iSecure logo
Blog

Ocena naruszenia przy błędnie wysłanym PIT – case study

Czas wysyłania PIT-11 do pracowników to szczególnie gorący okres dla inspektorów ochrony danych. Przesyłek jest mnóstwo, nic zatem dziwnego, że niektóre z nich trafiają do niewłaściwych osób. A to potencjalnie oznacza naruszenie ochrony danych osobowych, które należy przeanalizować pod kątem naruszenia praw i wolności osoby, która została takim incydentem objęta. Z pomocą przychodzi nam na szczęście ENISA, czyli Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, która przygotowała świetny poradnik i jednocześnie metodologię oceny naruszeń, który można zupełnie za darmo pobrać tutaj: Recommendations for a methodology of the assessment of severity of personal data breaches — ENISA (europa.eu).

W poniższym wpisie chciałbym przedstawić jak ta metodologia może być użyta w praktyce na bazie konkretnego case study.

Stan faktyczny:

  • W dniu 10 sierpnia 2021 r. pracownik Jest Pięknie Sp. z o.o. („Spółka”) zgłosił mailowo do Departamentu HR fakt zmiany adresu zamieszkania. Z uwagi na błąd ludzki zmiana ta nie została odnotowana w systemie teleinformatycznym. Ww. pracownik zakończył współpracę ze Spółką w listopadzie 2021 r.
  • W związku z obowiązkiem wystawienia dokumentu PIT-11 oraz ZUS IMIR (Informacja Miesięczna i Roczna) Spółka przygotowała powyższe dokumenty i w dniu 12.02.2022 r. wysłała je do byłego pracownika.
  • Z uwagi na fakt, że Spółka nie dokonała aktualizacji adresu zamieszkania zainteresowanego, przesyłka ww. dokumentów została wysłana na poprzedni adres zamieszkania (nie powiązany już w żaden sposób z ex-pracownikiem).
  • Następnie Spółka otrzymała w dniu w dniu 17.02.2022 r. informację, że przesyłka została odebrana.
  • W dniu 01.03.2022 r. ex-pracownik zgłosił do Spółki, że nie otrzymał do tej pory swojego PIT. Jednocześnie przypomniał, że zgłaszał w stosownym czasie zmianę adresu zamieszkania, co może mieć istotne znaczenie dla sprawy.
  • Na podstawie informacji od ex-pracownika Spółka przeprowadziła dochodzenie i ustaliła, że dokumenty PIT i ZUS IMIR zostały wysłane na niewłaściwy adres byłego pracownika.
  • W dniu 02.03.2022 r. Departament HR wysłał e-mail do IOD o treści: „Inspektorze, ratuj!” 🙂

Podstawowe informacje

  • Kategorie podmiotów danych: naruszenie ochrony danych dotyczyło byłego pracownika Spółki
  • Zakres danych: imiona i nazwiska, data urodzenia, adres zamieszkania lub pobytu, PESEL, dane dotyczące zarobków, zestawienie należnych składek ZUS (ubezpieczenie społeczne, zdrowotne), zestawienie wypłaconych świadczeń i wynagrodzeń za czas absencji chorobowej oraz rodzaje i okresy przerw w opłacaniu składek, miejsce pracy (obecnie już nieaktualne).

Biorąc pod uwagę powyższy zakres danych można stwierdzić, że naruszeniem objęte zostały dane proste oraz dane finansowe. Wśród danych objętych naruszeniem nie ma danych wrażliwych.

  • Liczba osób i wpisów: liczba osób: 1, liczba wpisów: 2
  • Źródło naruszenia: wewnętrzne działanie niezamierzone (błąd ludzki)

Kontekst przetwarzania danych (KPD):

KPD ustalamy na podstawie rodzaju danych, którego dotyczyło naruszenie. Jak zostało wskazane powyżej naruszenie dotyczyło danych prostych (współczynnik na potrzeby obliczeń: 2) oraz finansowych (współczynnik na potrzeby obliczeń: 2). Przypisane współczynniki mogą być modyfikowane w zależności od okoliczności, jednak w omawianym przypadku nie będzie miało to zastosowania (brak złej woli). Zgodnie z metodologią bierzemy pod uwagę najwyższy współczynnik – w tym przypadku wynosi on 2 zarówno dla danych zwykłych jak i finansowych. A zatem:

KPD = 2

Łatwość identyfikacji (ŁI):

Poszczególnym poziomom ŁI przypisujemy współczynniki:

  • znikoma (identyfikacja za pomocą danych objętych naruszeniem jest bardzo trudna) – 0,25
  • ograniczona (identyfikacja za pomocą danych objętych naruszeniem jest trudna) – 0,5
  • znacząca (identyfikacja za pomocą danych objętych naruszeniem jest łatwa) – 0,75
  • maksymalna (identyfikacja jest bardzo łatwa lub natychmiastowa) – 1

Biorąc pod uwagę zakres danych, którego dotyczy naruszenie, mamy tu maksymalną łatwość identyfikacji, czyli:

ŁI = 1

Okoliczności naruszenia (ON):

Elementy, które rozpatrywane są w kontekście ON to utrata bezpieczeństwa (w odniesieniu do poufności, integralności, dostępności) oraz ew. złe intencje. Naruszenie, do którego doszło w Spółce spowodowało utratę poufności danych (dostęp do danych mogła uzyskać osoba nieuprawniona). Naruszenie nie jest skutkiem złych intencji. Przypisujemy zatem współczynnik na potrzeby obliczeń:

  • utrata poufności danych – współczynnik 0,25 (dane zostały wysłane – w formie przesyłki pocztowej – do nieuprawnionego odbiorcy; nie ma pewności, że odbiorca zapoznał się z danymi, brak też informacji ilu mogło być potencjalnych odbiorców np. współdomowników błędnego odbiorcy)

Podsumowując:

ON = 0,25

Powaga naruszenia (PN):

PN = KPD x ŁI + ON

PN = 2 x 1 + 0,25

PN = 2,25

Zgodnie z metodologią ENISA, jeśli wartość PN mieści się w przedziale 2 ≤ PN < 3 mamy do czynienia ze średnią powagą naruszenia. Osoba, która została objęta naruszeniem, może napotykać znaczne niedogodności, z którymi będzie w stanie sobie poradzić pomimo kilku trudności (dodatkowe koszty, odmowa dostępu do usług biznesowych, strach, niezrozumienie, stres, drobne dolegliwości fizyczne, itp.).

Średnia powaga naruszenia oznacza dla Spółki konieczność:

  • dokonania wpisu do rejestru naruszeń
  • wdrożenie środków zaradczych
  • powiadomienie organu nadzorczego (PUODO)
  • powiadomienie podmiotów danych (rekomendowane wyłącznie z uwagi na to, że w ramach dokumentów znajdował się numer ewidencyjny PESEL)
Pobierz wpis w wersji pdf

Podobne wpisy:

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Ciasteczko po Irlandzku, czyli Irlandzki organ nadzorczy o plikach cookies

Irlandzki organ ochrony danych osobowych (IDPC – Irish Data Protection Commision) na swojej stronie internetowej zamieścił wskazówki dotyczące plików cookies oraz innych plików śledzących. Dokument powstał po dokonaniu audytu wybranych stron internetowych. W drugiej połowie ubiegłego roku IDPC wysłał kwestionariusz do 40 różnych organizacji celem przeanalizowania wykorzystania plików śledzących na stronach internetowych. W szczególności chciał […]

Regulamin sklepu internetowego – o czym należy pamiętać?

Sklepy internetowe to dzisiaj standard. W zasadzie większość przedsiębiorców sprzedaje swoje produkty w formie on-line. Szczególnie mamy z tym do czynienia przy produktach takich jak: ubrania, jedzenie, sprzęt AGD, elektronika, narzędzia, części zamienne, części samochodowe i wiele innych. Prowadząc sprzedaż swoich produktów za pomocą sklepu internetowego przedsiębiorca w praktyce świadczy usługi drogą elektroniczną. Zgodnie z […]

Wewnętrzny inspektor ochrony danych a konflikt interesów w organizacji

Zgodnie z RODO obowiązkiem niektórych administratorów i przetwarzających będzie powołanie inspektora ochrony danych (IOD). Taki obowiązek będzie miał miejsce w przypadku wszystkich organów i podmiotów publicznych, jak również w stosunku do podmiotów, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby lub jeżeli działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki