Przejdź do treści
Strona główna » Blog » Nie myli się ten, co nic nie robi… czyli o naruszeniach ochrony danych osobowych

Nie myli się ten, co nic nie robi… czyli o naruszeniach ochrony danych osobowych

Myślę, że wszyscy zgodzimy się z tytułową tezą. Nie myli się ten, co nic nie robi. A jednak, ewidencje naruszeń administratorów niejednokrotnie pozostają puste pomimo przeszło trzech lat stosowania RODO. Postawmy sprawę jasno – nie ma organizacji, w której nie doszłoby do naruszenia, a brak ich odnotowania wskazuje nie tyle na bezbłędne działania administratora, co na jego swobodne podejście do tematu oceny naruszeń ochrony danych osobowych. Opublikowane niedawno wytyczne EROD dotyczące właśnie tego tematu stanowią znakomitą okazję, by poruszyć go na blogu.

Naruszenia to codzienność

Naruszenia ochrony danych osobowych nie należą do rzadkości. Przeciwnie, świadczyć o tym mogą choćby administracyjne kary pieniężne nakładane przez organy nadzorcze państw członkowskich Unii Europejskiej, jak np. wielomilionowe kary dla Google i Facebooka nałożone w ostatnich dniach przez organ francuski za naruszenie zasad dotyczących plików cookies (temat cookies poruszyłem w jednym z wcześniejszych wpisów). Oczywiście są to spektakularne sumy zarezerwowane dla gigantów, tym niemniej nie powinniśmy bagatelizować ryzyka – postępowanie organu nadzorczego może przytrafić się każdemu administratorowi.

Właśnie dlatego tak istotne jest wdrożenie w swojej organizacji skutecznych zasad zgłaszania i oceny naruszeń. Często wykorzystywaną regułą jest tzw. „no fault”, która może kojarzyć się niektórym z Was z pomysłami dotyczącymi odszkodowań za błędy medyczne. Oznacza ona, że wobec osoby zgłaszającej nie zostaną wyciągnięte negatywne konsekwencje, co obwarowane jest oczywiście wyjątkami, jak choćby celowe działanie tej osoby. Korzystniej dowiedzieć się o podatności, którą ujawnił błąd pracownika, niż trwać w błogiej niewiedzy.

System zgłaszania i oceny naruszeń powinien być maksymalnie sprawny, bo czas gra  w tym wypadku istotną rolę. Zgodnie z przepisami RODO, na zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych Osobowych został przewidziany termin 72 godzin od stwierdzenia naruszenia. Czas ten powinien wystarczyć administratorowi co najmniej na przeprowadzenie wstępnej oceny naruszenia, podjęcie decyzji, czy podlega ono zgłoszeniu czy nie do organu nadzorczego i dokonanie tego zgłoszenia – jeżeli zajdzie taka konieczność.

Należy w tym miejscu wyjaśnić, że co do zasady zgłoszeniu do organu nadzorczego podlegają naruszenia, które powodują ryzyko dla praw lub wolności osób dotkniętych naruszeniem w poziomie przekraczającym niską wartość. Sposób obliczania tej wartości zależy od decyzji administratora. Pomocne w tym przypadku mogą być wytyczne ENISA, jak również wspomniane na wstępie wytyczne EROD (linki źródłowe znajdują się pod artykułem). Prawami i wolnościami osób fizycznych jest choćby prawo do prywatności, ale również bardziej wymierne konsekwencje jak choćby zaciągnięcie zobowiązań finansowych przez osobę podszywającą się pod poszkodowanego. W przypadku wystąpienia wysokiego ryzyka, administrator jest zobowiązany również do poinformowania osób dotkniętych naruszeniem o tym naruszeniu, jego potencjalnych skutkach oraz sposobach ich uniknięcia.

Oceniając wagę naruszenia należy wziąć pod uwagę szereg informacji, takich jak:

  • czego dotyczyło naruszenie (poufność, integralność, dostępność),
  • czas trwania naruszenia,
  • ilość osób dotkniętych naruszeniem,
  • zakres danych osobowych dotkniętych naruszeniem,
  • potencjalne skutki naruszenia dla osób dotkniętych naruszeniem.

Powyższe wyliczenie nie jest oczywiście wyczerpujące. Każde naruszenie należy rozpatrywać odrębnie, z uwzględnieniem jego specyfiki i aktualnej wiedzy. Jest to szczególnie ważne w przypadku naruszeń będących wynikiem działania ataków hackerskich, na które sposoby mnożą się z każdym dniem.

Wytyczne EROD

Wydane w formie praktycznych przykładów wytyczne EROD, czyli Europejskiej Rady Ochrony Danych, stanowią odpowiedź na szereg wątpliwości administratorów. Należy jednak pamiętać, że ich zastosowanie w praktyce niekoniecznie musi spotkać się z uznaniem organu nadzorczego. Z tego względu, do każdej oceny należy podejść odrębnie, z uwzględnieniem wszystkich okoliczności, a następnie rzetelnie udokumentować przebieg podejmowanych czynności. Działanie takie pozwoli na argumentowanie swoich decyzji w toku ewentualnego postępowania.

Co więc znajdziemy w owych wytycznych? Przede wszystkim opisy możliwych naruszeń ochrony danych osobowych, takich jak działanie ransomware, utracenie nośników zawierających dane osobowe, czy pomyłki przy wysyłaniu wiadomości. Co szczególnie pomocne, opisy naruszeń przewidują różne opcje, np. okoliczność zaszyfrowania lub nie zagubionego nośnika danych. To właśnie od takich różnic zależeć może w dużej mierze końcowa ocena naruszenia.

Każdy z przykładów zawiera również możliwe sposoby na redukowanie negatywnych skutków naruszeń oraz proponowaną przez EROD ocenę, czy dane naruszenie wymaga:

  • odnotowania w wewnętrznej dokumentacji administratora,
  • zgłoszenia do organu nadzorczego,
  • poinformowania osób fizycznych dotkniętych naruszeniem o tym naruszeniu.
Co robić w przypadku naruszenia?

Pierwszym etapem każdego naruszenia powinno być niezwłoczne podjęcie działań mających na celu zredukowanie jego negatywnych skutków. Sposoby zależeć będą od konkretnego naruszenia – inaczej będziemy działać w przypadku ataku ransomware, a inaczej w przypadku wysłania maila do nieprawidłowego adresata.  

Kolejny krokiem powinno być zebranie informacji niezbędnych do przeprowadzenia oceny naruszenia. Rozważając jakie informacje będą istotne można się kierować m.in. przytoczonymi wytycznymi, jak również samym formularzem zgłoszenia naruszenia do organu nadzorczego (zgłoszenie następuje zasadniczo w formie elektronicznej, przy wykorzystaniu udostępnionego formularza na platformie biznes.gov).

Następnie, w oparciu o uzyskane informacje oraz przyjętą przez administratora metodykę, należy przeprowadzić ocenę wagi naruszenia. To na tym etapie powinno zostać uwzględnione ryzyko naruszenia praw lub wolności osób fizycznych.

Po przeprowadzeniu oceny, w zależności od jej wyniku konieczne będzie:

  • odnotowanie naruszenia w wewnętrznej  dokumentacji administratora,

a w przypadku naruszeń wyższej wagi również:

  • dokonanie zgłoszenia naruszenia do organu nadzorczego,
  • poinformowanie osób fizycznych dotkniętych naruszeniem o tym naruszeniu.

Niezbędnym elementem jest również podjęcie działań na przyszłość, zmierzających do zabezpieczenia organizacji przed ponownym wystąpieniem podobnego naruszenia. Istotną rolę odgrywają w tym przypadku regularne przeglądy stosowanych środków ochrony danych osobowych, ze szczególnym wskazaniem aktualności stosowanych systemów oraz skutecznego oprogramowania antywirusowego i firewall.

W telegraficznym skrócie:
  • naruszenia, niezależnie od starań administratorów, zdarzają się (choćby w wyniku błędu ludzkiego),
  • każdy administrator powinien przyjąć zasady zgłaszania i oceny naruszeń,
  • administrator powinien prowadzić wewnętrzną ewidencję naruszeń,
  • naruszenie ochrony danych osobowych podlega zgłoszeniu do PUODO w terminie 72 godzin od jego stwierdzenia,
  • każdy przypadek naruszenia należy rozpatrywać odrębnie i z uwzględnieniem aktualnej wiedzy i obowiązujących zasad.
Linki:

wytyczne ENISA: https://op.europa.eu/en/publication-detail/-/publication/dd745e70-efb8-4329-9b78-79020ec69da5/language-en

wytyczne EROD: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_en

1 komentarz do “Nie myli się ten, co nic nie robi… czyli o naruszeniach ochrony danych osobowych”

  1. Pingback: Kara dla Politechniki Warszawskiej – Zdrowe Dane

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *