Karta oceny dotkliwości naruszeń danych osobowych

Autor: Martyna Kusak, Łukasz Szoszkiewicz

Metodologia ENISA — wersja polska (tłumaczenie własne)[1]

ENISA — Europejska Agencja ds. Cyberbezpieczeństwa

ENISA (European Union Agency for Network and Information Security) to oficjalna agencja Unii Europejskiej, działająca od 2004 r. Jej zadaniem jest opracowywanie standardów i wytycznych w zakresie bezpieczeństwa cyfrowego dla wszystkich państw członkowskich UE.

Dlaczego metodologia jest ważna?

• 🇪🇺 Ujednolicenie w całej UE — naruszenie danych w Polsce będzie oceniane tak samo jak w Niemczech czy Francji.

• ⚖️ Wymóg prawny — RODO nakłada obowiązek powiadomienia o naruszeniach danych, ale nie precyzuje, kiedy są one „poważne”. Metodologia ENISA wypełnia tę lukę.

• 🎯 Obiektywność — zamiast oceny intuicyjnej stosujemy konkretne kryteria i punktację.

Kiedy używać karty?

🚨 Zawsze, gdy dojdzie do naruszenia danych osobowych, np.:

• Wyciek bazy klientów

• Kradzież laptopa z danymi

• Błędne wysłanie emaila z danymi osobowymi

• Cyberatak na systemy firmy

(1)\[\mathrm{SE} = (\mathrm{DPC} \times \mathrm{EI}) + \mathrm{CB}\]

SE — wynik dotkliwości; DPC — kontekst przetwarzania; EI — łatwość identyfikacji; CB — okoliczności naruszenia.

Krok 1 - kontekst przetwarzania danych (DPC)

Kategorie danych i punktacja podstawowa

KATEGORIA	PUNKTY	PRZYKŁADY
Dane proste	1	Dane biograficzne, kontaktowe, imię i nazwisko, wykształcenie, doświadczenie zawodowe
Dane behawioralne	2	Lokalizacja, dane ruchu, preferencje osobiste, nawyki
Dane finansowe	3	Dochody, transakcje, wyciągi bankowe, inwestycje, karty kredytowe
Dane wrażliwe	4	Zdrowie, poglądy polityczne, orientacja seksualna, dane biometryczne

Czynniki modyfikujące punktację

ZWIĘKSZAJĄCE (+1 do +3 punkty):

• ✅ Duża objętość danych (dane z długiego okresu lub kompleksowe)

• ✅ Specjalne cechy administratora (np. apteka online vs. sklep papierniczy)

• ✅ Specjalne cechy osób (np. funkcjonariusze, dzieci, osoby w trudnej sytuacji)

Zmniejszające (-1 do -3 punkty):

• ❌ Nieaktualność/niedokładność danych (stare, nieprawdziwe dane)

• ❌ Publiczna dostępność (dane już wcześniej dostępne publicznie)

• ❌ Charakter danych (np. zaświadczenie o dobrym stanie zdrowia vs. diagnoza)

Przykłady punktacji DPC

• Supermarket — 1 (lista telefonów; brak modyfikatorów)

• Salon luksusowych aut — 2 (+1 za status społeczny/finansowy)

• Apteka specjalistyczna — 3 (+2 za informacje o zdrowiu)

• Organizacja wsparcia policjantów — 4 (+3 za bezpieczeństwo osobiste)

Krok 2 - łatwość identyfikacji (EI)

POZIOM	WSPÓŁCZYNNIK	OPIS
Znikoma	0.25	Identyfikacja praktycznie niemożliwa lub wymagająca specjalistycznych środków
Ograniczona	0.50	Identyfikacja możliwa z dodatkowym wysiłkiem/informacjami
Znaczna	0.75	Identyfikacja możliwa przy użyciu powszechnie dostępnych środków
Maksymalna	1.00	Bezpośrednia identyfikacja bez dodatkowych działań

Przykłady identyfikatorów:

Imię i nazwisko:

• 0,25: Popularne imię/nazwisko (Jan Kowalski)

• 0,50: Rzadkie imię/nazwisko w skali kraju

• 0,75: Unikalne w małej społeczności

• 1,00: + data urodzenia + email

Numer telefonu/adres:

• 0,25: Nie w rejestrach publicznych

• 0,50: Małe miasto + brak w rejestrach

• 1,00: W rejestrach publicznych

Adres email:

• 0,25: Bez informacji o nazwisku + nie używany publicznie

• 0,75: Używany w sieciach społecznościowych

• 1,00: Zawiera nazwisko + używany publicznie

Krok 3 - okoliczności naruszenia (CB)

Utrata poufności

• 0: Ryzyko ujawnienia bez dowodów nielegalnego przetwarzania

• +0,25: Ujawnienie znanej liczbie odbiorców (błędny email)

• +0,50: Ujawnienie nieznanej liczbie odbiorców (publikacja w internecie)

Utrata integralności

• 0: Dane zmienione ale bez nieprawidłowego wykorzystania

• +0,25: Dane zmienione i możliwie używane nieprawidłowo + możliwość odzyskania

• +0,50: Dane zmienione i używane nieprawidłowo + brak możliwości odzyskania

Utrata dostępności

• 0: Dane odzyskiwalne bez trudności (istnieją kopie)

• +0,25: Tymczasowa niedostępność (wymagane przetwarzanie)

• +0,50: Całkowita utrata (brak kopii zapasowych)

Złośliwy zamiar

• +0,50: Celowe działanie w celu wyrządzenia szkody

Krok 4 - obliczenie wyniku i interpretacja

Formuła: zob. (1)

WYNIK (SE)	POZIOM	CHARAKTERYSTYKA
SE < 2	NISKI	Osoby nie zostaną dotknięte lub napotkają drobne niedogodności
2 ≤ SE < 3	ŚREDNI	Osoby mogą napotkać znaczne niedogodności, które będą w stanie przezwyciężyć
3 ≤ SE < 4	WYSOKI	Osoby mogą napotkać poważne konsekwencje wymagające znacznych wysiłków
4 ≤ SE	BARDZO WYSOKI	Osoby mogą napotkać poważne lub nieodwracalne konsekwencje

Krok 5 - dodatkowe flagi (nie wpływają na punktację)

• 🚩 Liczba osób > 100

• 🚩 Dane nieczytelne (szyfrowanie bez kompromitacji klucza)

Zalecenia praktyczne

• NISKI (SE < 2): rozważenie powiadomienia organów; dokumentacja incydentu.

• ŚREDNI (2 ≤ SE < 3): obowiązkowe powiadomienie organów (72h); rozważenie powiadomienia osób.

• WYSOKI (3 ≤ SE < 4): obowiązkowe powiadomienie organów (72h); powiadomienie osób (bez zbędnej zwłoki); szczegółowa analiza ryzyk.

• BARDZO WYSOKI (4 ≤ SE): natychmiastowe powiadomienie wszystkich stron; działania naprawcze priorytetowe; rozważenie pomocy prawnej dla osób.

Przykład praktyczny — KAZUS „MindWorm”

DPC: dane wrażliwe (EEG) = 4.
EI: dane powiązane z identyfikatorami użytkowników = 0.75.
CB: +0.50 (poufność, publikacja w internecie) +0.25 (integralność, częściowa modyfikacja) +0.50 (złośliwy zamiar) ⇒ +1.25.

Obliczenie:
\(SE = (4 \times 0.75) + 1.25 = 3 + 1.25 = \mathbf{4.25}\) ➜ BARDZO WYSOKI poziom dotkliwości.

FLAGI:

🚩 Liczba osób > 100 (50,000 użytkowników)

---

[1]

ENISA, Recommendations for a methodology of the assessment of severity of personal data breaches, Working Document v1.0, December 2013. Dostęp: https://www.enisa.europa.eu/sites/default/files/publications/Data breach severity methodology_1.0.pdf