Katalog rodzajów ryzyka mogących prowadzić do np. szantażu przedsiębiorstwa, biorących się z niewłaściwej ochrony danych osobowych, wynika wprost z definicji naruszenia bezpieczeństwa danych. RODO definiuje je jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Mamy więc jasno określony szeroki katalog zdarzeń dotyczących przetwarzanych danych, które powodują automatycznie powstanie naruszenia bezpieczeństwa danych osobowych. Niezbędna w procesie dostosowania firmy do RODO analiza ryzyka powinna dotyczyć powyższych kategorii w realnym obiegu informacji w firmie, w całym cyklu życia danych.

Dla okupu

Naciski na firmy w postaci roszczeń odszkodowawczych od osób fizycznych, kradzież danych celem wyłudzenia okupu lub ich nielegalnej sprzedaży dla zysku stanowią grupę kluczowego ryzyka w świetle raportów o rosnącej lawinowo przestępczości elektronicznej. A hakowanie staje się sportem realizowanym dla rozrywki i... rozwoju zawodowego programistów.

Przykład

Dochodzenie odszkodowania z realnego lub fikcyjnego tytułu

Na ogólnofirmową skrzynkę e-mail wpływa wiadomość:

„Szanowni Państwo,

W dniu dzisiejszym otrzymałem od was mail z ofertą. Skąd macie państwo moje dane i kto wyraził wam zgodę na przekazywanie do mnie ofert? (...) Męczący zalew informacji takich jak te od was spowodował u mnie nerwicę. Niniejszym informuję prezesa Urzędu Ochrony Danych Osobowych o nieuprawnionym wykorzystaniu przez was moich danych. Ponadto zamierzam dochodzić od was odszkodowania z tytułu poniesionych szkód na drodze cywilnej. W sprawie z państwem będzie mnie reprezentować Kancelaria „Odszkodowania z tytułu RODO Iksiński & Igrekowski". Jan Kowalski"

Imiona i nazwiska uczestników zdarzenia z powyższego liście do zarządu spółki zostały zmienione. Teraz możemy sobie wyobrazić, że na firmową pocztę przychodzi list o podobnej treści. Dla osób odpowiedzialnych w firmie za system ochrony danych osobowych to oznacza wiele pytań:

- Czy jesteśmy w stanie szybko zidentyfikować dane, których sprawa może dotyczyć?

- Czy potrafimy wskazać, w jakich miejscach się znajdują, w jakiej formie, kto z nimi pracował i kiedy?

- Skąd się wzięły?

- Czy jest zgoda na przetwarzanie?

- Jakie są ryzyka dla biznesu wynikające z tej sytuacji? A dla zarządu?

Krótko mówiąc: czy jesteśmy gotowi, czy czekają nas większe wydatki?

Przykład

Sforsowanie zabezpieczeń elektronicznych firmy, kradzież danych

Na adresy e-mailowe członków zarządu trafia poniższa wiadomość:

„Cześć Gapy! Czołem Zarządzie, Panowie Prezesi,

W dniu dzisiejszym pobraliśmy z waszego serwera dane osobowe wszystkich klientów w regionie. Uprzejmie prosimy o przelanie kwoty 100 tys. dolarów na konto „Wakacje Życia" w Bank of Cyprus Group na Cyprze. W przypadku braku wpłaty i jej zaksięgowania w dniu dzisiejszym prześlemy dane do wszystkich waszych klientów oraz mediów. Nie czekajcie na kolejny kontakt z naszej strony. XyZ"

Taka wiadomość może być koszmarem sennym większości firm, które posiadają rozbudowane bazy klientów. Abstrakcja? Nie, rzeczywistość! Nawet firmy, które kojarzą się z zaawansowanymi technologiami, padają ofiarą takich ataków. Wystarczy wspomnieć amerykańskiego Ubera, technologicznego giganta, na którego trafiło już dwa lata temu. Tyle że nie było to z przymrużeniem oka. Dopiero po roku ukrywania tego faktu, w 2017 roku spółka przyznała, że zapłaciła okup wielkości 100 tys. dolarów za dane osobowe 57 mln swoich klientów: cyfrowe porwanie!

Za chwilę, bo już 25 maja br., zacznie obowiązywać RODO. Jeśli administratorowi danych osobowych po tym terminie zdarzy się bliźniacza sytuacja, będzie narażony na zapłacenie kary wielkości 20 mln euro lub 4 proc. swojego światowego obrotu. Jeśli dowolna firma stanie przed koniecznością dowiedzenia komukolwiek podstaw przetwarzania danych osobowych, a nie uwzględniła tego procesu wcześniej w prowadzeniu biznesu – może znaleźć się w sytuacji konieczności wypłacenia odszkodowania i poniesienia kosztów kary administracyjnej.

Obowiązek notyfikacji – nie o każdym zdarzeniu

RODO nakłada na administratorów danych osobowych (ADO) nowe obowiązki, związane z szybką identyfikacją i przeciwdziałaniem naruszeniom bezpieczeństwa danych. Ta nowa dla polskiego porządku prawnego regulacja nakłada na firmy obowiązek poinformowania – notyfikacji organu nadzorczego, a także podmiotów, których dane dotyczą, o naruszeniu bezpieczeństwa. W nowej rzeczywistości RODO na zaraportowanie zidentyfikowanego incydentu bezpieczeństwa wycieku danych osobowych firmy będą mieć tylko 72 godziny, a zgłoszenie jest obligatoryjne.

Obowiązek notyfikacji nie nakłada na ADO obowiązku informowania organu nadzorczego (w Polsce będzie to prezes Urzędu Ochrony Danych Osobowych, PUODO) o jakimkolwiek incydencie związanym z przetwarzaniem danych osobowych. ADO zgłasza incydenty organowi nadzorczemu, chyba że jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Dotyczy jedynie naruszenia bezpieczeństwa danych osobowych zdefiniowanych w art. 4 ust. 12 RODO.

Pora na inwestycję w bezpieczeństwo

Dlaczego obowiązek notyfikacji ogranicza się wyłącznie do przypadków związanych z incydentem bezpieczeństwa? Mówi o tym motyw 85 RODO: brak odpowiedniej i szybkiej reakcji na naruszenie ochrony danych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych takich jak utrata kontroli nad własnymi danymi, ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa itp. Są to też potencjalne powody dochodzenia odszkodowań od firm w obszarze obowiązywania RODO i przepisów krajowych.