Ukradziono Ci służbowy laptop? Sprawdź, jak zareagować w kontekście RODO
Kradzież służbowego laptopa, smartfona lub innego nośnika danych może wiązać się się nie tylko ze stratą materialną i utratą cennych informacji, ale także naruszeniem bezpieczeństwa danych osobowych. Za naruszenie takie administratorowi teoretycznie grozi odpowiedzialność. Czy dotyczy ona również przypadku kradzieży nośnika, na którym znajdują się dane osobowe? Jakie rozwiązania wdrożyć na wypadek kradzieży? Jak natomiast postąpić, gdy do tej kradzieży dojdzie? Odpowiedzi na te pytania znajdziesz w temacie numeru.
W artykule przeczytasz m.in. o:
- środkach bezpieczeństwa, jakie powinny być wdrożone, by zapobiec naruszeniu danych,
- działaniach, jakie należy podjąć na wypadek kradzieży urządzenia,
- w jakich przypadkach konieczne jest zawiadomienie Prezesa UODO o incydencie,
- konsekwencjach naruszenia ochrony danych.
Najpierw środki bezpieczeństwa
Każdy administrator danych osobowych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu skutecznej ochrony danych osobowych. Jest to tym bardziej istotne w przypadku przetwarzania danych w urządzeniach przenośnych z uwagi na wyższe ryzyko naruszenia ochrony danych. Wobec tego poziom zabezpieczenia powinien być adekwatny do wysokiego ryzyka naruszenia danych mieszczących się w tych urządzeniach.
Jakie środki bezpieczeństwa przetwarzanych stosować w przypadku danych osobowych przechowywanych na laptopach, smartfonach i innych urządzeniach przenośnych?
1) środki fizyczne:
- zamykanie laptopów w zabezpieczonych skrytkach, szafkach lub schowkach znajdujących się w miejscu wykonywania pracy,
- przenoszenie laptopów, smartfonów i innych urządzeń w odpowiednio zabezpieczonych torbach lub plecakach, 2)
2) środki techniczne (informatyczne):
- stosowanie odpowiednio trudnych haseł dostępu (które nie są zapisywane na karteczkach noszonych wraz z urządzeniem),
- w miarę możliwości korzystanie z czytników linii papilarnych,
- szyfrowanie dostępu do danych za pomocą narzędzi wbudowanych w system operacyjnych lub dedykowanych ku temu programów,
- instalacja oprogramowania śledzącego sprzęt (co może ułatwić organom ścigania jego odzyskanie),
3) środki prawne: opracowanie i wdrożenie procedur i innych wewnętrznych aktów prawnych regulujących kwestie bezpieczeństwa przetwarzanych danych,
4) środki organizacyjne: szkolenie i uświadamianie pracowników, zwłaszcza tych, którzy korzystają ze wskazanych urządzeń w celu przetwarzania za ich pomocą danych osobowych – w szczególności poprzez przekazywanie ich konkretnych instrukcji i procedur.
Konieczne zgłoszenie kradzieży organom ścigania, ale to nie wystarczy
Nawet pomimo wprowadzenia odpowiednich zabezpieczeń może dojść do nieszczęśliwego zdarzenia jakim jest kradzież służbowego sprzętu. Jak zatem postąpić, gdy dojdzie już do kradzieży? Oczywiście w pierwszej kolejności kradzież służbowego laptopa, smartfona lub innego urządzenia należy zgłosić na policję, przekazując organom ścigania wszelkie dane dotyczące sprzętu pozwalające na jego zidentyfikowanie i odnalezienie. Warto też powiadomić o kradzieży producenta sprzętu, może to bowiem utrudnić lub uniemożliwić ewentualne serwisowanie skradzionego urządzenia.
3 rodzaje naruszenia ochrony danych
To jednak nie wszystko. Należy mieć na względzie, że utrata danych osobowych stanowi naruszenie bezpieczeństwa tych danych i może teoretycznie grozić odpowiedzialnością za uchybienie przepisom RODO. Istnieje bowiem ryzyko, że wskutek kradzieży może dojść do ujawnienia danych osobowych osobom nieupoważnionym.
Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa danych poprzez przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W świetle Wytycznych Grupy Roboczej Art. 29 z dnia 3 października 2017 r. (WP 250) naruszenia ochrony danych dzieli się na trzy kategorie:
- naruszenie dotyczące poufności danych – w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
- naruszenie dotyczące integralności danych – w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;
- naruszenie dotyczące dostępności danych – naruszenie, w rezultacie którego dochodzi do przypadkowej lub nieuprawnionej utraty dostępu do danych osobowych lub zniszczenia danych osobowych.
Naruszenie danych osobowych wskutek kradzieży urządzenia przenośnego może przybrać każdą z ww. form, najczęściej będzie to jednak naruszenie poufności i dostępności danych.
Dla podmiotów danych naruszenie to oznacza natomiast utratę kontroli nad własnymi danymi osobowymi, ograniczenie uprawnień, ryzyka sfałszowania tożsamości, straty finansowe, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia czy naruszenie poufności danych chronionych tajemnicą zawodową.
Zgłoszenie do UODO nie w każdym przypadku
W związku z wystąpieniem tzw. incydentu, w zależności od określonego poziomu ryzyka naruszenia (niski, średni, wysoki) administrator podjąć musi zatem podjąć kroki prawne przewidziane w RODO zarówno w stosunku do organu nadzorczego, jak i osób, których dane dotyczą.
I tak, w przypadku ustalenia, że w związku z kradzieżą występuje niskie ryzyko naruszenia praw i wolności osób fizycznych administrator nie musi zgłaszać naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych ani też informować o naruszeniu podmiotów danych. Z kolei w przypadku uznania, że kradzież skutkuje powstaniem średniego ryzyka naruszenia dokonanie zgłoszenia incydentu Prezesowi UODO jest obligatoryjne. Nadal jednak nie ma konieczności informowania i incydencie osób, których dane dotyczą. Natomiast w przypadku kradzieży generującej wysokie ryzyko naruszenia praw i wolności podmiotów danych administrator danych musi nie tylko powiadomić Prezesa UODO, ale też poinformować podmioty danych o naruszeniu. Wyjątkowo nie ma konieczności zawiadomienia, jeżeli:
- administrator podjął działania prewencyjne przed zaistnieniem naruszenia oraz działania zaradcze po wystąpieniu naruszenia,
- wymagałoby ono niewspółmiernie dużego wysiłku (w tym ostatnim przypadku należy jednak opublikować komunikat o zaistniałym naruszeniu).
Niezależnie od ustalonego poziomu ryzyka administrator musi także podjąć działania zaradcze w celu ograniczenia ryzyka wystąpienia podobnych naruszeń w przyszłości.
Administrator ustalając z jakim naruszeniem i o jakim ciężarze ma do czynienia powinien ustalić prawdopodobieństwo wystąpienia tych negatywnych skutków oraz szkód dla osób, których dane dotyczą. Jeśli administrator stwierdził wystąpienie naruszenia ochrony danych (co w przypadku kradzieży zazwyczaj będzie miało miejsce, gdy uzyskał wiedzę o kradzieży sprzętu i jej okolicznościach) powinien ocenić prawdopodobne ryzyko, na jakie narażone są osoby fizyczne, aby ustalić, czy w danym przypadku zobowiązany jest zgłosić naruszenie organowi nadzorczemu, a także aby określić działanie lub działania, które należy podjąć, aby zaradzić naruszeniu.
- rodzaj naruszenia,
- charakter, wrażliwość i ilość danych osobowych,
- łatwość identyfikacji osób fizycznych,
- wagę konsekwencji dla osób fizycznych,
- cechy szczególne danej osoby fizycznej,
- cechy szczególne administratora danych,
- liczbę osób fizycznych, na które naruszenie wywiera wpływ.
W świetle Wytycznych nie ma obowiązku zgłoszenia naruszenia w postaci utraty nośnika danych, jeżeli zagwarantowano, by dane te były zasadniczo nieczytelne dla osób nieupoważnionych (np. wskutek zaszyfrowania) i jeżeli istnieje przy tym kopia bezpieczeństwa przetwarzanych danych. Istnieje bowiem wówczas niskie ryzyko naruszenia poufności i dostępności danych.
Zgłoszenie incydentu w ciągu 72 godzin
Należy więc na względzie, że zgłoszenie naruszenia danych Prezesowi UODO powinno nastąpić niezwłocznie, lecz nie później niż w terminie 72 godzin od momentu stwierdzenia naruszenia. Nim jednak dokonamy zgłoszenia, powinniśmy przeprowadzić czynności wyjaśniające zmierzające do ustalenia, czy w danym przypadku faktycznie doszło do naruszenia. W tym celu należy przede wszystkim odebrać wyjaśnienia od pracownika, który używał ukradzionego urządzenia.
Jeśli administrator nie dokona zawiadomienia o naruszeniu ochrony danych organu nadzorczego czy podmiotu danych w przypadku, gdy ciążył na nim taki obowiązek, wówczas grozi mu odpowiedzialność finansowa. Organ nadzorczy może wówczas wdrożyć środki naprawcze, w szczególności zastosować administracyjną karę pieniężną.
Więcej o zgłoszeniu incydentu do Prezesa UODO przeczytasz tutaj>>
Zastanawiasz się, czy powinieneś zgłosić incydent do Prezesa UODO? Skorzystaj z dedykowanego pytania do eksperta.
Na koniec wpis do rejestru naruszeń
Nie możemy też zapomnieć o konieczności dokumentowania naruszeń ochrony danych osobowych. Kradzież laptopa lub innego urządzenia przenośnego należy więc wpisać do prowadzonego przez administratora rejestru naruszeń. Ująć w rejestrze należy nie tylko samo zdarzenie, ale też jego skutki i podjęte działania zaradcze – tak, aby rejestr był możliwy do weryfikacji przez Prezesa UODO.
Skorzystaj ze wzorów dokumentów:
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
