Gdy w 2018 r. zaczęło obowiązywać ogólne rozporządzenie o ochronie danych osobowych (RODO)1 podmioty, które przetwarzają dane osobowe, koncentrowały się przede wszystkim na zapewnieniu zgodności swoich organizacji z nowymi przepisami poprzez sporządzenie dokumentacji oraz przeprowadzenie szkoleń dla personelu. Obecnie coraz większą wagę przykłada się do problematyki naruszeń ochrony danych. Całkowicie słusznie, gdyż wszystkie podejmowane czynności w obszarze ochrony danych osobowych mają na celu właśnie zapobieżenie incydentom. Sposób zarządzania naruszeniami to niewątpliwie sprawdzian dla każdego podmiotu zarówno w zakresie prawidłowości przyjętych i stosowanych rozwiązań, jak i właściwej reakcji na samo zdarzenie. Jaki obraz wyłania się z analizy decyzji Prezesa Urzędu Ochrony Danych Osobowych2 (PUODO) z ostatnich dwóch lat? Czy podmioty, które przetwarzają dane osobowe, dobrze radzą sobie z nałożonymi na nie obowiązkami? Jakie błędy najczęściej popełniają?
Czytaj więcej
Każdy ma prawo wiedzieć, jakim podmiotom zostały przekazane jego dane, a ochrony danych można dochodzić równocześnie na drodze administracyjnej i cywilnej – uznał Trybunał Sprawiedliwości UE.
Nieprawidłowe działania
Naruszeniem danych osobowych jest zdarzenie, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Ze sprawozdania z działalności PUODO za 2021 r. wynika, że do najczęściej występujących naruszeń należały następujące zdarzenia:
- nieprawidłowe zaadresowanie lub zapakowanie korespondencji (w formie tradycyjnej lub elektronicznej);
- nieprawidłowa anonimizacja danych lub niezamierzona ich publikacja;
- udostępnienie danych niewłaściwej osobie;
- zagubienie korespondencji przez operatora pocztowego lub otwarcie korespondencji przed zwróceniem jej do nadawcy;
- nieuprawniony dostęp do baz danych;
- zagubienie, kradzież lub pozostawienie w niezabezpieczonej lokalizacji dokumentacji papierowej;
- zagubienie lub kradzież nośnika danych;
- wykorzystanie złośliwego oprogramowania ingerującego w poufność, integralność lub dostępność danych osobowych.
Analiza opublikowanych na stronie internetowej decyzji wydanych przez PUODO w 2022 r. prowadzi do wniosku, że tendencja do występowania tożsamych lub podobnych naruszeń w dalszym ciągu się utrzymuje, co może świadczyć o tym, że administratorzy danych nie uczą się na błędach innych.
Błędy administratorów
Podmiotom, u których dochodziło do incydentów, trudność sprawiało ustalenie, czy dane zdarzenie stanowi naruszenie ochrony danych osobowych oraz czy wymaga podjęcia dodatkowych czynności. Pamiętać należy, że w przypadku wystąpienia incydentu bezpieczeństwa na administratorze spoczywa szereg obowiązków, do wypełnienia których powinien być już przygotowany, ponieważ w tym przypadku bardzo ważna jest szybka i właściwa reakcja.
Administrator powinien:
- dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze;
- zgłaszać przypadki naruszenia organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;
- zawiadamiać bez zbędnej zwłoki osobę, której dane dotyczą, o naruszeniu, jeżeli takie naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
W wielu przypadkach administratorzy poprzestawali na realizacji pierwszego obowiązku, świadomie, aczkolwiek nieprawidłowo przyjmując, że ryzyko naruszenia w danej sytuacji jest niskie. Wiele razy organ nadzorczy o incydentach dowiadywał się od osób trzecich. Przyczyną był często brak wiedzy na temat metodyki oceny ryzyka w przypadku wystąpienia incydentu. Brak na gruncie RODO przykładowego katalogu naruszeń, których wystąpienie, pociąga za sobą obowiązek dokonania zgłoszenia lub zawiadomienia, nie stanowi usprawiedliwienia dla administratora, który nie wykonuje swoich powinności. Gdzie zatem szukać informacji na temat przykładów naruszeń oraz procedury postępowania?
Przydatne będą na pewno wytyczne nr 1/2021 Europejskiej Rady Ochrony Danych Osobowych w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych z 2021 r.3, obejmujące omówienie możliwych naruszeń wraz ze wskazaniem sposobu postępowania, przykładowych środków zaradczych, w tym zabezpieczeń, które należy stosować, by uniknąć incydentów. Warto również zapoznać się ze sprawozdaniami z działalności PUODO4 publikowanymi co roku oraz decyzjami.
Do powtarzających się nieprawidłowości popełnianych w przypadku dokonywania analiz, np. podczas wypełniania formularza oceny skutków naruszenia ochrony danych osobowych jest arbitralne, nieuzasadnione obniżanie poziomu ryzyka, np. z uwagi na fakt, że naruszenie dotyczyło tylko jednej osoby lub zdaniem administratora zakres ujawnionych danych był niewielki.
Błędy popełniane przez administratorów dotyczyły również nieprawidłowej interpretacji przepisów. Tytułem przykładu należy wskazać, że dla powstania obowiązku zawiadomienia o incydencie nie jest konieczne zmaterializowanie się negatywnych konsekwencji naruszenia, lecz wystarczająca jest w tym zakresie sama możliwość (ryzyko) wystąpienia takich konsekwencji. Brak informacji o próbach wyłudzenia kredytu lub innych szkodach nie stanowi podstawy do odstąpienia od zawiadomienia podmiotów, których dane dotyczą. Kolejny przykład dotyczy zakresu danych, których dotyczył incydent. Zdaniem organu administratorzy często zapominają, że numer PESEL, czyli symbol numeryczny jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy oraz oznaczenie płci, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.
Brak zabezpieczeń
Analiza powodów występowania naruszeń prowadzi do wniosku, że dużym problemem dla administratorów jest wdrożenie odpowiednich, dostosowanych do danego podmiotu organizacyjnych i technicznych środków zabezpieczeń, natomiast do prawdziwych wyzwań należy zaliczyć kompleksowe i regularne dokonywanie ich przeglądów, czyli testowanie i mierzenie. W przypadku utraty sprzętu, np. laptopa lub nośnika danych, okazywało się, że nie wdrożono takich podstawowych środków zabezpieczeń, jak szyfrowanie lub też nieprawidłowo szyfrowanie zastępowano organizacyjnym środkiem, jakim jest szkolenie. Zważyć należy, iż jednorazowy przegląd zabezpieczeń, który nastąpił podczas wdrożenia (zazwyczaj w 2018 r.) lub podejmowanie wybiórczych czynności w przypadku podejrzenia występowania podatności danego systemu lub w sytuacji zmian organizacyjnych lub prawnych nie są wystarczające. Konieczne jest regularne testowanie, mierzenie oraz ocenianie skuteczności przyjętych zabezpieczeń. Co więcej, do wielu naruszeń dochodzi w przypadku migracji baz danych do nowej platformy czy innych zmian w środowisku informatycznym wykonywanych bez wydzielenia środowiska testowego i przeprowadzenia analizy ryzyka, które powinny być standardowym postępowaniem.
Powierzanie danych bez umowy
Kolejnym obszarem, który wymaga większej uwagi, jest powierzanie danych osobowych innym podmiotom. Wciąż zdarzają się sytuacje, w których powierzenie następuje bez zawarcia pisemnej umowy oraz bez weryfikacji, czy dany procesor (np. biuro rachunkowe, które wykonuje czynności na rzecz administratora) zapewnia wystarczające gwarancje wdrożenia odpowiednich środków zapewniających bezpieczeństwo przetwarzanych danych. Umowy powierzenia, jeżeli są zawierane, nie zawierają często wymaganych elementów, o których mowa w art. 28 ust. 3 RODO, np. kategorii osób, których dane dotyczą, kategorii danych oraz wskazania, że przetwarzanie przez procesora następuje wyłącznie na udokumentowane polecenie administratora. Administratorzy zapominają również o nadzorowaniu czynności dokonywanych przez swoich procesorów.
Podsumowanie
Analiza komunikatów PUODO prowadzi do wniosku, że bardzo wielu naruszeniom ochrony danych osobowych można było w stosunkowo łatwy sposób zapobiec, a właściwa, szybka i adekwatna reakcja w przypadku wystąpienia naruszenia wciąż pozostaje dużym wyzwaniem dla administratorów danych. Z tego powodu bardzo ważne jest zwiększanie świadomości, pokazywanie przykładów dobrych praktyk i po prostu wyciąganie wniosków z nieprawidłowości innych.
— Anna Dąbrowska-Lipka – adwokat w KWKR Konieczny Wierzbicki i Partnerzy SKA
Przepisy:
1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
2. https://uodo.gov.pl/pl/p/decyzje
3. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_pl
4. https://uodo.gov.pl/pl/487/2279
