Кога мерките за сигурност са подходящи?
Последните няколко седмици бяха особено интензивни за практиката по защита на личните данни в България. Новината за теча в НАП през юли разбуни духовете на обществото, а преди няколко дни се поставиха последователно 2 рекорда за най-големи санкции, откакто е влязъл в сила GDPR. Първо КЗЛД обяви, че налага на „Банка ДСК“ имуществена санкция в размер на 1 млн. лв., а на следващият ден разбрахме, че проверката на НАП е приключила с наказателно постановление на стойност от 5,1 млн лева. И в двата случая, констатираното от Комисията нарушение е, че администраторът „не е приложил подходящи технически и организационни мерки, в резултат на което е осъществен неоторизиран достъп, неразрешено разкриване и разпространение“. Т.е. – съставът на чл.83, ал.4 вр. чл.32, ал.1 от GDPR – нарушение на задължението на администратора за сигурност на обработването.
И докато няма съмнение и никой не спори, че действително е реализирано нарушение в сигурността на големи масиви лични данни, на които НАП и Банка ДСК съответно са администратори, то за професионалната общност и задължените лица с особена тежест продължава да виси въпросът: „При всички случаи ли се носи отговорност за теч на данни или само, когато не са предприети подходящи мерки?“, както и „Кои и какви мерки са подходящи?“. Повод за сгъстяване на мъглата около тези проблеми стана едно изказване на уважавания проф. Целков – член на КЗЛД, който каза по повод проверката в НАП:
„Няма дефиниция какво значи „подходящи“. Т.е. ще се следи дали има пробив. Ако има пробив, значи не са подходящи, ако няма – значи са подходящи“
Това изказване, разбира се, не е официално становище на КЗЛД, а и не знаем дали то отразява конкретната фактическа обстановка по казусите на ДСК и НАП, но може да се използва като някаква индикация за това как регулаторът по принцип тълкува закона. И очевидно интерпретацията е, че независимо какви мерки предприема администраторът/обработващият, те за Комисията са неподходящи, ако са довели до нарушение в сигурността на данните.
Това така ли е?
Независимо дали КЗЛД стои зад него или не, тълкуване, според което, ако е налице увреждащият резултат – нарушение в сигурността на личните данни, то следва да се ангажира отговорността на администратора/обработващия, независимо какви мерки е предприел, не е нищо друго освен резултативно задължение да не се допуска нарушение в сигурността. Такава трактовка няма опора нито в закона, нито в логиката на регулираните обществени отношения. Би следвало да се наказват само тези задължени лица, които не са положили дължимата грижа – предприемане на адекватни на рисковете от обработката мерки за защита на личните данни.
Какво представлява задължението за предприемане на подходящи мерки?
Както видяхме от цитата по-горе, е възможна трактовка в смисъл, че „щом има нарушение в сигурността на данните, то мерките не са били подходящи“. Т.е. самото задължение да е от вида на „резултативните“ – длъжен си да не допускаш неправомерния резултат, който е пробив в сигурността. А мерките са вече различни средства за изпълнение на това задължение и са „подходящи“ само, когато са предотвратили вредата.
На първо място, считам, че, ако тълкуваме така правилата, то отново стигаме до безвиновна отговорност. Такава е, защото излиза, че каквото и да предприеме задълженото лице, то ще отговаря, ако се случи нарушението в сигурността, независимо, че то може да е резултат и от случайно или изключително малко вероятно събитие (напр. земетресение, държавен преврат и т.н.). В чл.32, ал.1 GDPR обаче не се предвижда задължение „да не се допуска нарушение в сигурността“. Задължението е друго – администраторът/обработващият да предприемат „подходящи технически и организационни мерки“ за сигурност на данните. И това означава, че, когато това задължение е изпълнено, но въпреки това е настъпило нарушение на сигурността, то не може да се ангажира отговорността на задълженото лице.
Освен това, цялостната философия на режима за защита на данни предвижда задължения преди всичко за полагане на грижа, която е адекватна на рисковете при обработка, но не и за конкретен резултат, например абсолютна сигурност. Това е тъй нареченият „подход, основан на риска“ („risk-based approach”), който е въплътен в редица разпоредби на Регламента като: чл.25, чл.35, чл.37 и др.
Този подход е въплътен и в сърцето на разпоредбите на чл.32 GDPR. Въпросните подходящи мерки за сигурност са подходящи не за друго, а за да са адекватни на рисковете за правата и интересите на субектите на данни. И по-специално – рисковете, свързани с обработката на данните, изброени в чл.32, ал.2, които по същество представляват различни хипотези на нарушения в сигурността на данните, съгласно чл.4, ал.1, т.12 GDPR.
Освен да извърши оценка на информационните си рискове, за което ще спомена отново малко по-долу, администраторът/обработващият трябва да съобрази и други обстоятелства, свързани с обработката, като:
- Достиженията на техническия прогрес
Наличното състояние на техниката може да освободи от отговорност администратора, ако е нямало техническо решение, което да реши проблем със сигурността, но и може да го ангажира да предприеме определени мерки, които са достъпни и лесни за реализиране. Например: TLS протокол за защита съдържанието на уебсайтове.
- Разходите за прилагане
Съобразяването на разходите за прилагане на едно или друго решение не следва да се разбира като сметка на разходите/ползите, която да се сведе до това дали е изгодно за администратора да предприеме определени мерки или не. С оглед принципа на пропорционалността, следва да тълкуваме съобразяването с разходите за прилагане като пропорция между рисковете, които обработката създава и цената на мярката, която трябва да се приложи. Например: високият риск за правата на хиляди абонати на Tinder в Саудитска Арабия от разкриването на техните сексуални предпочитания, следва да изключва спестяването на средства за неприкосновеност и сигурност на данните под предлог, че „не излиза сметката на администратора“.
- Естеството, обхвата и контекста на обработването
Изясняването на характеристиките на конкретните дейности по обработка на данни при определяне на мерките за защита също представляват израз на принципа на пропорционалност, характерен за правото на ЕС. Така, например: мерките, които ще се предприемат, зависят от количеството и качеството/вида на данните, които се обработват, броя на субектите, за които се отнасят, особеностите от организационно и техническо естество (напр. дали обработката става по интернет) и т.н.
- Целите на обработването
Тук става дума за прилагане на принципите за ограничение на целите и свеждане на данните до минимум (чл.5, пар.1, б. „б)“ и „в)“ GDPR).
В обобщение, може да се каже, че разпоредбата на по чл.32 GDPR съдържа задължение за оценка на рисковете, които извършваното обработване генерира и предприемане на адекватни на рисковете технически и организационни мерки за сигурност, които следва да се съобразят и с обстоятелствата, които конкретно характеризират съответните операции с лични данни. Това задължение може да е изпълнено и въпреки това да настъпи пробив в сигурността, както очевидно допуска и GDPR в съобр. 87 от него.
Как да определим подходящите мерки за сигурност?
Трябва да е ясно едно – няма универсални пълни решения за сигурност, които да са адекватни за всеки случай. Ако някой доставчик на такава услуга ви я рекламира по такъв начин, да знаете, че ви казва най-много част от истината.
Както стана ясно по-горе, мерките се определят така, че да се съобразят с обстоятелствата, свързани с обработването, но най-вече с рисковете за информационната сигурност. За да се идентифицират те, трябва да се оцени какви лични данни се обработват в компанията, по какъв начин става това, колко ценна, чувствителна или поверителна е информацията, както и какви ще се вредните последици, ако сигурността на обработването бъде нарушена.
Има различни методологии, по които това оценяване може да се извършва, като тук ще дам пример с тази, която прилагаме в GGlaw. Тя е по стандарт на европейската агенция по киберсигурност (ENISA) и съдържа следните последователни стъпки:
- Стъпка 1: Изясняване на дейностите по обработка и техния контекст
Преди да се оцени риска, трябва да се дефинират границите на оценявания обект, а именно – операциите в една организация, които са свързани с лични данни. Заедно с тях се описват и характеристики като видове лични данни, категория и брой засегнати субекти, цел на обработката и т.н.
- Стъпка 2: Оценка на възможното въздействие
На база на анализа от първата стъпка, следва да се установи какви биха били последиците за основните права и свободи на субектите, ако се случи нарушение в сигурността на личните данни. Тежестта им се квалифицира в 4 степени: Ниска, Средна, Висока, Много висока.
- Стъпка 3: Оценка на вероятността от настъпване на възможните вреди
На този етап се описват конкретните опасности и вероятността от случване на всяка една от тях. Опасностите могат да са вътрешни или външни и да засягат една или всички системи за сигурност в организацията.
- Стъпка 4: Оценка на риска
Рискът се оценя като произведение между вероятността за случване на една вреда и тежестта на евентуалното й въздействие. Той също може да бъде степенуван като Нисък, Среден, Висок и Много висок.
- Стъпка 5: Избор на мерки за сигурност
След като се оценят рисковете, свързани с операциите по обработка на данни в организацията, се определят мерки за сигурност, които да са адекватни на тях. Т.е. – колкото е по-висок един риск, толкова по-тежки мерки за сигурност трябва да се предприемат.
След избора на мерките, те допълнително могат да се селектират, на основание обстоятелствата при обработване, описани по-горе. Така те стават „подходящи“ и, ако бъдат реализирани в действителност, ще може да се претендира изпълнение на задълженията по чл.32 GDPR. Дори и, ако въпреки тях, се е реализирало нарушение в сигурността на обработваните данни.
Нещо важно, което трябва да се отбележи. В съответствие с принципа за отчетност (чл.5, ал.2 GDPR), задълженото лице трябва да документира надлежно целия процес по оценяване на рисковете, както и всички останали съображения, които са довели до определянето на „подходящите мерки“ за сигурност (съобр.82 и 83 от GDPR).
Заключение
Всичко това означава, че ако някой положи дължимата грижа, а именно:
- да оцени рисковете от обработката на лични данни, която извършва
- да определи и реализира подходящи на рисковете и други обстоятелства мерки за сигурност,
- успее да докаже надлежното провеждане на целия процес, описан по-горе,
то ще може да се освободи от отговорност при нарушения в сигурността на личните данни, които обработва. С уговорката, че не са извършени нарушения на други норми, например: чл.33, чл.35 GDPR и др.