Niektórzy mawiają, że mylić się jest rzeczą ludzką, a inni – że najsłabszym ogniwem każdej organizacji jest człowiek. Wiele jest prawdy w obydwóch tych stwierdzeniach, jednakże niektóre pomyłki mogą drogo kosztować zarówno naszych pracodawców, jak i nas samych. Chodzi oczywiście o pomyłki, których przedmiotem są dane osobowe klientów, pracowników i kontrahentów, przetwarzane przez nas na co dzień w ramach wykonywania obowiązków służbowych.
Pomimo, że ogólne rozporządzenie o ochronie danych stosowane jest już od roku, niektórzy nadal nie mają pojęcia, w jakim celu zostało ono wprowadzone, lub też prawo ochrony danych osobowych traktują jak nikomu niepotrzebny zbiór obowiązków. Dopiero kiedy słyszą, że z powodu incydentu będącego naruszeniem ochrony danych osobowych ktoś zaciągnął kredyt w imieniu innej osoby lub okradł starszą panią metodą „na wnuczka”, zaczynają zdawać sobie sprawę z tego, że przepisy te jednak mają jakiś sens.
Incydenty bezpieczeństwa informacji zdarzały się zawsze, z tym że o ile na gruncie przepisów obowiązujących przed 25 maja 2018 r. wystarczyło sporządzić raport ze sprawdzenia incydentu, o tyle od momentu rozpoczęcia obowiązywania RODO należy nie tylko dokonać gruntownego sprawdzenia, na czym incydent polegał i kto jest za niego odpowiedzialny, lecz także ustalić, czy doszło do naruszenia praw i wolności podmiotów danych. Jeśli analiza wykaże, że ryzyko naruszenia istnieje, należy niezwłocznie się do tego przyznać poprzez zgłoszenie takiego zdarzenia do organu nadzorczego. Instytucja autodenuncjacji, o której tu mowa, była dotychczas znana w prawie podatkowym. Dzięki niej niefrasobliwi obywatele mogli ustrzec się przed odpowiedzialnością karnoskarbową. Podobnie sytuacja wygląda na gruncie prawa ochrony danych osobowych. Jeśli bowiem administrator sam przyzna się do naruszenia ochrony danych osobowych, zanim skargę w tej sprawie złożą do Prezesa UODO niezadowolony klient, pacjent, pracownik czy ktoś z firmy konkurencyjnej, to administrator ten może uniknąć niechcianej kontroli, a być może również kary. Różnica pomiędzy prawem podatkowym, a prawem ochrony danych polega jednak na tym, że zawiadomienie jest nie tylko uprawnieniem administratora, lecz także jego obowiązkiem, z którego niewywiązania będzie się musiał i tak wytłumaczyć, w skrajnym wypadku zaś – zapłacić karę pieniężną w maksymalnej kwocie 10 tys. euro albo 2% całkowitego rocznego światowego obrotu z poprzedniego roku (w przypadku przedsiębiorców).
INCYDENT A NARUSZENIE OCHRONY DANYCH
Zanim podejmiemy decyzję o zgłoszeniu zdarzenia do Prezesa UODO, musimy się przede wszystkim zastanowić, czy może ono skutkować naruszeniem ochrony danych osobowych. Zgodnie z definicją z RODO naruszeniem danych osobowych jest naruszenie bezpieczeństwa danych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. W praktyce oznacza to, że możemy mieć do czynienia z naruszeniami umyślnymi i nieumyślnymi, które mogą doprowadzić do naruszenia poufności, integralności i dostępności danych osobowych. Naruszeniem ochrony danych osobowych nie będzie zatem każde zdarzenie, które uznamy za incydent bezpieczeństwa informacji, lecz tylko takie, które będzie się wiązało z naruszeniem poufności, dostępności lub integralności danych i będzie wywierało niekorzystny wpływ na osobę, której dane dotyczą.
Do umyślnych naruszeń poufności danych dochodzi najczęściej w związku z atakami hakerskimi na sklepy internetowe – najsłynniejszy w Polsce to jak dotąd atak na Morele.net. Innymi przykładami takich incydentów są ataki na banki (np. ING Bank Śląski), firmy kurierskie czy operatorów telekomunikacyjnych. Do najczęstszych nieumyślnych naruszeń poufności danych należą z kolei wycieki danych spowodowane wysyłką masowej korespondencji elektronicznej do klientów firm bez użycia opcji „do ukrytej wiadomości”, co skutkuje tym, że wszyscy adresaci listów widzą adresy e-mail pozostałych odbiorców. Inne incydenty związane z naruszeniem poufności to bezrefleksyjne udostępnianie w internecie imion, nazwisk i numerów PESEL konkretnych osób czy nagrywanie przebiegu wizyt lekarskich bez zgody pacjentów w celu obrony przed ewentualnymi roszczeniami. Często dochodzi również do naruszenia poufności poprzez bezprawne ujawnienie przez pracowników szerokiego zakresu danych klientów zawartych w dokumentach papierowych, pozostawianych przez nieuwagę w widocznych, łatwo dostępnych miejscach.
Poza najczęstszymi naruszeniami poufności danych zdarzają się umyślne naruszenia dostępności do danych spowodowane przez złośliwe oprogramowanie i zaszyfrowanie danych w taki sposób, że nie można uzyskać dostępu do nich bez użycia klucza, który należy odkupić od hakerów. Do nieumyślnych naruszeń dostępu do danych należą z kolei błędy systemów informatycznych czy brak dostępu do sieci, które blokują dostęp do baz danych i uniemożliwiają skorzystanie z usług handlowych czy opieki medycznej. Inne przykłady naruszeń dostępności to zagubienie laptopa, telefonu komórkowego czy dysku przenośnego, na których zostały zapisane dane osobowe. Rzadziej spotykane incydenty tego typu to zaginięcie dokumentów pracowniczych czy niewyjaśnione zniknięcie skrzynki e-mailowej zawierającej dane pracowników.
Trzecim rodzajem naruszeń są naruszenia integralności danych, polegające na nieuprawnionej modyfikacji danych z powodu niewłaściwego zabezpieczenia konta użytkownika lub przekazania dostępu do haseł nieograniczonej liczbie osób poprzez pozostawienie ich w widocznym miejscu. Integralność danych może być także zagrożona przez wirusy komputerowe lub umyśle działanie pracowników firmy.
KTO POWINIEN ZGŁOSIĆ NARUSZENIE
Każdy administrator, który stwierdzi, że doszło do incydentu naruszającego bezpieczeństwo danych i powodującego ryzyko naruszenia praw i wolności podmiotów danych, musi się liczyć z koniecznością dokonania zgłoszenia. Zanim jednak przystąpi do sporządzania pisma do Prezesa UODO, powinien sprawdzić, czy dane będące przedmiotem naruszenia należą do niego, czy może zostały mu tylko powierzone do przetwarzania. Należy pamiętać, że wyłącznie administratorzy mają obowiązek notyfikacji naruszeń Prezesowi UODO, a podmioty przetwarzające muszą jedynie zawiadomić o zdarzeniu właściwego administratora. Nie zwalnia ich to jednak z obowiązku ustalenia okoliczności naruszenia i – jak wskazano wyżej – niezwłocznego przekazania tych informacji administratorowi, na którego zlecenie dokonują przetwarzania.
ZGŁASZAĆ CZY NIE ZGŁASZAĆ
Administrator powinien podjąć decyzję o zawiadomieniu Prezesa UODO, gdy po przeanalizowaniu informacji uzyskanych od pracowników, klientów czy procesora uzyskał całkowitą pewność, że doszło do naruszenia. Pierwszym krokiem w procedurze notyfikacji jest zbadanie, czy naruszenie ochrony danych niesie za sobą prawdopodobieństwo ryzyka naruszenia praw i wolności osób, których dane były przedmiotem naruszenia. Administrator musi więc rozważyć, czy naruszenie może wywołać skutek w postaci dyskryminacji, kradzieży lub sfałszowania tożsamości, straty finansowej, naruszenia dobrego imienia, cofnięcia pseudonimizacji, utraty poufności danych chronionych tajemnicą zawodową, ograniczenia swobody przemieszczania się czy naruszenia prywatności. Jeżeli po przeanalizowaniu okoliczności incydentu dojdzie do wniosku, że ryzyko wystąpienia chociażby jednego z powyższych skutków jest prawdopodobne lub wysoce prawdopodobne, powinien dokonać zgłoszenia do Prezesa UODO. Jeżeli natomiast analiza wykaże, że ryzyko naruszenia praw i wolności osoby, której dane dotyczą, jest znikome lub zerowe, to incydentu zgłaszać nie musi, lecz powinien go wpisać do wewnętrznego rejestru incydentów.
REJESTR INCYDENTÓW
Rejestr incydentów powinien być prowadzony przez wszystkich administratorów. Musi zawierać wszystkie informacje o incydencie, takie jak termin, okoliczności wystąpienia, oszacowane ryzyko naruszenia praw i wolności podmiotu danych oraz podjęte działania naprawcze i zabezpieczające. Do rejestru należy wpisywać wszystkie incydenty, które miały miejsce u administratora, na wypadek ewentualnej kontroli, bez względu na to, czy zostały zgłoszone do Prezesa UODO, czy też nie.
TERMIN NA ZGŁOSZENIE NARUSZENIA – MAKS. 72 godziny
Przepisy RODO narzucają bardzo krótki termin na zgłoszenie naruszenia do Prezesa UODO – powinno się to odbyć niezwłocznie, a od momentu stwierdzenia naruszenia do momentu wysłania zgłoszenia z zasady nie może upłynąć więcej niż 72 godziny. Oznacza to, że bez względu na to, czy stwierdzenie naruszenia miało miejsce w piątek wieczorem, czy też w trakcie świąt albo w czasie ważnych spotkań biznesowych, należy w ciągu trzech dób zebrać wszystkie niezbędne informacje o okolicznościach incydentu, o środkach zaradczych podjętych w celu minimalizacji skutków naruszenia oraz jak najszybciej dokonać analizy ryzyka naruszenia praw i wolności podmiotu danych. Następnie należy przygotować zawiadomienie do organu nadzorczego, a czasem, gdy ryzyko okaże się wysokie, zawiadomić również wszystkie podmioty danych. Termin 72 godzin może okazać się zatem wyjątkowo krótki, jeśli naruszenia dokona procesor, który nie będzie chciał lub potrafił wywiązać się ze swoich obowiązków. Z tego względu ważne jest, aby w umowie powierzenia danych precyzyjnie określić czas i sposób reakcji procesora na wszelkiego rodzaju incydenty ochrony danych osobowych. W praktyce przyjmuje się, że podmiot przetwarzający ma 24 godziny na poinformowanie administratora o naruszeniu, po to aby przez pozostałe 48 godzin mógł wspólnie z administratorem ustalać okoliczności zdarzenia i oceniać ryzyko naruszenia. Jeżeli nie uda się wysłać zgłoszenia w 72 godziny, należy uzasadnić przyczyny opóźnienia.
JAK ZGŁOSIĆ NARUSZENIE I ZAWIADOMIĆ PODMIOT DANYCH
Zgłoszenia naruszenia do Prezesa UODO można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną. Najszybszą drogą jest wypełnienie formularza zgłoszeniowego dostępnego na stronie internetowej UODO i wysłanie go za pośrednictwem platformy biznes.gov.pl, platformy ePUAP. Można też wysłać wypełniony i wydrukowany formularz przesłać listem poleconym na adres UODO (link do formularzy zgłoszenia naruszenia: https://uodo.gov.pl/pl/134/233). Dopuszczalne jest także wystosowanie zwykłego pisma do Prezesa UODO, jednak trzeba pamiętać, aby czyniło ono zadość wymogom art. 33 ust. 3 RODO.
Ponadto, jeżeli analiza ryzyka wykaże wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą, należy przekazać zawiadomienie o naruszeniu również tej osobie, chyba że administrator podjął odpowiednie środki zabezpieczenia danych i przez to zminimalizował skutki naruszenia. Formułując zawiadomienie do osoby, której dane dotyczą, należy posługiwać się prostym i zrozumiałym językiem, a w samym piśmie przedstawić także środki zaradcze na przyszłość.
Proces przetwarzania danych jest na tyle złożony i subtelny (obejmuje przecież całą organizację i wszelkie, także strategiczne zbiory danych), że nawet niewielkie pomyłki na poszczególnych jego etapach mogą prowadzić do poważnych skutków, w tym zwłaszcza do dotkliwych strat finansowych i wizerunkowych. W związku z tym zalecamy, aby osoby odpowiedzialne za przetwarzanie danych dokładnie sprawdzały, co i do kogo wysyłają, od kogo odbierają pocztę, telefon lub SMS, komu udostępniają dane, a także gdzie zostawiają dokumenty. Jeżeli zaś zauważą, że doszło do niepokojącego zdarzenia, niech nie wahają się zawiadomić odpowiednich służb, gdyż z naruszeniami bywa tak jak z chorobami: im wcześniej zostają wykryte, tym łatwiej zminimalizować ich negatywne skutki.
Autor: Marta Mojsiej