczeństwo przetwarzania danych. (…) Spółka wdrożyła również normy ISO gwarantujące na przyszłość wysoki poziom procedur regulujących m.in. przetwarzanie danych osobowych w Spółce, w tym przewidujące również regularne przeglądy i audyty zabezpieczeń (…).

Jest to ważny sygnał dla rynku i potwierdzenie oparcia podejścia Prezesa UODO do analizy ryzyka na tym właśnie źródle. Warto jednak pamiętać, że przeprowadzenie analizy ryzyka wg norm odnoszących się do bezpieczeństwa informacji nie oznacza przeprowadzenia analizy ryzyka zgodnej ze specyfiką RODO, gdzie powaga skutków określana jest nie w stosunku do organizacji, ale wobec praw i wolności osób fizycznych (norma 27701 nie precyzuje jak należy szacować tę powagę).

5. Co jeszcze ważnego w decyzji?

Na koniec jeszcze trzy istotne z punktu widzenia metodyki punkty, które nie wymagają już szerszego komentarza:

– Zmiana dostawcy (operatora systemu informatycznego) powinna każdorazowo wiązać się z aktualizacją analizy ryzyka w tym zakresie;

– Należy pamiętać o przechowywaniu informacji o zakresie upoważnień oraz uprawnień dostępowych dla personelu organizacji, czego brak został zinterpretowany jako naruszenie zasady rozliczalności;

– Półtorej roku to zbyt długi odstęp pomiędzy kolejnymi iteracjami analizy ryzyka, przynajmniej w przypadku organizacji tej wielkości i o tej skali przetwarzania danych osobowych jak Virgin Mobile Polska.

Podsumowując, analizowana decyzja rzuca pewną ilość światła na dyskutowane do tej pory niejasności w zakresie analizy ryzyka na potrzeby RODO. Mam nadzieję, że kolejne rozstrzygnięcia będą posiadać równie obszerne uzasadnienia i pozwolą w przyszłości dopełnić ten obraz. Osobiście, najważniejsze jest dla mnie to, że po lekturze możemy jako DAPR, z czystym sumieniem polecać naszą metodę analizy ryzyka i aplikację: https://redintogreen.dapr.pl/.