W dobie wszechobecnej cyfryzacji pierwszym skojarzeniem w kontekście naruszeń ochrony danych są ataki cybernetyczne. Działania hakerów przybierają coraz to nowe formy, a do najczęstszych zagrożeń zaliczamy phishing, ataki ransomware, SQL injection czy brute force.

Jednak oprócz cyberprzestępczości nadal jednymi z najczęstszych źródeł naruszeń pozostają błędy ludzkie, takie jak przypadkowe ujawnienie danych osobowych, nadużycia wewnętrzne (np. kopiowanie danych przez pracowników czy nieodpowiednia publikacja informacji). Mimo że w większości tych przypadków pracownicy nie mają złych intencji, to wciąż zdarzenia te są klasyfikowane jako naruszenia prywatności i często skutkują konsekwencjami prawnymi dla przedsiębiorstw.

Naruszenie ochrony danych osobowych a naruszenie RODO

Co ważne, wystąpienie naruszenia ochrony danych osobowych nie oznacza samo w sobie, że administrator lub podmiot przetwarzający dopuścił się naruszenia przepisów RODO. To pierwsze naruszenie odnosi się do każdego incydentu, który prowadzi do przypadkowego lub niezgodnego z prawem rozporządzenia danymi osobowymi. Obejmuje np.:

  • wysłanie e-maila z danymi klienta do niewłaściwego odbiorcy,
  • włamanie do bazy danych przez hakerów, czy
  • przypadkowe usunięcie danych (takie przykłady zostały wyszczególnione w poradniku UODO).

Z kolei naruszenie RODO to sytuacja, w której przedsiębiorstwo nie przestrzega prawnych obowiązków określonych w przepisach dot. ochrony danych osobowych. Może obejmować:

  • brak odpowiednich środków technicznych i organizacyjnych do ochrony danych,
  • niezgłoszenie naruszenia ochrony danych osobowych w odpowiednim terminie, czy
  • niewłaściwe informowanie o naruszeniu osób, których dane dotyczą.

Naruszenie RODO może prowadzić do poważnych konsekwencji prawnych i finansowych, w tym wysokich kar administracyjnych. Rozróżnienie to jest o tyle istotne, że samo naruszenie ochrony danych osobowych nie pociąga za sobą automatycznie sankcji administracyjnych. RODO nie nakłada na przedsiębiorców obowiązku zapobiegania absolutnie wszystkim możliwym naruszeniom ochrony danych osobowych.

Ważne! Jeśli naruszenie danych osobowych wystąpi mimo prawidłowego wdrożenia i realizacji obowiązków związanych z zapewnieniem bezpieczeństwa przetwarzania danych, przedsiębiorcy nie muszą obawiać się sankcji administracyjnych. Kluczowe jest, aby firmy podejmowały wszelkie adekwatne kroki w celu minimalizowania ryzyka oraz ochrony praw i wolności osób, których dane dotyczą. W przypadku wystąpienia incydentu, odpowiednie reakcja i dokumentacja działań naprawczych (tzw. defence file) są niezbędne, aby wykazać zgodność z przepisami RODO.

Konieczna aktualizacja procedur w firmach

Wykrywanie i stwierdzanie naruszeń ochrony danych osobowych to kluczowe elementy zapewnienia zgodności z przepisami RODO. Przedsiębiorcy muszą być w stanie ocenić, czy doszło do zdarzenia, które należy klasyfikować jako naruszenie ochrony danych osobowych. Wymaga to skutecznych metod wykrywania i analizy incydentów, gdyż informacje o potencjalnych naruszeniach mogą pochodzić z różnych źródeł, tj. zgłoszeń wewnętrznych (np. pracowników), zewnętrznych (np. klientów, dostawców), od osób, których dane dotyczą, powiadomień generowanych przez systemy informatyczne oraz wniosków z kontroli.

Zgodnie z najnowszą wersją poradnika wykrywanie naruszeń powinno opierać się na połączeniu:

  • środków technicznych (np. programów antywirusowych, firewall, logów systemowych) oraz
  • środków organizacyjnych (takich jak cykliczne szkolenia wewnętrzne, testy bezpieczeństwa i audyty, zrozumiałe procedury reagowania na podejrzenia incydentów, wyznaczenie osób odpowiedzialnych za monitorowanie systemów, regularna analiza logów).

Natomiast stwierdzenie naruszenia następuje w momencie, gdy administrator zdobywa wystarczającą wiedzę o incydencie, aby uznać go za zagrożenie dla ochrony danych. W świetle powyższego przedsiębiorca „stwierdza” naruszenie, gdy stanowi ono incydent bezpieczeństwa, dotyczy przetwarzanych danych osobowych i może doprowadzić do ich przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu. A stwierdzonymi naruszeniami będą m.in.: zweryfikowany na podstawie monitoringu nieautoryzowany dostęp do serwera [przykład 1] oraz błędne przepisanie danych. [przykład 2]

przykład 1

Nieautoryzowany dostęp do serwera

System monitorujący w firmie e-commerce wykrył nieautoryzowany dostęp do serwera, na którym przechowywano informacje o klientach. Powiadomienie o zdarzeniu zostało natychmiast przesłane do działu IT, który przeprowadził wstępną analizę logów systemowych, aby ustalić źródło i zakres problemu. Wyniki analizy trafiły do inspektora ochrony danych oraz do zarządu firmy.

Następnie do działań przystąpił zespół ds. zarządzania incydentami, który szczegółowo ocenił sytuację, ustalając, które dane i w jakim stopniu zostały ujawnione osobom nieuprawnionym. Zespół potwierdził, że doszło do nieautoryzowanego dostępu do danych klientów, skutkującego naruszeniem poufności danych osobowych. Z chwilą zgromadzenia tych informacji administrator stwierdził naruszenie ochrony danych osobowych i przystąpił do realizacji związanych z nim kolejnych obowiązków.

źródło: UODO

przykład 2

Błędne przepisanie danych

Osoba składająca wniosek o przyznanie zasiłku zauważyła, że w decyzji wydanej przez urząd pojawiły się błędne informacje dotyczące jej danych osobowych. Telefonicznie poinformowała o tym pracownika zajmującego się weryfikacją wnios ków. Zgłoszenie zostało niezwłocznie przekazane do zespołu ds. bezpieczeństwa informacji. Wstępna analiza wykazała, że doszło do błędnego przepisania danych z formularza. Wyniki analizy zostały przesłane inspektorowi ochrony danych oraz kierownictwu urzędu. Dalsza weryfikacja potwierdziła wystąpienie naruszenia integralności danych osobowych. Zebrane informacje pozwoliły administratorowi stwierdzić naruszenie ochrony danych osobowych i przystąpić do realizacji związanych z nim obowiązków.

źródło: UODO ©℗

Ważne! UODO podkreślił w poradniku, że w przypadku outsourcingu usług, czyli z perspektywy RODO w większości przypadków powierzenia danych do przetwarzania, to przedsiębiorcy (administratorzy) pozostają odpowiedzialni za ich weryfikację oraz ostateczną analizę i kwalifikację incydentu jako naruszenie ochrony danych osobowych.

Z tej przyczyny niezwykle istotne jest ułożenie relacji w taki sposób, aby outsourcerzy (procesorzy) mieli obowiązek niezwłocznego zgłaszania wszystkich zdarzeń, które mogą zostać sklasyfikowane jako naruszenia ochrony danych. Kwestie te powinna regulować umowa powierzenia, która również będzie stanowiła element tzw. defence file, za pomocą którego przedsiębiorcy muszą być gotowi wykazać, że wykonali wszelkie możliwe czynności w celu zapobiegnięcia naruszeniu.

Ocena ryzyka i koncepcja zaufanego odbiorcy

Kolejnym etapem po stwierdzeniu naruszenia jest ocena ryzyka związanego z naruszeniami ochrony danych osobowych. Proces ten obejmuje:

  • identyfikację naruszenia,
  • ocenę wagi i prawdopodobieństwa konsekwencji,
  • klasyfikację ryzyka,
  • dokumentowanie oceny ryzyka, a także jej następczy cykliczny przegląd i w razie potrzeby aktualizację.

W tym celu przedsiębiorcy, którzy już stwierdzili naruszenie, muszą ocenić wagę potencjalnych konsekwencji oraz prawdopodobieństwo ich wystąpienia. Należy przy tym wziąć pod uwagę takie czynniki jak rodzaj naruszenia, charakter i wrażliwość danych, łatwość w identyfikacji osób, których dotyczy naruszenie. Dodatkowo zgodnie z poradnikiem każdy przedsiębiorca winien uwzględnić również dotkliwość konsekwencji, cechy szczególne osób i przedsiębiorstwa, a także liczbę osób, których dane dotyczą. UODO zwraca także uwagę na to, że ocena ryzyka nie powinna być przeprowadzana bez uwzględnienia, komu zostały ujawnione dane. W tym celu przywołano znane z RODO określenie „zaufanego odbiorcy”, zdefiniowane jako podmiot, który przypadkowo otrzymał dane osobowe, ale dzięki dotychczasowej, pozytywnej współpracy z przedsiębiorcą (źródłem naruszenia) można uznać go za osobę godną zaufania. Istnieje bowiem wystarczająca pewność, że zareaguje on na zdarzenie właściwie i przyczyni się do ograniczenia ryzyka naruszenia praw lub wolności osób, których dane dotyczą (zatrzymanie dalszej eksfiltracji danych).

Aby stwierdzić, że nieuprawniony odbiorca danych jest zaufany, przedsiębiorcy powinni pozostawać z nim w stałych stosunkach gospodarczych lub wspólnej strukturze organizacyjnej oraz znać istotne szczegóły dotyczące odbiorcy jego procedury bezpieczeństwa i historię dotychczasowej współpracy w podobnych sytuacjach. Co ważne, koncepcja zaufanego odbiorcy pozwala przedsiębiorcy precyzyjniej ocenić ryzyko wystąpienia skutków dla osób, których dane dotyczą, jednak nie wpływa na zaklasyfikowanie zdarzenia jako naruszenia. W praktyce może to oznaczać, że z uwagi na brak ryzyka naruszenie nie podlega zgłoszeniu UODO ani osobom, których dane dotyczą. Przedsiębiorcy często zapominają, że naruszenie nadal powinno zostać odnotowane w wewnętrznym rejestrze. Na podstawie powyższych zmiennych ocenę naruszenia można sklasyfikować jako:

  • brak ryzyka,
  • ryzyko, które wiąże się ze zgłoszeniem naruszenia do UODO lub
  • wysokie ryzyko, które determinuje zarówno zgłoszenie naruszenia UODO oraz zawiadomienie osób, których dane dotyczą.

Co ważne, każdy przedsiębiorca powinien być w stanie udokumentować przeprowadzenie oceny, której proces jest regularnie przez niego przeglądany i aktualizowany.

Rola inspektora ochrony danych

Mimo przyjętej w poradniku klasyfikacji IOD-a doradcy, inspektorzy ochrony danych nadal odgrywają ważną rolę w procesie obsługi naruszeń. Podkreślono również, że IOD powinien być niezwłocznie informowany o zaistnieniu naruszenia, aby umożliwić mu monitorowanie procesu jego obsługi od najwcześniejszego etapu.

!RODO nie przewiduje okresów, po których informacje o naruszeniach ochrony danych osobowych mogą zostać usunięte. Administratorzy powinni więc przechowywać je jak najdłużej. Z tego powodu nie jest wymagane ani zalecane umieszczanie w wewnętrznym rejestrze jakichkolwiek danych osobowych.

Ponadto IOD powinien na etapie prewencyjnym pomagać w zapobieganiu naruszeniom poprzez promowanie wiedzy o ochronie danych osobowych, organizowanie szkoleń oraz formułowanie zaleceń dotyczących bezpieczeństwa przetwarzania danych. Natomiast w przypadku wystąpienia naruszenia IOD jest zobowiązany do udzielania wskazówek dotyczących odpowiedniego reagowania na naruszenia, w tym zaradzania im, zgłaszania ich PUODO oraz zawiadamiania osób, których dane dotyczą.

Ważne! W opinii UODO inspektor ochrony danych nie może wykonywać zadań, za które odpowiadają wyłącznie administratorzy lub podmioty przetwarzające. Niewłaściwy podział ról może prowadzić do konfliktu interesów i naruszenia niezależności IOD, co wiąże się również z naruszeniem samego RODO.

Dobrą praktyką może być koegzystencja działu bezpieczeństwa, który zajmuje się samą obsługą i notyfikacją zawiadomień i IOD, który prowadzi bieżący monitoring incydentów, formułując instrukcje i udzielając wsparcia. W sytuacji przedsiębiorców, którzy np. z przyczyn ekonomicznych lub organizacyjnych nie mogą pozwolić sobie na wewnętrzny dział bezpieczeństwa, rozwiązaniem może być skorzystanie z usług zewnętrznego doradcy, np. kancelarii prawnej posiadającej multidyscyplinarny zespół specjalistów, która jest w stanie szybko zarządzić incydentem z zewnątrz.

Należyte dokumentowanie

To główny obowiązek administratorów, który pozwala na skuteczną analizę przyczyn i skutków incydentów oraz ocenę działań organizacji. Każde naruszenie musi być należycie udokumentowane, uwzględniając okoliczności zdarzenia, jego skutki, uzasadnienie oceny ryzyka oraz podjęte działania zaradcze i zapobiegawcze.

Przedsiębiorcy powinni też prowadzić wewnętrzny rejestr naruszeń, który zawiera wszystkie istotne informacje, nawet te dotyczące incydentów niezaklasyfikowanych jako naruszenia ochrony danych osobowych. Dokumentacja powinna być regularnie aktualizowana i przechowywana zgodnie z zasadą minimalizacji danych osobowych. Dzięki temu przedsiębiorcy będą mogli wykazać przed organem nadzorczym, że właściwie przeanalizowali sytuację i skutecznie zadbali o interesy osób, których dotyczy naruszenie.

Podsumowanie

Nie ulega wątpliwości, że nowy poradnik UODO wywiera istotny wpływ na działalność przedsiębiorców, którzy muszą dostosować swoje polityki i praktyki ochrony danych do nowych wymogów. Powinni oni niezwłocznie przeprowadzić audyt obowiązujących procedur oraz je zaktualizować w sposób, który zapewni zgodność z najnowszymi instrukcjami. Przegląd powinien objąć m.in. weryfikację polityk ochrony danych, wprowadzenie nowych procedur zgłaszania naruszeń oraz szkolenie pracowników w zakresie nowych wymogów.

Na szczególną uwagę przedsiębiorców zasługuje przegląd przyjętych środków bezpieczeństwa, w szczególności tych, które mają na celu ochronę danych osobowych przed nieuprawnionym dostępem, ich utratą czy kradzieżą. Kluczowe jest przeprowadzenie audytu wewnętrznych procedur, wdrożenie nowych mechanizmów monitorowania naruszeń, a także regularne szkolenia pracowników. Odpowiednie przygotowanie i dokumentacja procesów związanych z ochroną danych pozwoli firmom skutecznie zarządzać ryzykiem oraz uniknąć konsekwencji prawnych i finansowych. ©℗