Temat: PESEL, imię i nazwisko pacjenta
Paweł G.:
Rekapitulując, dyskusja pokazała, jak bardzo potrzebny jest ABI w organizacji.
Specjaliści od zarządzania ciągłością działania mają stałą tendencję do bagatelizowania ochrony prywatności i upraszczania związanych z tym problemów. Ich pierwszą reakcją jest zazwyczaj sarkastyczne:
-Jakie ryzyko jest ze spojrzenia na kopertę?
czy kategoryczne:
-To nie dane osobowe!
lub lekceważące (i fałszywe):
-Przecież [i tak] każda osoba z placówki ma dostęp i prawo do przetwarzania.
Spróbuję ci odpowiedzieć, bo jak widzę dalej mylisz pojęcia. Być może to jest problemem zrozumienia ludzi od ryzyka i ciągłości działania.
Otóż po raz kolejny przypominam - nie dotknęliśmy nawet ryzyka. Cały czas dyskutujemy o ZAGROŻENIU. Ryzyko jest wypadkową skutku i prawdopodobieństwa.
Jest jeszcze jedna kluczowa kwestia - otóż zagrożenie się analizuje, a ryzyko szacuje.
Ogólnie poniżej wyjaśnienie dlaczego należy to rozróżniać. W punktach:
1. Różnica między zagrożenie a ryzykiem i co w nich. I jaki fundamentalny błąd popełniają ABI skupiający się li tylko na ustawie, straszący odpowiedzialnością karną (łącznie).
2. Dlaczego we wszystkich ustawach "bezpiecznikowskich" mówi się o zagrożeniach, a nie ryzyku (a jeśli ryzyku to błędnie).
3. Jakie są implikacje dla niniejszej dyskusji.
Teraz jaki błąd robią ABI w zakresie oceny zagrożenia karą. Błędów jest klika. Zacznę od fundamentalnego.
ABI wykonuje zadania na rzecz ADO. ADO jak wiemy jest organizacją, podmiotem - w skrajnych przypadkach osobą. W tym przypadku ADO jest przychodnią. Natomiast odpowiedzialność za czyn niedozwolony (niezależnie który) jest przypisana OSOBIE. Innymi słowy, w tym konkretnym przypadku fundamentalny błąd polega na tym, że ADO jest tym, który zatrudnia ABI, a w dyskusji ciągle przewija się osoba kierująca (ten, co odpowiada). To tak pod rozwagę, ale ten wstęp jest ważny z zupełnie innego powodu. Opiszę go szczegółowo w pkt 1, 2 oraz 3.
1. Różnica między zagrożeniem a ryzykiem jest taka, że zagrożenie to coś, co nam zniszczy, uszkodzi, czy cokolwiek zrobi z danym zasobem. Katalog podstawowych zagrożeń omawialiśmy nie raz - art 36.
W tej dyskusji mówimy o zagrożeniu dla poufności danych osobowych. Poufność ma być utracona w wyniku zamieszczenia imienia, nazwiska i PESEL na kopercie. Większość osób patrzących przez pryzmat zagrożenia mówi że go nie ma, bo zidentyfikowanie osoby wymaga nadmiernych kosztów lub działań co do zasady bezprawnych (otwarcie koperty nie przeznaczonej), które musiałaby podjąć osoba, której zestaw jest udostępniony (nawet nieumyślnie).
O tym czy dane są ujawniane - poczekam na odpowiedź w casusikach - policyjnym i mundurowym.
Natomiast ryzyko - to to co może się wydarzyć w wyniku owego zniszczenia poufności. I tu jest kolejny błąd ABI - bo uważają, że sprawa karna to jest ryzyko. BŁĄD. To nawet nie jest materializacja zagrożenia, bo materializacją zagrożenia będzie wyrok sądu. I dopiero od wyroku skazującego można dalej szacować ryzyko dla organizacji, w kategoriach skutków prawnym, operacyjnym, finansowym etc.
Po drodze mamy jeszcze jedno zdarzenie szczytowe (top event) w analizie BOW-TIE. Wejście GIODO i stwierdzenie że dane są przetwarzane z naruszeniem ustawy. Niemniej tutaj w kategorii ryzyka, jeśli chcielibyśmy je jakkolwiek oceniać, zgodnie z art 18 nie występuje bezpośrednie ryzyko dla ciągłości organizacji.
I to tyle co do podstaw, wydawało mi się, zę ABI powinni choć trochę orientować się w różnicach, dlatego, że koniec pracy ABI w zakresie oceny zagrożeń i podjęcia działań - to początek pracy risk managerów czy innych ludzi, którzy robią ryzyko dla organizacji.
Jak ważnej pracy - za chwilę, bo to, że robią coś na ściśle zakreślonym obszarze nie znaczy, że ta praca nie jest ważna. Natomiast nie każdy musi byc managerem i nie każdy będzie organizacją kierował.
2. Bardzo ważna kwestia, która mnie osobiście śmieszy, jak ktoś mi próbuje przypisać działanie i myślenie, bez względu na obszar podstawowych dóbr i swobód. Ale o erystyce już pisałem.
Otóż dlaczego ustawy bezpiecznikowskie:
1. Mówią o zagrożeniach
2. Nie mówią o ryzyku
Ad 1 - bo odnoszą się do dóbr i swobód gwarantowanych konstytucyjnie. Innymi słowy - NIE DOPUSZCZAJĄ w założeniu materializacji zagrożenia, skutkującego naruszeniem tych dóbr. Po polsku - nie dopuszczają przetwarzania danych bez podstaw (i w sposób nie określony ustawą). Nie dopuszczają pozbawienia wolności bez podstaw (i w sposób nie określony ustawą). Nie dopuszczają do utraty zdrowia lub życia (kodeks pracy i BHP, ustawa o ochronie ppoż, ATEX i wiele innych regulacji) W założeniu jest bowiem pełna ochrona podstawowych dóbr i swobód.
To też powód dla którego nie ma w ogóle mowy o ryzyku (jako skutkach szacowanych), bo nie wolno dopuścić co do zasady do naruszenia. Ale nie hipotetycznego i wydumanego tylko realnego. Dlatego w całym tym wątku jest mowa o utracie poufności. Czyli realnym naruszeniu dóbr osobistych. A nie dywagacjach na poziomie organizacyjnym i definicyjnym.
Ad 2 - w związku z ad 1 chyba oczywiste. Natomiast rozwinięcie jest takie, że regulacje prawne nie mogą wkraczać w więcej niż tylko niezbędne do zapewnienia tego, co chronione Konstytucją. Szacowanie i ocena ryzyka - to domena świadomych organizacji (formalna) lub mniej świadomych i dojrzałych (nieformalna).
3. Implikacje dla dyskusji. Są naprawdę proste. Pkt 2 - UODO wprowadza regulacje chroniące poufność danych osobowych, ich integralność i rozliczalność. I znając ten cel należy oceniać wszystko co związane z ochroną danych osobowych. Związane jest to z pkt 2 - państwo nie może tworzyć regulacji wykraczających poza "to co potrzebne". Czyli regulacja nie może wkraczać w obszar funkcjonalności firmy (organizacji), ot tak sobie.
Z tego powodu, moje stanowisko jest jakie jest. Dla mnie nie zachodzi obawa naruszenia dobra jakim jest prawo do prywatności i ochrony informacji, bo imię i nazwisko + PESEL to za mało do tego, dla zwykłego obywatela.
Uznanie odrębnego stanowiska, prezentowanego przez moich adwersarzy oznacza, że przepis prawa wkraczać będzie już w obszary funkcjonalne organizacji (czyli bo to dla mnie są dane, więc już muszę), bez właściwego uzasadnienia (czyli nie służą ochronie informacji o osobie - art 51.1 Konstytucji - podstawy UODO).
Z tego też powodu wcześniej proponowałem zrozumieć Konstytucję oraz Dyrektywę. Oraz w niedługim czasie RODO/GDPR.