Jak zabezpieczyć się przed wystąpieniem incydentu związanego z naruszeniem ochrony danych osobowych

Monika Brzozowska-Pasieka

Autor: Łukasz Onysyk

Dodano: 1 czerwca 2017
Dokument archiwalny
Jak zabezpieczyć się przed wystąpieniem incydentu związanego z naruszeniem ochrony danych osobowych

U każdego administratora danych osobowych, niezależnie od tego jaką placówką kieruje, mogą wystąpić tzw. incydenty związane z naruszeniem ochrony danych osobowych. Administrator danych powinien zrobić wszystko, aby zminimalizować ryzyko ich wystąpienia. Będzie to szczególnie istotne, gdy zacznie obowiązywać ogólne rozporządzenie o ochronie danych.

Powstanie incydentu związanego z przetwarzaniem danych osobowych jest najkrótszą drogą do kontroli Generalnego Inspektora Ochrony Danych Osobowych. Jednak kontrola GIODO to niejedyny problem, jaki może się pojawić na horyzoncie w związku z powstaniem incydentu godzącego w bezpieczeństwo danych osobowych. Bardzo często o wiele poważniejsze skutki związane są z roszczeniami cywilnoprawnymi, jakie mogą mieć w stosunku do administratora danych osoby fizyczne, gdyż naruszenie ochrony danych osobowych może również stanowić naruszenie dóbr osobistych (art. 23 i 24 Kodeksu cywilnego).

Wystąpienie incydentu może także doprowadzić do utraty dobrego wizerunku organizacji, czego naprawienie może okazać się niezwykle kosztowne, trudne i długotrwałe. W praktyce to właśnie ten argument bardzo często mobilizuje administratora danych do podjęcia działań mających na celu przeciwdziałanie wystąpieniu incydentów z zakresu ochrony danych osobowych, a w razie ich wystąpienia ograniczanie ich negatywnych skutków.

Incydent, czyli tak naprawdę co

Co należy rozumieć przez incydent z zakresu ochrony danych osobowych? Zgodnie ze słownikiem języka polskiego PWN jedno ze znaczeń to „nieprzyjemne wydarzenie”. Według Rekomendacji D wydanej przez Komisję Nadzoru Finansowego incydent to pojedyncze niepożądane lub niespodziewane zdarzenie bezpieczeństwa środowiska teleinformatycznego (tj. wystąpienie stanu komponentu środowiska teleinformatycznego wskazującego na potencjalne naruszenie jego bezpieczeństwa, błąd mechanizmu kontrolnego lub uprzednio nieznaną sytuację, która może być istotna z perspektywy bezpieczeństwa) lub seria takich zdarzeń, w przypadku których występuje znaczne prawdopodobieństwo zakłócenia działalności lub naruszenia bezpieczeństwa informacji.

Warto w tym miejscu przytoczyć jedną z definicji zawartych w rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych). Według tego rozporządzenia przez naruszenie zasad ochrony danych osobowych (incydent) należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 rozporządzenia).

W obszarze danych osobowych przez incydent należy rozumieć zdarzenie, w wyniku którego doszło do ujawnienia lub utraty albo zwiększenia ryzyka ujawnienia lub utraty informacji stanowiącej dane osobowe lub informacji dotyczącej sposobu zabezpieczenia danych osobowych. Rodzaje incydentów możemy zidentyfikować, stosując różne kryteria. Przykładowo, kryterium takim może być źródło incydentu i jego istotność. W mojej ocenie najważniejszym z kryteriów jest podział incydentów pod kątem zasad przetwarzania danych osobowych, które są naruszane. W ustawie o ochronie danych osobowych zostało sformułowanych pięć zasad przetwarzania danych osobowych. Administrator danych powinien zapewnić, aby przetwarzanie danych osobowych odbywało się z zachowaniem zasad:

  • adekwatności,
  • rzetelności,
  • okresowości,
  • celowości (art. 26 ust. 1 ustawy o ochronie danych osobowych) oraz
  • zasady bezpieczeństwa (art. 36 ust. 1 ustawy o ochronie danych osobowych).

Kiedy może dojść do naruszenia zasady bezpieczeństwa

Najczęściej występującymi incydentami są te związane z zasadą bezpieczeństwa. Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych administrator danych musi „zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich:

  • udostępnieniem osobom nieupoważnionym,
  • zabraniem przez osobę nieuprawnioną,
  • przetwarzaniem z naruszeniem ustawy oraz
  • zmianą,
  • utratą,
  • uszkodzeniem lub
  • zniszczeniem”.

Z brzmienia przytoczonego przepisu wynika, że to administrator danych jest zobowiązany do wdrożenia odpowiednich zabezpieczeń i dbania, aby były one przestrzegane. Z doświadczenia wiem, że większość incydentów ma związek z tzw. błędem ludzkim. Nawet najlepsze zabezpieczenia i procedury nie wystarczą, jeżeli pracownicy nie będą ich znali i przestrzegali. Należy również pamiętać, że do naruszenia zasady bezpieczeństwa może dojść nawet nieumyślnie, np. poprzez pozostawienie nośnika zawierającego dane osobowe w miejscu, do którego dostęp mają osoby nieupoważnione. Negatywnym efektem naruszenia zasady bezpieczeństwa często jest odpowiedzialność karna określona w art. 52 ustawy o ochronie danych osobowych.

Jest to przestępstwo bezskutkowe, tzn. takie, w związku z którym nie musi nastąpić skutek, aby uznać je za popełnione, np. pozostawimy dokumenty zawierające dane osobowe w tramwaju i nikt ich nie zabierze. Zatem pozostawienie bez nadzoru dokumentów zawierających dane osobowe wyczerpuje znamiona tego przestępstwa, poprzez stworzenie samej takiej możliwości – stanu niebezpieczeństwa. Odpowiedzialność związana z naruszeniem zasady bezpieczeństwa została opisana w art. 51 oraz art. 52 ustawy o ochronie danych osobowych. Do jednych z najczęstszych incydentów dochodzi, kiedy pracownicy nie szyfrują przesyłanych za pomocą poczty elektronicznej dokumentów zawierających dane osobowe.

Wielokrotnie zdarza się, że pracownik przesyła bazę danych klientów do jednego z kontrahentów zamiast np. do podmiotu odpowiedzialnego za fakturowanie. Znam historię, gdy ów kontrahent zażądał „okupu” za usunięcie danych. Sytuacja była o tyle problematyczna, że omyłkowo wysyłany plik z danymi nie był zabezpieczony hasłem. Gdyby były one chronione nawet najprostszym hasłem, można byłoby bez obawy zgłosić sprawę na policję lub do Generalnego Inspektora Ochrony Danych Osobowych i wykazać, że dochowano należytej staranności.

Ważne:

Trzeba pamiętać o szyfrowaniu danych osobowych na nośnikach przenośnych, takich jak pendrive’y czy dyski przenośne (dotyczy to także dysków przenośnych zainstalowanych w laptopach) oraz danych przesyłanych za pośrednictwem sieci publicznej.

Hasła powinny być też odpowiednio przechowywane. W trakcie audytów bardzo często okazuje się, że użytkownicy z uwagi na dużą liczbę haseł oraz ich poziom skomplikowania przechowują je w różnych niebezpiecznych miejscach, np. pod klawiaturą, pod biurkiem, naklejone na monitor. Haseł nie można udostępniać innym osobom. Nieprawidłową praktyką jest, by w razie nieobecności pracownika pozyskiwać jego dane niezbędne do uwierzytelniania i w ten sposób uzyskiwać dostęp do potrzebnych danych. Do przechowywania haseł możemy użyć specjalnych programów dedykowanych do tego typu zastosowań.

Pamiętaj o zabezpieczaniu komputerów

Kolejnym elementem związanym z zachowaniem zasady bezpieczeństwa są wygaszacze ekranów na stacjach roboczych służących do przetwarzania danych osobowych. Wymóg ich posiadania nie wynika wprost z przepisów dotyczących ochrony danych osobowych, ale był wielokrotnie podnoszony w decyzjach GIODO, np. GI – DEC-DIS – 81/04/155. Zgodnie ze stanowiskiem Generalnego Inspektora ekrany monitorów, na których przetwarzane są dane osobowe, powinny automatycznie zostać wyłączone po upływie ustalonego czasu nieaktywności użytkownika. Dodatkowo, oprócz samego wyłączenia monitora, powinna zostać jednocześnie uruchomiona blokada, która uniemożliwia kontynuowanie pracy na komputerze bez podania właściwego hasła.

Tak skonfigurowana stacja robocza, oprócz ochrony danych, które przez dłuższy czas wyświetlane byłyby na ekranie monitora, powinna chronić system przed przechwyceniem sesji dostępu do danych przez nieuprawnioną osobę, a tym samym zapewnić ochronę przed wystąpieniem incydentu. Częstą praktyką, która prowadzi do wystąpienia uchybień w procesie przetwarzania danych osobowych, jest pozostawienie dokumentów zawierających dane osobowe w miejscach dostępnych dla osób nieuprawnionych. Z taką sytuacją mamy najczęściej do czynienia, kiedy po pracy zostawiamy dokumenty na biurkach, regałach itp., a następnie do pomieszczeń wchodzi np. serwis sprzątający lub pracownicy ochrony.

Jak pokazuje praktyka, czasami w takich sytuacjach dochodzi do naruszeń ochrony danych osobowych poprzez wyrzucenie do śmieci dokumentów zawierających dane osobowe lub ich kradzież. Pamiętajmy, że już sama możliwość ujawnienia danych osobom nieupoważnionym stanowi przestępstwo określone w art. 51 ustawy o ochronie danych osobowych. Aby uniemożliwić dostęp do dokumentów zawierających dane osobowe osobom nieuprawnionym, należy opracować i wdrożyć politykę czystych biurek. Trzeba w niej jasno wskazać, że po zakończeniu pracy dokumenty zawierające dane osobowe należy odpowiednio zabezpieczyć, np. chowając je w zamykanych na klucz szafkach.

Uważaj, żeby nie naruszyć zasady adekwatności

Zasada adekwatności jest naruszana poprzez nadmierne pozyskiwanie danych osobowych. Administrator danych, zbierając dane „na zapas”, czasami nawet nieświadomie, może narazić się na odpowiedzialność karną. Wiele organizacji popełnia ten błąd, zbierając w celach marketingowych bardzo szeroki zakres danych obejmujący np. numer PESEL, jednocześnie twierdząc, że taki zakres danych jest legalny, bo klient podpisał klauzulę zgody na przetwarzanie danych. Należy pamiętać, że innym tematem z punktu widzenia ustawy o ochronie danych osobowych jest zapewnienie podstawy prawnej przetwarzanych danych, a czymś zupełnie innym – zapewnienie, aby zakres danych był adekwatny.

Kolejnym przykładem naruszenia zasady adekwatności, a więc incydentu z zakresu ochrony danych osobowych, jest pozyskiwanie informacji o niekaralności zleceniobiorców/kontrahentów administratora danych. Zleceniodawca (administrator danych) nie powinien przetwarzać danych na temat niekaralności właśnie z uwagi na zasadę adekwatności. Incydenty dotyczące omawianej zasady bardzo często ujawniane są przy okazji zgłaszania zbiorów danych do GIODO. W praktyce zdarza się, że zbyt szeroki zakres danych osobowych wskazany w zgłoszeniu zbioru danych skutkuje przeprowadzeniem kontroli przez Generalnego Inspektora.

Przechowuj dane tak długo, jak jest to niezbędne

Zasada okresowości (retencji) polega na przetwarzaniu danych tylko tak długo, jak jest to niezbędne do zrealizowania celu, w jakim dane zostały zebrane. Do jej naruszenia dochodzi poprzez zbyt długie przetwarzanie danych osobowych, pomimo że nie istnieje już cel, w jakim dane osobowe zostały zebrane. Już samo przechowywanie/archiwizowanie danych stanowi ich przetwarzanie. Jako przykład incydentu dotyczącego tej zasady można wskazać zbyt długie przechowywanie danych kandydatów do pracy zawartych w CV oraz listach motywacyjnych po zakończeniu rekrutacji.

Okres przechowywania dokumentów, a więc również danych osobowych w nich zawartych, wynika często z przepisów prawa. Przykładowo, taka sytuacja ma miejsce w odniesieniu do okresu przechowywania akt osobowych pracowników, dokumentacji medycznej i dokumentów księgowych. Okresy przechowywania danych powinny zostać określone np. w polityce bezpieczeństwa ochrony danych osobowych. Rekomenduję przypisanie okresów przetwarzania do zbiorów danych osobowych i okresowe niszczenie nośników zawierających dane osobowe w przypadku wygaśnięcia ich celu przetwarzania.

Wykorzystuj dane zgodnie z celem ich zebrania

Jedne z najczęściej występujących incydentów dotyczą naruszenia zasady celowości. Zgodnie z tą zasadą dane powinny być przetwarzane wyłącznie w celu, w jakim zostały zebrane. Incydenty godzące w zasadę celowości możemy podzielić na dwie grupy. Pierwsza dotyczy wykorzystania danych, do których mamy dostęp w związku z wykonywaną pracą, do celów prywatnych. Przykładem jest wykorzystywanie danych służbowych pracowników/kontrahentów do celów matrymonialnych, czyli składanie propozycji spotkań towarzyskich wysyłanych na numery służbowe czy służbowe adresy e-mailowe.

Takie zachowanie stanowi naruszenie zasad ochrony danych osobowych oraz może skutkować pociągnięciem pracownika do odpowiedzialności dyscyplinarnej. Druga grupa naruszeń dotyczy przetwarzania danych w innym celu niż ten, w którym zostały zebrane. Taka sytuacja ma najczęściej miejsce w związku z przetwarzaniem danych w celach marketingowych podmiotów trzecich – tzn. nie zakładaliśmy takiego celu przetwarzania, zbierając dane, jednak z uwagi na uwarunkowania biznesowe postanawiamy dodać kolejny cel przetwarzania danych.

Ważne:

Zmiana celu przetwarzania jest dopuszczalna, ale tylko po spełnieniu warunków opisanych w art. 26 ust. 2 ustawy o ochronie danych osobowych, czyli dane muszą być zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.

Dbaj o to, żeby dane były poprawne

Zasada rzetelności jest związana z obowiązkiem zapewnienia, aby przetwarzane dane osobowe były zgodne ze stanem faktycznym, czyli prawdziwe i merytorycznie poprawne. Najczęściej do jej naruszenia, np. w sektorze finansowym, dochodzi w sytuacji, gdy bank przekazuje nieprawdziwe informacje na temat kredytobiorców do Biura Informacji Kredytowej o niespłaconych zobowiązaniach kredytowych. Na skutek przekazania nieprawdziwych informacji kredytobiorca nie może otrzymać kolejnego kredytu. Incydentem w zakresie naruszenia zasady rzetelności jest też brak spełnienia obowiązku informacyjnego z art. 24 oraz art. 25 ustawy o ochronie danych osobowych w części dotyczącej poinformowania o prawie dostępu do danych i prawie ich poprawienia.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Monika Brzozowska-Pasieka

Autor: Łukasz Onysyk

ekspert ds. ochrony danych osobowych, zajmuje się usługami konsultingowymi z zakresu ochrony danych osobowych, doradzał ponad 200 podmiotom, zarówno z sektora prywatnego jak i administracji publicznej

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x