RODO: Zgłaszamy naruszenia, ale nie wszystko wychodzi na światło dzienne

Polska znajduje się w czołówce krajów unijnych pod względem liczby zgłaszanych naruszeń ochrony danych osobowych do UODO – wynika z analizy portalu gdpr.pl, która bazuje na danych uzyskanych od europejskich organów nadzoru oraz Związku Firm Ochrony Danych Osobowych.

I wbrew pozorom to miejsce na podium nie jest wynikiem stwierdzonych nieprawidłowości w stosowaniu przepisów RODO, ale zwiększonej świadomości dotyczącej konieczności zapewnienia bezpieczeństwa przetwarzanym danym osobowym. Oceniając stan wdrożenia w Polsce i Europie jednej z najważniejszych instytucji wskazanych w RODO – „samodenuncjacji”, czyli notyfikacji naruszeń do krajowego organu nadzorczego, uzyskaliśmy ciekawy i symptomatyczny obraz pokazujący tendencje, statystyki naruszeń oraz zróżnicowane podejście do ich zgłaszania.

Incydent czy już naruszenie?

Przypomnijmy, że Ogólne rozporządzenie o ochronie danych (dalej: RODO) wprowadziło nie tylko definicję naruszeń ochrony danych osobowych (art. 4 pkt 12 RODO), obowiązek ich rejestrowania, oceny oraz podejmowania działań naprawczych i prewencyjnych, lecz także – w określonych okolicznościach – zgłaszania ich do Urzędu Ochrony Danych Osobowych (UODO) oraz powiadamiania osób, których naruszenie dotyczyło (art. 33 oraz art. 34 RODO). Budowany w organizacji system bezpieczeństwa ma co prawda przeciwdziałać ich wystąpieniu, ale statystycznie rzecz ujmując, naruszenia są nieodłącznym elementem przetwarzania danych. Jednak co dokładnie oznacza naruszenie ochrony danych osobowych? W przypadku wystąpienia zdarzenia, które zagraża bezpieczeństwu informacji, np. zachowaniu ich integralności, poufności i dostępności, mówimy o incydencie bezpieczeństwa. Natomiast naruszenie ochrony danych osobowych, zgodnie z art. 4 pkt 12 RODO, oznacza naruszenie bezpieczeństwa danych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Należy więc pamiętać, że nie każdy incydent jest naruszeniem. To rozróżnienie jest konieczne, ponieważ w dalszej części będziemy się koncentrować na naruszeniach, i to tych, które wymagają określonych działań (zgłaszania do organu nadzoru).

Może się wydawać, że naruszenia są wydarzeniami mało prawdopodobnymi, rzadko spotykanymi i dotyczą tylko niektórych branż i określonych organizacji. Nic bardziej mylnego. Wedle informacji zebranych przez Związek Firm Ochrony Danych Osobowych (dalej: ZFODO) w „Raporcie incydentów 2022 (edycja 4)” na jedną organizację przypada śwrednio 1,07 incydentu rocznie. Natomiast sama liczba zgłaszanych do UODO naruszeń rośnie z roku na rok. Spowodowane jest to jednak raczej budowaniem świadomości pracowników i wdrażaniem odpowiednich polityk i procedur, a więc sprawniejszą identyfikowalnością i lepszą reaktywnością, a nie liczbą samych naruszeń. W Polsce w latach 2020/2021 nastąpił skokowy wzrost zgłoszonych naruszeń. Jest to tłumaczone najczęściej wzrostem świadomości w tym obszarze oraz pojawiającymi się w przestrzeni medialnej decyzjami nakładającymi administracyjne kary pieniężne na podmioty uchylające się od obowiązku notyfikacji. Trzeba jednak pamiętać, że mimo to i tak jest duża liczba naruszeń, jakie mają miejsce w Polsce, które nie są zgłaszane do UODO. Zresztą nasz kraj nie jest tu jakimś niechlubnym wyjątkiem. Z danych uzyskanych w ZFODO wynika, że liczba zgłaszanych organowi nadzorczemu naruszeń oscyluje wokół 25 proc., zatem pozostałe ¾ nie jest zgłaszane. Co do samej liczby zgłaszanych naruszeń w poszczególnych państwach to okazuje się, że w niektórych krajach utrzymuje się tendencja wzrostowa, a w niektórych liczba naruszeń pozostaje w miarę stała.

Jak podkreślają organy nadzorcze, w 2021 r. nastąpił znaczny wzrost zgłoszeń naruszeń z powodu panującej epidemii COVID-19 (warunków, w jakich przyszło nam pracować). Ponadto wskazano, że wiele podmiotów jeszcze parę lat od rozpoczęcia stosowania RODO obawiało się dokonywania zgłoszeń naruszeń, ale ostatnio organizacje nabrały większej śmiałości i doświadczenia w tym zakresie. W opinii organu litewskiego liczba zgłoszeń wzrasta ze względu na rosnący poziom wiedzy administratorów danych na temat ochrony danych osobowych i obowiązków w tym zakresie. Z kolei rumuński organ nadzoru stwierdził, że wzrost liczby naruszeń wiąże się z rozwojem technologii.

Przyczyny i źródła

Warto zauważyć, że Polska zdecydowanie wyróżnia się dużą liczbą naruszeń ochrony danych osobowych na tle innych państw. Są one w główniej mierze determinowane przez czynniki wewnętrzne, czyli działania lub zaniechania pracowników czy współpracowników. W naszym kraju prawie w 95 proc. przypadków incydent pozostaje nieumyślny, czyli dotyczy takich kwestii jak błędne zaadresowanie maila czy przypadkowe zagubienie nośnika danych lub przekazanie nadmiarowych danych do innego podmiotu. W mniejszości, jak wynika z danych ZFODO (źródło: https://www.zfodo.org.pl/wp-content/uploads/2023/02/raport_zfodo_2022_net.pdf), są to czynniki umyślne, np. działanie hakera czy atak phishingowy. [infografika]

Jak wskazuje UODO, typowe naruszenia do niego zgłaszane dotyczą:

• przesyłania dokumentacji do osób nieuprawnionych (dotyczy to zarówno korespondencji e-mail, jak i korespondencji papierowej),
• zagubienia/kradzieży nośników elektronicznych/komputerów,
• nieprawidłowego niszczenia dokumentacji przez administratorów (częstym zjawiskiem jest sytuacja, gdy dokumentacja przeznaczona do zniszczenia nie jest niszczona w siedzibie administratora lub przy udziale profesjonalnej firmy, a odnajdywana jest po pewnym czasie przez osoby trzecie w miejscach publicznych lub na prywatnych posesjach),
• zagubienia dokumentacji papierowej przez administratora lub jego personel,
• ataków hakerskich skutkujących pozyskaniem lub/i zaszyfrowaniem baz danych administratora.

Z kolei brandenburski organ wskazywał, że odsetek zgłoszeń (w całkowitej ich liczbie) dotyczących dokumentów wysłanych przez pomyłkę do nieuprawnionego odbiorcy zmniejszył się z 54 proc. w 2021 r. do 38 proc. w 2022 r., podczas gdy odsetek zgłoszeń dotyczących cyberataków, phishingu i ransomware wzrósł z 23 proc. w 2021 r. do 30 proc. w zeszłym roku. W tym samym okresie wzrosła jednak również liczba przypadków kradzieży i zagubienia przesyłek pocztowych. W Dolnej Saksonii natomiast w 2021 r. do organu wpłynęło prawie 500 zgłoszeń o lukach w zabezpieczeniach serwerów Microsoft Exchange.

Liderzy nieprawidłowości

Co ciekawe, zarówno w Polsce, jak i w innych krajach europejskich trudno jest wskazać liderów, których najczęściej dotyczą zgłoszenia. Rozkłada się to bardzo różnie, chociaż niektóre sektory przewijają się częściej niż inne. W Polsce, według danych ZFODO z 2022 r., przoduje branża e-commerce oraz finanse/ubezpieczenia. Podobny obraz wyłaniał się w 2021 r. z danych UODO. Wówczas w sektorze prywatnym w zgłaszaniu naruszeń dotyczących RODO przodowały takie branże, jak telekomunikacja i ubezpieczenia, a nieco niżej były podmioty finansowe.

Inaczej sytuacja wygląda w Europie. Organ nadzoru z Brandenburgii wskazywał, że większość zgłoszeń dotyczyła publicznych kas ubezpieczeniowych oraz organów publicznych zaangażowanych w spis powszechny. Natomiast austriacki organ nadzoru jako źródło podał szczepienia przeciw COVID-19 oraz pliki cookies. W Saksonii zaś w czołówce był sektor bankowy. W Grecji zgłoszenia obejmowały przede wszystkim reklamy, spam, najmniej zaś ubezpieczenia prywatne. Litewski organ nadzoru w odpowiedzi na zapytanie podkreślił, że najwięcej notyfikacji pochodziło od „innych dostawców towarów i usług” oraz instytucji kredytowych i finansowych. Nie oznacza to jednak, że w tych obszarach dochodzi do największej liczby naruszeń. Dane wskazują jedynie na to, że przedstawiciele tych branż lepiej znają RODO i obowiązki z niego wynikające.

Zegar tyka

Zgłoszenie jest obowiązkiem wynikającym z RODO, chyba że „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Administrator od chwili stwierdzenia, że dany incydent jest naruszeniem ochrony danych, ma 72 godziny (zegarowe!) na dokonanie notyfikacji. Momentu wykrycia naruszenia nie należy zatem utożsamiać z momentem jego stwierdzenia. Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (EROD) (Wytyczne EROD 01/2021 https://edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_pl.pdf) „Naruszenie należy zgłosić, gdy administrator jest zdania, że może ono spowodować ryzyko naruszenia praw i wolności osoby, której dane dotyczą. Administratorzy powinni dokonać tej oceny w momencie, gdy dowiadują się o naruszeniu. Administrator nie powinien czekać na szczegółową analizę kryminalistyczną i „wczesne” kroki zaradcze, zanim oceni, czy naruszenie ochrony danych prawdopodobnie spowoduje ryzyko, a zatem czy należy je zgłosić”.

Ponadto w sytuacji wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą, należy dokonać zawiadomienia tej osoby. Zgłoszenie jako takie powinno zawierać opis naruszenia, dane inspektora ochrony danych (lub innej osoby kontaktowej), możliwe konsekwencje naruszenia oraz opis środków zastosowanych w celu minimalizacji negatywnych skutków naruszenia. Natomiast zawiadomienie skierowane do osoby, której dane dotyczą, powinno się składać z prostego opisu charakteru naruszenia, danych IOD (osoby kontaktowej), możliwych konsekwencji naruszenia oraz wskazania środków zastosowanych w celu minimalizacji negatywnych skutków.

Wskazane postępowanie…

Sytuacja, w której osoby decyzyjne uznają, że dane naruszenie nie musi zostać zgłoszone do UODO, nie oznacza zwolnienia z konieczności podjęcia jakichkolwiek działań. Wręcz przeciwnie. Administrator/podmiot przetwarzający powinien naruszenie udokumentować i odnotować w rejestrze naruszeń. Należy je tam opisać w całości oraz wskazać przyczyny, dla których nie uznano za konieczne dokonanie notyfikacji. Ponadto wystąpienie incydentu/naruszenia powinno skutkować przeprowadzeniem działań zmierzających do tego, aby się ono nie powtórzyło, oraz naprawnieniem ewentualnych negatywnych konsekwencji. Jeśli np. incydent wystąpił z winy pracownika, być może jego przyczyna tkwiła w braku odpowiedniej wiedzy lub wynikała z charakteru narzędzi, jakimi się posługiwał. Innymi słowy, incydent to takie zdarzenie, które powinno być przepracowane na poziomie organizacji, zgodnie z zasadą, że im więcej potu na poligonie, tym mniej krwi w boju, czyli w przypadku naruszenia.

…i możliwe kary

Brak zgłoszenia po pięciu latach od wejścia w życie RODO nie spotyka się z pobłażliwością organów. UODO w następujący sposób widzi przyczyny braku zgłoszeń: „Najczęściej brak dokonania zgłoszenia wynikał z błędnie ocenionego przez administratora danych poziomu ryzyka naruszenia praw lub wolności osoby fizycznej, od którego uzależniony jest obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Przyczyny niezgłoszenia niektórych incydentów znajdowały również swoje źródło w braku odpowiedniego wdrożenia wewnętrznych procedur w zakresie identyfikowania naruszeń i postępowania w przypadkach naruszenia bezpieczeństwa danych, czy braku świadomości pracowników co do zdarzeń naruszających bezpieczeństwo danych w kontekście konieczności zgłoszenia takiego zdarzenia przełożonym”.

Jakie mogą być zatem konsekwencje braku obligatoryjnego zgłoszenia naruszenia? Jeśli UODO w swojej decyzji stwierdzi uchylenie się od tego obowiązku, często nakłada na dany podmiot administracyjne kary pieniężne, przy czym nie są to kwoty małe. Najwyższą karę nałożono dotychczas na Bank Millenium – w wysokości ponad 363 tys. zł w związku z brakiem zawiadomienia prezesa Urzędu Ochrony Danych o naruszeniu oraz zawiadomienia o naruszeniu osób, których dane dotyczą. Postępowanie zostało wszczęte wskutek złożenia skargi przez klientów, których dotyczyło zdarzenie. Zagubiono bowiem dokumenty zawierające takie ich dane, jak: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom banku). Dokumenty miały zostać przesłane z oddziału banku do jego centrali. Gdy nie zostały doręczone w przewidywanym dniu, bank złożył reklamację do firmy kurierskiej, która poinformowała, że przesyłka została zagubiona. W ocenie urzędu bank mylnie uznał, że naruszenie nie kwalifikuje się do zgłoszenia.

Obowiązek ten nie dotyczy jednak tylko dużych graczy. Jak wynika z decyzji UODO (DKN.5110.12.2021), warsztat samochodowy zagubił świadectwo pracy pracownika, które nigdy nie zostało odnalezione. Następnie poinformował podwładnego o tym fakcie, ale nie podjął żadnych dalszych działań, uznając całą sprawę za zamkniętą. UODO, będąc odmiennego zdania, nałożył na niego karę w wysokości 13 tys. zł.

Kto zgłasza – raczej nie błądzi

Może się wydawać, że zgłaszanie naruszeń jest wyłącznie odgórnie narzuconym obowiązkiem, tj. urzędniczą zachcianką i przejawem wszechobecnej biurokratyzacji. Ma jednak bardzo pozytywny wpływ na zwiększanie świadomości co do konieczności zapewniania bezpieczeństwa danych osobowych. Ponadto każde zgłoszenie pozwala organom nadzoru na uzyskanie realnej informacji o stanie bezpieczeństwa danych i podjęcie odpowiednich działań. Niektóre z organów wskazywały, że czasem jedna informacja o naruszeniu przekłada się na działania co do całej branży.

Naruszenia ochrony danych osobowych nie są zjawiskiem marginalnym, a obowiązek ich zgłaszania wymogiem błahym. Każda organizacja pracująca z danymi osobowymi powinna wdrożyć odpowiednie procedury i polityki regulujące proces postępowania z naruszeniami, ich obsługi i ewentualnej notyfikacji. W przyszłości można spodziewać się wzrostu liczby zagrożeń i samych naruszeń. Związane jest to oczywiście z rozwojem technologii i coraz bardziej przyśpieszającym procesem wymiany danych. Warto jednak jeszcze raz podkreślić, że choć Polska na tle innych państw wydaje się liderem w liczbie zgłoszeń, to nie znaczy, że zgłaszamy wszystkie nieprawidłowości ani to, co faktycznie powinniśmy. ©℗