Naruszenie ochrony danych osobowych to temat, który w firmach wzbudza sporo emocji. Od czasu wejścia w życie RODO przedsiębiorcy szczególną wagę przywiązują do zasad ochrony danych osobowych, zabezpieczeń danych i odpowiedniego przeszkolenia personelu w tym zakresie. W tym artykule przeanalizuję w jaki sposób właściwie zabezpieczyć firmę, aby zapobiec naruszeniu oraz jak postąpić, kiedy naruszenie już się wydarzy.
Zgodnie z art. 4 ust 12 RODO naruszenie danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszenie stanowi zatem incydent bezpieczeństwa, jednak nie wszystkie incydenty bezpieczeństwa to naruszenie danych osobowych – kluczowe jest tutaj to ostatnie pojęcie. RODO obowiązuje właśnie tylko w wypadku, gdy naruszone są dane osobowe. Naruszeniem bezpieczeństwa, podanym w definicji, „będzie naruszenie zabezpieczeń mających służyć ochronie danych”[1]. Według Grupy Roboczej Art. 29[2] naruszenia można podzielić na poniższe kategorie:
W wypadku stwierdzenie naruszenia, to administrator danych osobowych jest odpowiedzialny za ocenę incydentu, ewentualne zgłoszenie, podjęcie środków zaradczych i zapobiegawczych. W poniższym artykule spróbujemy przyjrzeć się schematowi działania w przypadku naruszenia zabezpieczeń oraz możliwościom zapobiegania.
Administrator jest osobą odpowiedzialną za zbadanie i ewentualne zgłoszenie naruszenia danych osobowych. Według art. 33 RODO ma on w terminie nie późniejszym niż 72 godziny po stwierdzeniu naruszenia zgłosić je organowi nadzorczemu, o ile zachodzi taka potrzeba. Kluczowy zatem wydaje się moment „stwierdzenia”. Uznaje się, że jest to chwila, gdy uzyskał on pewność, iż doszło to wystąpienia incydentu bezpieczeństwa, jaki doprowadził do ujawnienia danych osobowych. Obrazuje to poniższy przykład:
Przykład 1: Pracownik przedsiębiorcy zauważa podejrzaną aktywność w systemie informatycznym Pracodawcy i zgłasza to do pracownika odpowiedzialnego za bezpieczeństwo w firmie. Pracownik sprawdza zgłoszenie i potwierdza, że doszło do włamania do bazy danych zawierającej dane osobowe. Pracownik niezwłocznie zgłasza to pracodawcy. Termin 72 godziny powinien być liczony od momentu potwierdzenia wystąpienia naruszenia, nie zaś od pierwszego zgłoszenia opisanego powyżej.
Administrator powinien ustanowić procedury, dzięki którym sprawdza i ocenia czy nie doszło do nieprawidłowości w trakcie przetwarzania danych. On lub podmiot przetwarzający mogą korzystać z pewnych środków technicznych takich jak np. analizatory przepływu danych i analizatory dziennika umożliwiające zidentyfikowanie zdarzeń i ostrzeżeń poprzez ich zestawienie z dowolnymi danymi dziennika. Wszystkie środki zaradcze lub zapobiegawcze powinny być opisane przez administratora w sporządzonych planach reagowania na naruszenia danych osobowych. Ułatwi to działanie i wyjaśni, kto konkretnie jest odpowiedzialny za zarządzanie naruszeniem. W wypadku występowania współadministratorów wszelkie działania koniecznie należy rozpisać, aby odpowiedzialność nie rozmywała się. Administrator powinien również zawrzeć porozumienia z wszystkimi podmiotami przetwarzającymi, ponieważ w chwili naruszenia danych osobowych ważny jest czas podjętych działań i zdobyte informacje na temat wykrytych incydentów powinny być kierowane bezpośrednio do osoby odpowiedzialnej za reagowanie.
Podmiot przetwarzający powinien zgłaszać każdy przypadek podejrzenia naruszenia danych osobowych, gdyż to na administratorze ciąży odpowiedzialność decyzji, co do ewentualnego stwierdzenia incydentu bezpieczeństwa. RODO nie określa dokładnie czasu, w jakim takie zgłoszenie przez podmiot przetwarzający powinno być dokonane. Przepisy ograniczają się do nakazu – „bez zbędnej zwłoki” (art. 33 ust. 2 RODO). Często jednak w umowach powierzenia przetwarzania danych strony precyzyjnie wskazują ten czas- najczęściej jako 24 lub 48 godzin od momentu wykrycia naruszenia.
W chwili potwierdzenia wystąpienia naruszenia danych osobowych administrator musi podjąć kilka działań. Po pierwsze należy ocenić ryzyko dla osób fizycznych (prawdopodobieństwo braku ryzyka, istnienie ryzyka lub wysoki poziom ryzyka), czy naruszenie może powodować ryzyko naruszenia praw i wolności, a zatem ostatecznie czy zgłosić sprawę do organu nadzorczego. W Polsce będzie nim Prezes Urzędu Ochrony Danych Osobowych, chyba że naruszenie będzie dotyczyć obywateli także innego kraju członkowskiego, wtedy organ wiodący powinien być ustalony w oparciu o art. 56 RODO. Administrator musi również ocenić czy owo naruszenie może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W wypadku odpowiedzi twierdzącej należy zawiadomić wszystkie osoby, których dane dotyczą. Wreszcie administrator musi podjąć działania naprawcze, które ograniczą skalę naruszenia, oraz takie, które umożliwią przywrócenie stanu sprzed wystąpienia incydentu[4].
Przykład 1: Pracownik wynosi ze Spółki dokumenty kadrowe, aby dokończyć pracę w domu. Dokumenty chowa w torbie, a torbę pozostawia w samochodzie i udaje się na zakupy. Po powrocie do auta okazuje się, że ktoś włamał się do pojazdu i zabrał torbę z poufnymi dokumentami. W wyniku tego incydentu doszło do naruszenia danych osobowych zawartych w dokumentach kadrowych, w tym numerów PESEL, adresów, danych kontaktowych, danych finansowych. Naruszenie dotyczyło 50 pracowników. Zdarzenie powinno zostać zgłoszone do PUODO, a także z uwagi na wysokie ryzyko naruszenia praw osób fizycznych osoby dotknięte naruszeniem powinny zostać o nim poinformowane.
W celu zapobiegania sytuacjom naruszenia danych osobowych administrator może stosować różne środki zapobiegawcze, jak np. szyfrowanie, stosowanie haseł, przechowywanie zaszyfrowanych kopii zapasowych danych, które mogą pomóc zidentyfikować osoby, których dane zostały naruszone. Ważne jest także wdrożenie odpowiednich procedur, które określą w jaki sposób należy postępować z danymi. Wykradzione dane mogą być narzędziem w dokonaniu oszustwa, jakiego ofiarą padną osoby, których dane są przedmiotem naruszenia (wykorzystane danych do podjęcia pożyczek, włamania na konto bankowe czy sprzedaż tożsamości). Wreszcie ważne, aby działania były sumiennie dokumentowane, ponieważ organ nadzorczy może w każdej chwili zażądać weryfikacji przestrzegania art. 33.
Przykład 2: Pracownik firmy informatycznej wybrał się od razu po pracy do klubu. Nie miał czasu pojechać do domu, dlatego zabrał ze sobą służbowy komputer, który cały czas starał się „mieć na oku”. Niestety, w czasie gdy pracownik był w toalecie komputer skradziono. Komputer zawierał m.in. wrażliwe dane dotyczące zdrowia, ponieważ pracownik opracowywał oprogramowanie dla podmiotu medycznego. W wyniku kradzieży doszło do utraty tych danych oraz do ich udostępnienia osobie, która zabrała komputer. Administrator zgłosił naruszenie zarówno do PUODO, jak i poinformował osoby dotknięte naruszeniem.
Zgłoszenie administratora do organu nadzorczego musi zawierać kilka istotnych informacji, jak np. opis charakteru naruszenia danych osobowych, w miarę możliwości wskazywać kategorię, przybliżoną liczbę osób, których dane dotyczą oraz przybliżoną liczbę wpisów danych osobowych (ważne jest tutaj słowo „przybliżone”, gdyż brak dokładnych danych nie powinno wstrzymywać administratora przed zgłoszeniem). Poza tym ważne, aby zgłoszenie zawierało imię, nazwisko i dane kontaktowe inspektora danych osobowych (lub innego punktu kontaktowego), opis możliwych konsekwencji naruszenia, a także środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszenia ochrony danych osobowych, w tym zminimalizowaniu jego negatywnych skutków.
Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne[5]. Dlatego tak ważna jest szybka reakcja oraz upewnienie się, że wdrożono wszelkie odpowiednie techniczne środki ochrony danych oraz środki organizacyjne (np. odpowiednie procedury zabraniające wynoszenia dokumentów lub nośników z biura), by od razu stwierdzić naruszenie i poinformować organ nadzorczy. Dokonuje się tego po badaniu prawdopodobieństwa – czy sytuacja naruszenia danych osobowych będzie skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. W wypadku, gdy poziom takiego ryzyka ocenia się jako niski, nie ma obowiązku zawiadomienia organu nadzorczego.
Przykład: Pracownik zakładu fryzjerskiego postanawia odejść z pracy. Przed odejściem kopiuje dane klientów, których obsługiwał. Po założeniu własnej działalności przesyła do nich wiadomości z zaproszeniem do nowego salonu. Były pracodawca odnotował incydent jako naruszenie danych osobowych w swoich rejestrach, jednak nie dokonał zgłoszenia uznając, że nie ma ryzyka naruszenia praw lub wolności osób fizycznych z uwagi na rodzaj, a także niewielką skalę skopiowanych danych.
W wypadku decyzji zgłoszenia naruszenia do organu nadzorczego sprawa wydaje się znacznie prostsza, gdyż ocenia się sytuacje, które już się wydarzyły. Obowiązek powiadomienia z art. 34 RODO dotyczy natomiast sytuacji hipotetycznych, a zatem potencjalnego naruszenia praw i wolności podmiotu danych i jego poziomu. Nie wymaga się więc, aby wysokie ryzyko się zmaterializowało i by rzeczywiście doszło do naruszenia praw lub wolności. Osoby, których dane dotyczą, powinny zostać zawiadomione bez zbędnej zwłoki, ale RODO nie podaje dokładnego terminu.
Treść zawiadomienia powinna zawierać podobne informacje, co przy zgłoszeniu do organu nadzorczego, czyli: opis charakteru naruszenia, imię, nazwisko i dane inspektora ochrony danych, opis możliwych konsekwencji oraz środków zastosowanych lub proponowanych przez administratora. Co do formy komunikatu głównym wymogiem jest celowość, czyli obowiązek, aby treść była zrozumiała dla osób, których dane dotyczą. Można przyjąć z dużą dozą prawdopodobieństwa, że nie będą one zaznajomione z fachową terminologią, więc język powinien być jasny i prosty.
Przykładowy komunikat może brzmieć następująco:
Szanowni Państwo,
W dniu 20 maja 2023 r. doszło do naruszenia danych osobowych w naszej firmie, polegającego na utracie poufności niektórych dokumentów kadrowych. Dokumenty zawierały następujące dane: imię, nazwisko, adres, numer telefonu, PESEL. Dostęp został przez nas zablokowany, wdrożyliśmy także dodatkowe zabezpieczenia. Możliwe konsekwencje zdarzenia obejmują dalsze wykorzystanie Pani/Pana danych w sposób nieuprawniony, w tym w celu uzyskania kredytów, pożyczek, ubezpieczeń. Więcej informacji może Pan/Pani uzyskać od naszego Inspektora Ochrony Danych Osobowych pod numerem telefonu…………., e-mail…………..
Grupa Robocza Art. 29 w powołanych wyżej wytycznych wskazuje, że administrator powinien brać pod uwagę, przy ocenie prawdopodobieństwa naruszenia praw i wolności osób fizycznych, następujące kryteria: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych (to wydaje się kluczowym czynnikiem podczas oceniania ryzyka), łatwość identyfikacji osób fizycznych, waga konsekwencji dla osób fizycznych, cechy szczególne danej osoby fizycznej, cechy szczególne administratora danych oraz liczba osób fizycznych, na które naruszenie wywiera wpływ.
Zgodnie z treścią art. 33 ust. 5, który wynika z art. 5 RODO, czyli z tzw. zasadą rozliczalności, administrator ma obowiązek dokumentowania wszystkich przypadków naruszeń danych osobowych, nawet tych, które nie były zgłoszone. Dokumentacja może zostać wykorzystana jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków przez organ nadzorczy (por. art. 24 RODO). Administrator powinien przechowywać wszelkie dane dot. naruszenia danych osobowych, okoliczności ich naruszenia (przyczyny, przebieg zdarzeń), skutki oraz podjęte działania zaradcze.
RODO nie wskazuje w tym wypadku, jak długo powinna być przechowywana taka dokumentacja. Na pewno ma to następować przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (art. 5 RODO), ale musi się mieścić w zakresie, w jakim administrator mógłby zostać wezwany do przedstawienia organowi nadzorczemu dowodów na przestrzeganie przepisów art. 33. Oczywiście jeśli przechowywana dokumentacja nie zawiera danych osobowych, to powyższe przepisy RODO nie obowiązują.
Grupa Robocza Art. 29 zwraca również uwagę, że w dokumentacji powinno się znaleźć uzasadnienie podjętych decyzji, a w szczególności, kiedy została podjęta decyzja o niezgłaszaniu przypadku do organu nadzorczego. Administrator winien zapisać argumenty, które spowodowały, że naruszenie danych osobowych nie zostało zgłoszone. Również warto stosownie uzasadnić lub po prostu zapisać dowody, jeśli administrator uznał, że został spełniony któryś z warunków dopuszczający brak wymogu powiadamiania organu nadzorczego (wspomniany wyżej art. 33 ust. 3)[6].
Naruszenie przepisów z art. 33 oraz 34 RODO może skutkować karami finansowymi w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Ważne jest, że dotyczy to nie tylko braku powiadomienia osoby fizycznej, której dane dotyczą, lub zgłoszenia naruszenia organowi nadzorczemu. Kara może podlegać także nieprawidłowe zgłoszenie, brak odpowiedniej dokumentacji, błędne sformułowanie zawiadomienia, czyli generalnie brak wypełnienia obowiązków administratora wynikających z opisywanych przepisów. Poniższe przykłady pokazują, że odpowiedzialność w tym zakresie nie ma charakteru iluzorycznego.
11 lutego 2021 r. PUODO ukarał Krajową Szkołę Sądownictwa i Prokuratury, karą w wysokości 100 tys. zł, za wyciek kilkudziesięciu tysięcy danych osobowych (m.in. sędziów, asesorów prokuratury i referendarzy sądowych). Wynikało to z niezastosowania odpowiednich środków technicznych i organizacyjnych przy migracji danych osobowych z również nieprawidłowo zastosowanej umowy z podmiotem zewnętrznym[7].
Innym głośnym przypadkiem jest wyrok dotyczący spółki morele.net jeszcze z 2019 r., powiązany z wyciekiem ponad 2 mln danych osobowych klientów. Wiązało się to, między innymi, z próbami wyłudzeń, jaki zgłaszały poszkodowane osoby. W dniu 9 lutego 2023 r. Naczelny Sąd Administracyjny wydał wyrok, sygn. akt III OSK 3945/21, który uchylił zaskarżony wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 września 2020 r., sygn. akt II SA/Wa 2559/19 oraz decyzję Prezesa UODO z dnia 10 września 2019 r. w przedmiocie nałożenia kary pieniężnej w związku z wyciekiem danych osobowych. W decyzji tej PUODO nałożył na morele.net karę w wysokości 3 mln złotych. Na tym etapie wiemy już, że morele nie zapłaci tej kary. Zwróćmy jednak uwagę, że Wyrok NSA nie kończy sprawy, ponieważ będzie ona teraz ponownie rozpatrywana przez PUODO.
RAMKA:
Przykładowe naruszenia danych osobowych[8]:
Przykład 1: Serwer przedsiębiorstwa zajmującego się transportem publicznym został narażony na atak za pomocą oprogramowania szantażującego, a jego dane zostały zaszyfrowane przez sprawcę ataku. Zgodnie z ustaleniami z wewnętrznego dochodzenia sprawca nie tylko zaszyfrował dane, ale także dokonał ich eksfiltracji. Naruszone zostały dane osobowe klientów i pracowników, a także kilku tysięcy osób korzystających z usług przedsiębiorstwa (np. kupujących bilety online). Poza podstawowymi danymi dotyczącymi tożsamości naruszenie dotyczyło numerów dowodów tożsamości i danych finansowych, takich jak dane kart kredytowych. Istniała zapasowa baza danych, ale ona również została zaszyfrowana przez sprawcę ataku.
Przykład 2: Agencja pośrednictwa pracy padła ofiarą cyberataku, w wyniku którego na jej stronie internetowej został umieszczony złośliwy kod. Ten złośliwy kod sprawił, że dane osobowe przesłane za pośrednictwem internetowych formularzy podań o pracę i przechowywane na serwerze internetowym stały się dostępne dla nieupoważnionej osoby (osób). Możliwe, że naruszenie dotyczyło 213 takich formularzy; po przeanalizowaniu danych, które zostały naruszone, stwierdzono, że naruszenie nie dotyczyło żadnych szczególnych kategorii danych. Zainstalowane złośliwe oprogramowanie posiadało funkcje, które pozwoliły sprawcy ataku na usunięcie wszelkich historii eksfiltracji, a także umożliwiły monitorowanie przetwarzania danych na serwerze i przechwytywanie danych osobowych. Oprogramowanie wykryto dopiero miesiąc po jego zainstalowaniu.
Przykład 3: Podczas włamania do świetlicy środowiskowej skradziono dwa tablety. Na tabletach znajdowała się aplikacja, która zawierała dane osobowe dzieci uczęszczających do świetlicy. Dotyczyło to imion i nazwisk, dat urodzenia, danych osobowych związanych z edukacją dzieci. Zarówno zaszyfrowane tablety, które w momencie włamania były wyłączone, jak i aplikacja były chronione silnym hasłem. Dane zapasowe były skutecznie i łatwo dostępne dla administratora. Po uzyskaniu informacji o włamaniu opiekun świetlicy wydał zdalne polecenie wyczyszczenia tabletów wkrótce po odkryciu włamania.
Przykład 4: Dział zatrudnienia urzędu administracji publicznej wysłał wiadomość e-mail – o zbliżających się szkoleniach – do osób zarejestrowanych w jego systemie jako poszukujące pracy. Przez pomyłkę do wiadomości e-mail dołączono dokument zawierający dane osobowe wszystkich osób poszukujących pracy (imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego). Liczba osób, których to dotyczy, wynosi ponad 60 000. Następnie urząd skontaktował się ze wszystkimi odbiorcami i poprosił ich o usunięcie poprzedniej wiadomości oraz o niewykorzystywanie zawartych w niej informacji.
Przykład 5: Z ośrodka odwykowego skradziono papierowy rejestr. Rejestr zawierał podstawowe dane identyfikacyjne i zdrowotne pacjentów przyjętych do ośrodka odwykowego. Dane były przechowywane tylko w wersji papierowej, a lekarze leczący pacjentów nie mieli dostępu do kopii zapasowych. Rejestru nie przechowywano w zamkniętej szufladzie ani zamkniętym pomieszczeniu, administrator danych nie stosował systemu kontroli dostępu ani żadnych innych środków zabezpieczających dokumentację papierową.
[1] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. dr Paweł Litwiński, Legalis.pl; Guidelines 9/2022 on personal data breach notification under GDPR, dostęp: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en
[2] Zob. Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, WP250 rev.01.
[3] Porównaj: Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (https://archiwum.uodo.gov.pl/pl/file/2611).
[4] Porównaj: tamże.
[5] Porównaj motyw 85 preambuły RODO.
[6] Porównaj: https://archiwum.uodo.gov.pl/pl/file/2611.
[7] Porównaj: https://uodo.gov.pl/pl/322/1913.
[8] Wszystkie przykłady pochodzą z Wytycznych EROD 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjęte 14 grudnia 2021, dostęp: https://edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_pl.pdf
