Zgłaszanie incydentów naruszeń ochrony danych osobowych – ciąg dalszy

Szanowni Państwo, wydarzenia ostatnich kilku tygodni skłoniły nas do opracowania kolejnego materiału w temacie incydentów. Moglibyśmy w tym miejscu zrobić formalne szkolenie, ale mamy okres urlopowy więc może być trudno zebrać wszystkich zainteresowanych, a z tym materiałem powinni zapoznać się niemalże wszyscy pracownicy banków, więc chyba łatwiej będzie poczytać w wolnej chwili.

Nie będziemy tu pisać o definicji incydentu, lecz o skutkach jego niewłaściwej oceny oraz o zagrożeniu wynikającym z zaniechania – mówiąc prościej: z „nicnierobienia” – zwłaszcza po stronie producentów oprogramowania.

Tylko w okresie wakacji mieliśmy (oficjalnie) trzy zdarzenia dotyczące ujawnienia tajemnicy bankowej poprzez wydanie dokumentu potwierdzającego operację, przeprowadzona na niewłaściwym rachunku, czyli historia wszystkim znana: przychodzi Pani Nowak, wypłaca gotówkę lub daje dyspozycję przelewu, ta wykonywana jest na rachunku innej Pani Nowak i do rąk niewłaściwej osoby trafia pokwitowanie zawierające imię i nazwisko, adres, numer i seria dowodu tożsamości, nr rachunku oraz dane operacji.

Takie zdarzenie obowiązkowo muszą być zgłaszane do PUODO, choćby dlatego, że po pierwsze złamano tzw. tajemnicę zawodową, czyli ujawniono fakt bycia klientem banku przez inną Panią Nowak, po drugie nieuprawniona osoba weszła w posiadanie danych, które w wielu miejscach są wystarczające, aby się podszyć, czyli zadziałać na czyjąś szkodę.

Tu przytoczę fragment z najnowszego biuletynu PUODO, w którym autor wyjaśnia problemy językowe (które notabene często mają miejsce w rodzimych aktach prawnych):

„Małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, powinno być (…) utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle (…). Warto zauważyć, że w polskiej wersji RODO użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe.

Ten fragment nie tylko pokazuje niedoskonałość tłumaczenia RODO, ale prezentuje też stanowisko PUODO w kwestii podejścia do oceny incydentu. Krótko mówiąc: aby nie dokonać zgłoszenia zdarzenia musimy umieć udowodnić, że nie dojdzie do zmaterializowania się ryzyka użycia pozyskanych danych przeciwko jej właścicielowi/właścicielce. Owszem zdarzały się takie sytuacje, kiedy np. obie Panie Nowak zamieszkiwały pod jednym adresem i na dodatek przelewały sobie wzajemnie środku. Ale to też nie zawsze musi być wystarczający argument. Wystarczy bowiem wiedza o konflikcie rodzinnym i sprawa przestaje być prosta.

W kwestii samego obowiązku zgłaszania naruszeń do PUODO dodamy jeszcze dwa aspekty, a mianowicie, że według PUODO  numer PESEL jak i nr i seria dowodu są danymi tak bardzo ważnymi z punktu widzenia możliwości kradzieży tożsamości, że każdy ich wyciek rodzi ryzyko naruszenia praw i wolności osoby, której dotyczy, a przesłanką do zgłoszenia jest właśnie to ryzyko, a nie fakt jego materializacji. 

————————————Część II ——————————————–

A teraz będzie jeszcze ciekawiej…

Całkiem niedawno, w odstępach dosłownie dwóch, trzech tygodni miało miejsce w dwóch różnych Bankach zdarzenie tego samego typu – czyli operacja na niewłaściwym rachunku i wydanie dokumentu z danymi nie tej osoby, która dokonywała operacji.

W jednym i w drugim przypadku dokonano zgłoszenia, ale istotna jest tu różnica między tymi przypadkami polegająca na tym, że jedna pani była przejęta, zwróciła dokument, podpisała oświadczenie o zachowaniu tajemnicy, a druga nie dość, że nie zamierza nic podpisywać, to grodzi rozmową z prawnikiem i rozważa odejście z banku.

I to jest ten drugi aspekt, który ma co najmniej dwa oblicza. Pierwsze to wkurzony klient, którego możemy stracić, a drugi to niezadowolony z życia pracownik banku. Skąd pewność, że któryś z nich z mniej lub bardziej złej woli nie zgłosi tego faktu do PUODO? A o tym, czym może się skończyć taka sytuacja przekonała się WARTA, która ostatecznie za niezgłoszenie incydentu otrzymała karę w wysokości ponad 85 tysięcy złotych (więcej można znaleźć na Centrum-Danych-Osobowych.pl w zakładce szkolenia).

————————————Część III ——————————————–

No to podkręćmy temperaturę…

Przyjrzyjmy się teraz tym zdarzeniom od całkiem innej strony, a mianowicie spróbujmy  poszukać winnego…

Analizując do tej pory już całkiem sporą liczbę tego typu zdarzeń, można wyłowić dwie główne ścieżki postępowania pracowników, które doprowadziły do tych incydentów. Pierwsza to wyszukiwanie klienta w bazie systemu bankowego po nazwisku, a druga, to pozostawienie w systemie bankowym okna z poprzedniej operacji. 

Błąd ludzki? Niedoskonałość? A co na to RODO?

Otóż RODO na ten temat mówi, że:

1. „Przetwarzane musi się odbywać (przyp. aut.) w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych” (Art. 5 ust. 1 pkt. f).
2. „Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.” (Art. 32 ust. 2.)

Warto zwrócić uwagę na słowo „przypadkową / przypadkowego”, bo RODO ‘wie’, że ludzie to nie roboty i zawsze będą się mylić, dlatego to właśnie na administratorze spoczywa obowiązek wdrożenia takich środków, aby ilość tych „przypadkowych” zdarzeń zminimalizować. Życie pokazuje, że same środki organizacyjne (procedury identyfikacji klienta) nie są tu jednak wystarczające…

A jak wspierają nas w tym zakresie systemy, to pokazuje liczba zdarzeń oraz fakt, że dzieje się to praktycznie wszędzie, bo wszędzie pracują ludzie. 

Problemem w tym miejscu może być odpowiedź na pytanie, co Bank zamierza zrobić, aby zapobiec podobnym zdarzeniom w przyszłości. Przy pojedynczym incydencie możemy napisać, że przeszkolimy pracowników, że przejrzymy procedury. Ale co, gdy takie zdarzenie się powtarza? Co, kiedy zdarza się to kolejny raz temu samemu pracownikowi? Będziemy zwalniać? Zatrudnimy sztuczną inteligencję?

No to przyjrzyjmy się za co karę dostał Polsat…

Otóż, Polsat dostał karę co najmniej z dwóch powodów – pierwszy, to notoryczne zgłaszanie incydentów z przekroczonym limitem czasu na zgłoszenie (nawet kilka miesięcy po stwierdzeniu naruszenia), ale ten przypadek zostawimy sobie na kiedy indziej, bo drugi powód jest ciekawszy.

Ten drugi powód to brak reakcji względem dostawcy w celu rzeczywistego zapobiegnięcia zdarzeniom na przyszłość. Mówiąc wprost, Polsat zgłaszał incydenty, ale w żaden istotny sposób nie wpłynął na dostawcę, co skutkowało kolejnymi (w tym przypadku) zaginięciami korespondencji (więcej można znaleźć na www.centrum-danych-osobowych.pl w zakładce Szkolenia).

No to teraz ręka w górę, kto co najmniej raz zwrócił się do producenta systemu core’owego aby ten wprowadził funkcje broniące pracowników banku przed przypadkowymi błędami?

Nie znamy odpowiedzi na wszystkie pytania. Choćby na to, po którym takim samym lub podobnym zdarzeniu PUODO nie uzna już za wystarczające posypanie głowy popiołem i przeprowadzenie szkoleń? 

Nie znamy tez odpowiedzi na pytanie, kiedy albo może czy już PUODO zauważyło, że ten sam problem dotyczy użytkowników tego a nie innego systemu? Nie wiemy też na ile PUODO postanowi skontrolować losowo innych uczestników grupy i kto zostanie takim wybrańcem?

Z pewnością też nikt nie wie, kiedy ktoś złoży skargę i jakie pociągnie to za sobą skutki. 

Ale jedno jest pewne: skoro trudno mówić o woli współdziałania ze strony producentów (zwłaszcza czytając niektóre ich odpowiedzi), to warto mieć podkładkę na to, że bank jako administrator zrobił wszystko co było w jego gestii i mocy. Ale, jeżeli bank nie podejmuje działań mających na celu wprowadzenia rzeczywistych zabezpieczeń (uświadamianie dostawców też jest jednym z wymogów), wówczas musi się liczyć z tym, że może (nie do końca słusznie)  ponieść tego konsekwencje i to samodzielnie.

Kiedy RODO wchodziło do naszego życia wiele tłumaczeń i interpretacji uchodziło, ba nawet znamy przypadki udzielania nie do końca właściwych odpowiedzi na pytania zadawane przez PUODO, co nie rodziło negatywnych skutków. Obecnie jednak mija ponad pięciu lat od wejścia RODO w życie i nadal mamy brak dialogu na linii użytkownicy-producenci systemów, który nikomu nie służy, więc może warto podjąć kolejne starania, aby tą sytuację zmienić. Tego niestety bez czynnego udziału zarządów banków, na dodatek w ramach większej grupy może się nie udać przeprowadzić, tym bardziej, że nie chodzi o to aby tylko kolejny raz wymienić się pismami, ale aby współpraca w obszarze ODO nabrała faktycznych kształtów.

Bernadeta Gronowska, Jacek Rembikowski, E-QSM Consulting Sp. z o.o.