Jak będziesz musiał zachować się w przypadku naruszenia ochrony danych zgodnie z RODO

Monika Brzozowska-Pasieka

Autor: Jarosław Żabówka

Dodano: 18 listopada 2016
Zgłaszanie naruszeń ochrony danych do GIODO

Do naruszenia bezpieczeństwa danych osobowych może dojść wszędzie tam, gdzie przetwarzane są dane osobowe. Zgodnie z RODO takie zdarzenia trzeba zgłaszać do organu nadzorczego. W niektórych przypadkach, także osobom, których dane zostały naruszone. Sprawdź, kiedy może dojść do naruszenia i jak w takiej sytuacji się zachować.

Przyczyną incydentu bezpieczeństwa może być m.in. celowe lub przypadkowe działanie pracownika, atak czy błędne działanie systemu. Rezultatem nie zawsze jest naruszenie poufności danych. Dane mogą również być nieodwracalnie utracone lub w nieautoryzowany sposób zmienione. Naruszenia bezpieczeństwa się zdarzają, a organizacje stają wówczas przed koniecznością oceny sytuacji i podjęcia najlepszych dla nich działań. Pojawia się wówczas często konflikt interesów pomiędzy organizacją, która chce zachować jak najlepszy wizerunek, a osobami, których danych dotyczył incydent.

Czy organizacja powinna w ogóle informować o incydencie? Czy ujawnić informacje na temat luki w systemie zabezpieczeń, czy też zrzucić winę na jakiegoś, bliżej niekreślonego, hakera?

Co zmienia RODO

Mając na względzie ochronę praw osób, których dane są przetwarzane, europejski ustawodawca wprowadza obowiązek informowania o naruszeniu ochrony danych osobowych. Obecnie, zgodnie z art. 174a Prawa telekomunikacyjnego, obowiązek zawiadomienia o naruszeniu danych osobowych spoczywa na dostawcach publicznie dostępnych usług telekomunikacyjnych. Są oni zobowiązani do zawiadomienia Generalnego Inspektora Ochrony Danych Osobowych, a w przypadku gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, również tej osoby.

Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych, RODO) podobne obowiązki spoczywają na wszystkich administratorach danych. 

Uwaga

Uzupełnij listę kontrolną i sprawdź, czy jesteś gotowy na realizację nowego obowiązku zgłaszania naruszenia danych osobowych GIODO i podmiotom danych.

Przykład

W spółce Leak sp. z o.o. doszło do incydentu polegającego na tym, że szef działu marketingu wysłał do jednego z klientów e-mail zawierający załącznik z pełną listą klientów spółki.

Załącznik zawierał takie informacje jak: imię, nazwisko, firma, nr telefonu, adres e-mail. Przy czym klientami są m.in. osoby fizyczne, nieprowadzące działalności gospodarczej. Spółka nie jest dostawcą publicznie dostępnych usług telekomunikacyjnych, jednak zdarzenie miało miejsce w drugiej połowie 2018 roku, już po wejściu w życie rozporządzenia ogólnego.

W jaki sposób powinna zachować się spółka?

Przygotuj procedurę na wypadek incydentu

Przedsiębiorstwa i urzędy mają coraz większą świadomość, że muszą przygotować procedury zarządzania incydentami bezpieczeństwa. W zależności od rozmiaru podmiotu, wrażliwości przetwarzanych danych czy dojrzałości organizacji, stosuje się różne podejścia. Wiele podmiotów opracowuje własne, często bardzo proste procedury. Niektóre decydują się stworzyć je w oparciu o zbiory dobrych praktyk i normy, takie jak:

  • ISO/IEC 27035:2011 – Information security incident management,
  • NIST SP 800–61 – Computer Security Incident Handling Guide.

Nawet najprostsze procedury zawierają zwykle taki element, jak ocena skutków incydentu, oraz wskazują osoby upoważnione do podawania informacji o incydencie do publicznej wiadomości. W obecnie przygotowywanych procedurach postępowania w przypadku wystąpienia incydentu trzeba będzie uwzględnić obowiązek notyfikacyjny wprowadzony przez ogólne rozporządzenie o ochronie danych osobowych.

Ważne:

Naruszenie ochrony danych osobowych to incydent bezpieczeństwa, który prowadzi do przypadkowego lub niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia, nieuprawnionego dostępu do przetwarzanych danych osobowych.

Z naruszeniem ochrony będziemy mieli do czynienia w każdej sytuacji, gdy zdarzenie może doprowadzić do któregoś z wymienionych skutków, nawet jeżeli on jeszcze nie wystąpił. W naszym przykładzie spółki Leak sp. z o.o. mamy do czynienia z naruszeniem ochrony, nawet jeżeli adresat jeszcze nie otworzył załącznika.

Zgodnie z normą ISO/IEC 27035:2011 zarządzanie incydentami bezpieczeństwa składa się z następujących faz:

1. Planowanie i przygotowanie.

2. Gromadzenie informacji i raportowanie.

3. Ocena i podjęcie decyzji.

4. Reakcja.

5. Dalsza analiza, wyciąganie wniosków, doskonalenie.

W każdej z nich powinniśmy uwzględnić obowiązki wynikające z rodo.

Zgodnie z RODO administrator danych prowadzi dokumentację obejmującą wszelkie naruszenia ochrony danych osobowych, zawierającą co najmniej:

1. Opis okoliczności naruszenia.

2. Informacje o skutkach naruszenia.

3. Informacje o podjętych działaniach zaradczych.

Przykład

Spółka Leak sp. z o.o. powinna podjąć niezwłoczne działania. W wypadku oparcia się o normę, mogą obejmować:

1. Wcześniejsze przygotowanie procedur zapewniających, że informacja o incydencie dotrze do osób odpowiedzialnych.

2. Zebranie informacji (m.in. jakie dane zostały wysłane, kiedy, do kogo i w jakiej formie) oraz przekazanie ich osobom odpowiedzialnym (np. inspektor ochrony danych, zarząd).

3. Ocena, w tym tego, czy incydent prowadzi do naruszenia praw osób, których dane dotyczą.

4. Podjęcie działań i ewentualne dopełnienie obowiązków notyfikacyjnych.

5. Uwzględnienie naruszenia w dokumentacji oraz działania doskonalące, takie jak dodatkowe szkolenia, wdrożenie systemu zapobiegającego wyciekom danych.

O czym będzie trzeba powiadomić organ nadzorczy

Dla sprawnej realizacji obowiązku notyfikacji nasze procedury powinny zapewniać, że osoby odpowiedzialne za jego dopełnienie niezwłocznie otrzymają wszelkie informacje, które powinny znaleźć się w zgłoszeniu. Organ nadzorczy powinien być zawiadomiony niezwłocznie, jednak nie później niż po upływie 72 godzin po stwierdzeniu naruszenia. Jeżeli z jakiegokolwiek powodu nie uda nam się przekazać zgłoszenia w tym terminie, do zgłoszenia należy dołączyć wyjaśnienie przyczyn opóźnienia. Zgłoszenie musi zawierać co najmniej:

1) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości informacje o:

a) kategorii osób, których dane dotyczą,

b) ich przybliżonej liczbie,

c) kategorii i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie;

2) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

3) opis możliwych konsekwencji naruszenia ochrony danych osobowych;

4) opis środków:

a) zastosowanych przez administratora lub

b) proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych,

c) w stosownych przypadkach opis środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

Jeżeli administrator nie zawiadomił jeszcze o naruszeniu osób, których ono dotyczy, organ nadzorczy może mu to nakazać.

Przykład

Leak sp. z o.o. powinna w ciągu 72 godzin zawiadomić organ nadzorczy o wystąpieniu naruszenia. Jest to bardzo krótki czas, tym bardziej że należy w nim przeprowadzić analizę i zidentyfikować możliwe skutki oraz ewentualnie opracować środki w celu zaradzenia naruszeniu danych.

Jakie informacje przekazać osobom, których dane zostały naruszone

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie powinno zawierać co najmniej:

1) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

2) opis możliwych konsekwencji naruszenia ochrony danych osobowych;

3) opis środków:

a) zastosowanych przez administratora lub

b) proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych,

c) w uzasadnionych przypadkach opis środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

Zawiadomienie musi być napisane jasnym i prostym językiem oraz powinno być zrealizowane niezwłocznie.

Przed przygotowaniem zawiadomienia administrator danych musi odpowiedzieć na pytanie, czy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W tym celu będzie należało oprzeć się na zaleceniach, które wyda Europejska Rada Ochrony Danych. Jej wytyczne wskażą również, w jakim terminie administratorzy powinni poinformować osoby o naruszeniu ochrony danych. Obecnie podpowiedzią może być dla nas opinia wydana przez Grupę Roboczą Art. 29. Opinia 03/2014 na temat powiadamiania o przypadkach naruszenia danych może być z powodzeniem stosowana już teraz, jeszcze przed wejściem w życie rozporządzenia ogólnego.

Analiza prowadząca do odpowiedzi na pytanie, czy incydent może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, powinna obejmować również skutki, które mogą zajść w przyszłości. Przykładowo, usunięcie danych dotyczących spłaconych rat pożyczki może wiązać się ze stratami finansowymi, które osoba poniesie dopiero w przyszłości. W ocenie ryzyka naruszenia praw i wolności osób bardzo pomocnym narzędziem będzie metodyka opracowana przez ENISA: „Recommendations for a methodology of the assessment of severity of personal data breaches”.

W tych sytuacjach nie musisz informować podmiotu danych o naruszeniu

Zgodnie z RODO nie musimy zawiadamiać osoby o zaistniałym naruszeniu, jeżeli:

1. Administrator wdrożył odpowiednie techniczne i organizacyjne środki, które uniemożliwią osobom nieuprawnionym dostęp do danych (np. dane zostały zaszyfrowane).

2. Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

3. Wymagałoby to niewspółmiernie dużego wysiłku. W takim jednak wypadku należy opublikować ogłoszenie, zastosować inny, równie skuteczny środek.

Przykład

Spółka Leak, która wysłała e-mail zawierający listę klientów, powinna:

1. Odpowiedzieć na pytanie, czy została zapewniona poufność danych, np. poprzez ich zaszyfrowanie. W takim wypadku nie będzie konieczności dopełniania obowiązku notyfikacyjnego.

2. Sprawdzić, czy indywidualne powiadomienie wszystkich klientów nie wymagałoby niewspółmiernie dużego wysiłku i czy w związku z tym zamiast indywidualnych powiadomień, nie zastosować ogłoszenia.

3. Przeprowadzić analizę, czy zdarzenie może powodować wysokie ryzyko naruszenia praw lub wolności osób. Do czasu wejścia w życie rozporządzenia Europejska Rada Ochrony Danych powinna wydać odpowiednie rekomendacje. Biorąc jednak pod uwagę opinie Grupy Roboczej Art. 29, można podejrzewać, że Rada zaleci przyjęcie, że takie zdarzenia mogą wiązać się z wysokim ryzykiem. Jeżeli rekomendacje Rady nie dadzą bezpośredniej odpowiedzi, konieczne będzie przeprowadzenie analizy, np. zgodnie z metodyką zaproponowaną przez ENISA.

4. Jeżeli powyższa analiza wskaże, że spółka powinna przekazać informacje osobom, których dane zostały przesłane w e-mailu, powinna:

  • Zidentyfikować możliwe konsekwencje naruszenia.
  • Opisać środki zaradcze.
  • Oczywiście, spółka Leak może, a nawet powinna podjąć dodatkowe działania w celu ochrony swojego wizerunku i interesów osób, których dane ujawniła. Zapewne należy skontaktować się z odbiorcą wiadomości, poinformować go o nielegalnym charakterze przesłanych danych i poprosić o ich usunięcie.
  • Wiele może zależeć od podjętych działań, ewentualnie propozycji rekompensaty, formy przygotowanego zawiadomienia itd. Są to jednak działania wykraczające poza obowiązki wynikające z rodo.

Obowiązek notyfikacyjny jest jednym z najważniejszych obowiązków wynikających z RODO. Każda organizacja powinna założyć, że będzie musiała zmierzyć się z naruszeniem ochrony danych.

Monika Brzozowska-Pasieka

Autor: Jarosław Żabówka

trener, wykładowca, popularyzator zagadnień ochrony danych osobowych, właściciel firmy www.proInfoSec.pl, wieloletni administrator bezpieczeństwa informacji, twórca systemów zarządzania ochroną danych osobowych w małych i dużych przedsiębiorstwach, audytor normy ISO 27001 i menedżer systemów informatycznych, autor publikacji i prezentacji branżowych

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x