Z roku na rok firmy zgłaszają coraz mniejszy odsetek incydentów związanych z danymi osobowymi – wynika z najnowszego badania.

Mniej niż co czwarty incydent jest zgłaszany prezesowi Urzędu Ochrony Danych Osobowych, a mniej niż co piąty osobom, których dotyczą dane osobowe - takie dane przedstawia raport Związku Firm Ochrony Danych Osobowych za 2022 r. Co ciekawe, liczba informacji na temat naruszeń przekazywanych regulatorowi tylko nieznacznie zmalała. Z jednej strony może to wskazywać na znaczący wzrost samych incydentów, czyli głównie wycieków bądź kradzieży danych. Z drugiej zaś, że administratorzy coraz mniejszy odsetek z nich traktują jako poważne zagrożenie, które może skutkować naruszeniem praw lub wolności osób fizycznych.
Coroczny raport ZFODO jest przeprowadzany na podstawie firm, które specjalizują się w obsłudze administratorów danych osobowych. W 2022 r. przeanalizowano w nim ankiety dotyczące 435 takich administratorów. Trend jest wyraźny - z roku na rok coraz mniejszy odsetek incydentów jest zgłaszany regulatorowi. O ile w 2019 r. aż 41 proc. naruszeń uznano za poważne na tyle, by poinformować o tym regulatora, o tyle w ub.r. było to już tylko 23 proc. z nich.
- Trudno jest jednoznacznie wyjaśnić to zjawisko, bowiem z jednej strony może to być emanacją strachu przed zgłoszeniem czy szerzej kontaktem z urzędem, który administratorzy mają zakodowany i utrwalony, nawet jeśli jest on czasami irracjonalny. Może być też tak, że wytworzyła się pewna praktyka rynkowa, w której przyjęło się bardziej liberalne podejście do naruszeń, pozostawiając zgłoszenie tylko przypadkom zdecydowanie większej wagi. I chyba do tej ostatniej interpretacji bym się przychylił. Nie wykluczałbym też, że oba czynniki mają wpływ na finalne decyzje osób odpowiedzialnych za zgłoszenia - komentuje Tomasz Osiej, radca prawny i prezes firmy Omni Modo.
Inne dane z tego samego raportu mogłyby wskazywać, że spora część incydentów nie należy do najpoważniejszych. Wskazywałby na to charakter danych, które dostały się lub też mogłyby dostać w niepowołane ręce. Zdecydowana większość incydentów dotyczyła podstawowych informacji, a więc np. imienia i nazwiska, ok. 10 proc. numeru PESEL, 8 proc. danych finansowych, 5 proc. danych szczególnych, np. na temat zdrowia.

Kary nie takie straszne

Jeszcze bardziej spadł odsetek incydentów zgłaszanych samym zainteresowanym. O ile w 2019 r. administratorzy objęci badaniem przekazali informacje aż o 76 proc. naruszeń, o tyle w ub.r. takim zawiadomieniem skończyło się już tylko 18 proc. odnotowanych incydentów.

Z czego to może wynikać?

- Możliwym wytłumaczeniem takiego stanu rzeczy mogłoby być zyskiwanie doświadczenia w stosowaniu RODO przez poszczególne organizacje. Nie znajduje ono jednak potwierdzenia w praktyce działania prezesa UODO. Błędy związane z zarządzaniem naruszeniami ochrony danych (brak zgłoszenia naruszenia do prezesa UODO, niepoinformowanie osób, których dane dotyczą) były przyczyną 36 proc. kar - zauważa Tomasz Ochocki, wiceprezes spółki ODO 24.
Mniejsza liczba zgłaszanych naruszeń może świadczyć o większej skłonności polskich administratorów do ryzyka
- W mojej opinii zmniejszająca się liczba naruszeń, o których zostały poinformowane osoby, których dane zostały skompromitowane, pomimo wzrostu ich ogólnej liczby, może świadczyć o większej skłonności polskich organizacji do ryzyka. Być może bardziej obawiają się one szumu medialnego związanego z ujawnieniem informacji o naruszeniu (nieraz kilku tysiącom osób) lub próbą dochodzenia wobec nich zadośćuczynienia niż kary prezesa UODO - dodaje ekspert.

Błędy ludzkie

Co roku z raportów ZFODO wynika natomiast jedno - największym zagrożeniem dla przetwarzanych danych są ludzie, a większość incydentów ma charakter przypadkowy i nieumyślny. Nie potwierdza się również mit o hakerach jako głównym zagrożeniu dla naszych danych. Owszem, do włamań również dochodzi, ale sporadycznie. Aż 86 proc. naruszeń wynikała z powodów wewnętrznych (np. rozesłanie e-maili do niewłaściwych adresatów, utrata nośnika z danymi, brak zabezpieczenia danych).
- Wyniki raportu ponownie wskazują, że większość naruszeń ochrony danych osobowych ze względu na źródło pochodzenia naruszenia ma miejsce wewnątrz organizacji. Potwierdza się zatem teoria, że najsłabszym ogniwem w łańcuchu bezpieczeństwa danych jest człowiek - podkreśla Magdalena Chmielewska, prezes firmy ODO Management Group.
Nieco ponad 5 proc. naruszeń było spowodowanych działalnością procesora, czyli podmiotu, który na zlecenie administratora zajmuje się przetwarzaniem danych. Około 8 proc. incydentów wiązało się z działalnością zewnętrzną, czyli np. ze wspomnianymi działaniami hakerów. Aż 95 proc. incydentów wiązało się z działaniami nieumyślnymi. ©℗
Coraz więcej incydentów nie jest zgłaszanych / Dziennik Gazeta Prawna - wydanie cyfrowe