W ubiegłym roku Urząd Ochrony Danych Osobowych opublikował na swojej stronie internetowej informację o ukaraniu dwóch spółek z branży medycznej za naruszenia ochrony danych osobowych. W obu przypadkach doszło do ataków hakerskich, lecz stosunkowo mało uwagi poświęcono ich praprzyczynom, tj. nieodpowiedniej ocenie ryzyka przy przetwarzaniu danych osobowych.
Pierwszy przypadek dotyczył firmy American Heart of Poland S.A., która została ukarana grzywną w wysokości 330 000 euro. W wyniku ataku hakerskiego nieuprawnione osoby uzyskały dostęp do szczegółowych danych osobowych około 21 000 osób. UODO stwierdził, że firma nie przeprowadziła właściwej analizy ryzyka, co doprowadziło do braku odpowiednich środków technicznych i organizacyjnych chroniących przetwarzane dane. Wśród naruszonych danych znalazły się m.in. imiona, nazwiska, numery PESEL, dane zdrowotne oraz informacje o zarobkach.
Czytaj więcej:
Drugi przypadek dotyczył Samodzielnego Publicznego Zakładu Opieki Zdrowotnej, który został ukarany grzywną w wysokości 9300 euro. W lutym 2022 roku doszło tam do ataku ransomware, w wyniku którego zaszyfrowano dane osobowe 30 000 pacjentów oraz ponad 1000 pracowników. Centrum nie przeprowadziło wcześniej analizy ryzyka, co uniemożliwiło skuteczną ochronę danych. Dopiero po ataku podjęto działania naprawcze, w tym szkolenia dla pracowników oraz audyt bezpieczeństwa.
Istotą naruszeń w każdym z tych przypadków było to, że instytucje zlekceważyły istotność oceny skutków dla ochrony danych osobowych, gdyż albo jej nie przeprowadziły, albo jej przeprowadzenie stanowiło jedynie wyraz formalnej realizacji obowiązku prawnego, bez dokonywania wnikliwszych ustaleń i bez przestrzegania choćby tych już dokonanych.
Oba przypadki pokazują, jak ważna jest prawidłowa ocena ryzyka wykonywana dla poszczególnych procesów, z którymi wiąże się przetwarzanie danych osobowych. Brak takiej oceny, nieprawidłowe jej przeprowadzenie albo niedostosowanie się do jej rezultatów może prowadzić do poważnych konsekwencji, zarówno dla instytucji, jak i dla osób, których dane zostały naruszone.
Ocena skutków dla ochrony danych (DPIA)…
Ocena skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA) to proces mający na celu ustalenie, czy określone działanie (np. proces biznesowy), z którym wiąże się przetwarzanie danych osobowych, może stwarzać ryzyko naruszenia ochrony danych osobowych, a jeśli tak, to na czym ono może polegać, w jakim obszarze wystąpić i jakie środki techniczne lub organizacyjne należy przedsięwziąć. Chodzi o środki już posiadane, jak i te, które można byłoby wdrożyć, aby temu ryzyku zaradzić przynajmniej na tyle, aby prawdopodobieństwo jego ziszczenia się było niskie.
...w pięciu krokach
Przeprowadzenie DPIA można podzielić na kilka kroków:
1. Opis planowanych operacji przetwarzania: Należy sprecyzować, w jakim celu, zakresie i czasie będą przetwarzane dane osobowe.
2. Ocena konieczności i proporcjonalności: Konieczne jest określenie: zakresu przetwarzanych danych, zakresu osób, których dane są przetwarzane, a także zakresu odbiorców, którym te dane są udostępniane oraz ich niezbędności z punktu widzenia celów i podstaw prawnych przetwarzania.
3. Środki planowane w celu wykazania zgodności: Należy wskazać zabezpieczenia organizacyjne i techniczne oraz rekomendacje dotyczące usunięcia wykrytych niezgodności.
4. Ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą: Niezbędne jest wskazanie możliwych naruszeń, ich przyczyn, skutków, wagi zagrożenia, prawdopodobieństwa wystąpienia oraz poziomu ryzyka. Na tej podstawie formułowane są rekomendacje dotyczące minimalizacji ryzyka.
Jak często aktualizować DPIA
Ocena skutków dla ochrony danych powinna być aktualizowana regularnie, zwłaszcza w przypadku istotnych zmian w procesach przetwarzania danych.
Przykłady takich zmian to dostępność nowych narzędzi przetwarzania, zmiany odnoszące się do zakresu lub celu przetwarzanych danych lub spostrzeżenia poczynione w trakcie przetwarzania danych, np. co do skuteczności zastosowanych narzędzi.
Abstrahując od formalnych aspektów DPIA, takich jak aktualizacja, najważniejsze przede wszystkim jest jednak regularne sprawdzanie użytych środków zabezpieczających dane oraz kontrola przestrzegania zaleceń, w tym procedur wynikających z przedmiotowego dokumentu. Brak regularnego testowania skuteczności środków opisanych w DPIA uniemożliwia bowiem odpowiednie przygotowanie się na wypadek zaistnienia potencjalnego ryzyka. W przypadku American Heart of Poland S.A. brak wykonywania ww. czynności skutkował nałożeniem przez UODO wspomnianej już kary.
Nie każdy proces przetwarzania danych osobowych wymaga przeprowadzenia DPIA. Ocena skutków jest obowiązkowa, w przypadku gdy przetwarzanie danych może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Przykłady takich procesów to:
- systematyczne monitorowanie osób na dużą skalę (np. monitoring wizyjny),
- przetwarzanie danych wrażliwych (np. dane zdrowotne, dane biometryczne),
- przetwarzanie danych na dużą skalę (np. dane klientów dużej firmy),
- automatyczne podejmowanie decyzji mających istotny wpływ na osoby, których dane dotyczą (np. profilowanie kredytowe).
Coraz częściej w środowisku związanym z branżą ochrony danych osobowych wspomina się jednak, że pomimo braku obowiązku sporządzenia DPIA i tak warto takie oceny przeprowadzać, gdyż niskie ryzyko nie oznacza jego braku, a z punktu widzenia celu, jakim jest ochrona danych, lepiej być przygotowanym na każdą ewentualność.
Komentarz
Paweł Zyskowski - radca prawny i associate w KWKR
Brak prawidłowej oceny ryzyka i odpowiednich środków zaradczych może prowadzić do poważnych naruszeń ochrony danych osobowych, jak pokazują przypadki American Heart of Poland S.A. oraz Samodzielnego Publicznego Zakładu Opieki Zdrowotnej. Ocena skutków dla ochrony danych (DPIA) jest kluczowym narzędziem w zarządzaniu ryzykiem związanym z przetwarzaniem danych osobowych. Musi ono jednak rzeczywiście funkcjonować w organizacji, aby wykazać swoją skuteczność. Musi też przechodzić regularną aktualizację, a opisane w ocenie środki zaradcze powinny być testowane i egzekwowane. Wszystko to pozwoli zmniejszyć ryzyko naruszeń ochrony danych, a jeśli już do niego dojdzie, to prawidłowo przeprowadzona i testowana ocena skutków może uchronić przed nałożeniem kary przez prezesa UODO.
