Celem tej publikacji jest wskazanie koniecznych kroków, które powinno się podjąć w przypadku incydentu, a także nakreślenie rozwiązań informatycznych, które mogą tym naruszeniom zapobiec na bazie konkretnych przykładów, które stanowiły przedmiot decyzji PUODO.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „RODO”, a w szczególności jego art. 33 oraz art. 34 nakładają na Administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych pod pewnymi, określonymi w tychże przepisach warunkami.
Artykuł 33 RODO nakłada na Administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, którym jest w Polsce Prezes Urzędu Ochrony Danych Osobowych, zwanego dalej „PUODO” bez zbędnej zwłok i – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Wobec powyższego, każdy Administrator winien znać i rozumieć definicję naruszenia ochrony danych osobowych, która znajduje się w art. 4 pkt. 12 RODO:
„naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”
Po stwierdzeniu zaistnienia przedmiotowego naruszenia ochrony danych osobowych, Administrator winien dokonać oceny, czy jest w danym stanie faktycznym mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, czy też prawdopodobieństwo to jest wyższe aniżeli minimalne- wówczas naruszenie wymaga zgłoszenia do organu nadzorczego – PUODO.
W tym zakresie należy przytoczyć i rozpatrzyć kwestie określone w motywie 85 RODO, który stanowi, iż: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.”
Zatem, jeśli Administrator po dokonaniu stosowanej analizy i oceny uzna, że zachodzą obie w.w. przesłanki w postaci naruszenia ochrony danych osobowych oraz większego aniżeli małe prawdopodobieństwo, iż rzeczone naruszenie skutkowało będzie ryzykiem naruszenia praw i wolności osoby, której dane dotyczą, ma on wówczas obowiązek dokonania zgłoszenia naruszenia organowi nadzorczemu.
W ocenie autorów artykułu, dla uzmysłowienia czytelnikom na czym polega naruszenie ochrony danych osobowych, którego definicja została zacytowana powyżej warto przyjrzeć się przykładom incydentów bezpieczeństwa, z którymi mamy do czynienia w praktyce na bazie chociażby decyzji administracyjnych wydawanych przez PUODO w 2019-2020 r.
Takim incydentem będzie przykładowo:
- „udostępnienie na platformie […] (w której na dzień […].06.2020 r. zarejestrowanych było 237 osób) nagrań obrazujących przebieg egzaminów praktycznych z pediatrii organizowanych przez […] Śląskiego Uniwersytetu Medycznego w Katowicach (zwanego dalej „Administratorem”), które odbyły się w trzech terminach: […].05.2020 r., […].05.2020 r. i […].05.2020 r., przy czym w trakcie przystępowania do egzaminu większość uczestniczących w nim studentów została wylegitymowana legitymacją studencką lub dowodem osobistym” (fragment decyzji PUODO z dnia 5.01.2021 r. w sprawie o znaku DKN.5131.6.2020);
- “Pracownicy IDFT ustalili, że do naruszenia poufności danych osobowych przetwarzanych na serwerze Spółki doszło w wyniku nieprawidłowej konfiguracji zapory sieciowej po restarcie serwera, tj. jeden z portów pozostawał otwarty. Potwierdzono nieuprawnione pobranie danych, ustalono skalę naruszenia oraz podjęto działania zaradcze, tj. m.in. przywrócono prawidłową konfigurację serwera (zamknięcie portu) oraz dokonano resetu haseł użytkowników portalu moneyman.pl. Spółka dokonała również weryfikacji wszystkich używanych przez nią serwerów, celem ustalenia, czy przetwarzane na tych serwerach dane są bezpieczne. “(fragment decyzji PUODO z dnia 17.12.2020 r. w sprawie o znaku DKN.5130.1354.2020);
- “Na podstawie zebranego materiału dowodowego ustalono, że naruszenie ochrony danych osobowych kandydatów na studia w SGGW, które miało miejsce […] listopada 2019 r., związane było z kradzieżą przenośnego prywatnego komputera pracownika SGGW – pana A.G, pełniącego również funkcję sekretarza Uczelnianej Komisji Rekrutacyjnej SGGW. Skradziony laptopbył używany przez ww. pracownika do celów prywatnych i służbowych, w tym również do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych w ramach pełnionej funkcji sekretarza Uczelnianej Komisji Rekrutacyjnej.” (fragment decyzji PUODO z dnia 21.08.2020 r. w sprawie o znaku ZSOŚS.421.25.2019). Dodać należy, że laptop ten nie został zabezpieczony przed ujawnieniem danych osobowych osobom niepowołanym;
- Kara dla Spółki Morele.net s.p. z o.o. za brak bieżącego oceniania i monitorowania potencjalnych zagrożenia dla praw i wolności osób, których dane przetwarzała (dot. danych osobowych ponad 2 200 000 użytkowników): “Ryzyko, w stanie faktycznym przedmiotowej sprawy, dotyczyło zagrożenia polegającego na zastosowaniu metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego poprzez podszycie się pod Spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta. Jak wskazuje się w literaturze, wśród ataków phishingowych można wyróżnić ataki ukierunkowane na konkretne grupy osób (tzw. spearphishing) a osoba atakując poświęca czas na uzyskanie informacji o celu i utworzenie wiadomości spersonalizowanej, związanej z sytuacją danej osoby (w przedmiotowej sprawie – osoby, która dokonywała transakcji zakupowej) co sprawia, że wiadomości tego typu (w przedmiotowej sprawie – sms wzywający do dokonania dodatkowej opłaty w wysokości 1 PLN, w celu dokończenia realizacji zamówienia wraz z linkiem odsyłającym do fałszywej bramki płatności elektronicznej DotPay) mogą być trudne do wykrycia i obrony.” (fragment decyzji PUODO z dnia 10.09.2019 r. w sprawie o znaku ZSPR.412.2.2019).
W w.w. kontekstach sytuacyjnych należałoby wskazać na rozwiązania techniczne, które nie zostały przez Administratorów wprowadzone, a skutecznie zapobiegłyby w ocenie autorów naruszeniom.
To aspekt, na którym trzeba skupić szczególną uwagę. Ustawa jasno nie mówi o tym, jakie rozwiązania należy posiadać, żeby spełnić wymogi RODO. Należy jednak pamiętać, że w obowiązku administratora leży udowodnienie posiadanego rozwiązania, które ma w założeniu zabezpieczenie danych przed wypłynięciem, kradzieżą, zniszczeniem czy zagubieniem. W przypadku incydentu, mamy na to tylko 72 godziny. Standardowo, aby ochronić firmę przed wyciekiem informacji, powinno się wdrożyć poniższe rozwiązania:
- UTM – urządzenie, które stoi i kontroluje ruch na brzegu Twojej sieci. Wyposażony w IPS oraz firewall, będzie odpowiedzialny za kompletną ochronę Twojej sieci – na zewnątrz i w środku Twojej organizacji oraz przepływ danych do publicznej sieci internetowej.
- Szyfrowanie – rozwiązanie, które zapewni ochronę na stacjach końcowych użytkowników, w sieci oraz platformach chmurowych. Jego zadaniem jest zabezpieczenie plików pod kątem plików oraz samego sprzętu.
- DLP – Data Loss Prevention – ochrona przed wyciekiem danych z organizacji na zewnątrz, szczególnie ważna podczas wysyłania wiadomości e-mail, w których znajdują się dane.
W przypadku incydentu w IDFT, najbardziej prawdopodobnym błędem pracowników, było niezapisanie w sposób trwały konfiguracji firewall-a serwera. Konfiguracja stworzona „z palca” nie została odzwierciedlona w pliku konfiguracyjnym. Serwermożna było ochronić – poprzez zastosowanie niezależnego od niego firewall-a / UTM-a, którego polityki byłyby zawsze zapisane trwale. Zmiana konfiguracji polityk UTM – ma raczej charakter trwały, i nie ma ryzyka, że po restarcie np. zasilania – config urządzenia się zmieni.
Ogólnie biorąc – w przypadku maszyn przenośnych z pełnoprawnymi systemami operacyjnymi, powinno się je skutecznie zabezpieczyć przed wyciekiem danych, w sytuacji kiedy dojdzie do ich kradzieży. Bo trzeba pamiętać, że każda przenośna maszyna jest narażona na taką ewentualność. W celu ochrony przed powyższym, należy zastosować szyfrowanie danych na poziomie nośnika. Zwykle najlepszym rozwiązaniem, jest szyfrowanie pełno-dyskowe chronione modułem TPM, albo dostatecznie silnym hasłem. Oczywiście, koniecznym jest jeszcze odpowiednio silne/bezpieczne hasło użytkownika systemu operacyjnego, szczególnie w przypadku gdyby klucz do odszyfrowania dysku był chroniony tylko modułem TPM.
Zgłoszenie naruszenia do PUODO można dokonać na 4 dostępne sposoby, a to:
- elektronicznie, poprzez wypełnienie dedykowanego do tegoż celu formularza dostępnego na platformie biznes.gov.pl;
- elektronicznie, poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP/UODO/Skrytka ESP;
- elektronicznie, poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl lub platformie epuap.gov.pl;
- tradycyjnie, drogą pocztową, wysyłając wypełniony formularz na adres PUODO.
Dodatkowo, art. 34 RODO zobowiązuje Administratora do zawiadomienia osoby, której dane dotyczą o takim naruszeniu, jeśli oceni, że naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Motyw 86 RODO traktuje o tym, iż Informacja skierowana do osoby fizycznej jasnym i prostym językiem powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania.
Art. 34 ust. 3 RODO zawiera enumeratywne wyszczególnienie sytuacji, w których od Administratora nie będzie wymagane zawiadomienie. Są one następujące:
„a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
- b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
- c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposó”
Jeśli Administrator uzna, że nie doszło do naruszenia ochrony danych osobowych, które wymaga zgłoszenia do PUODO oraz osobom, których dane dotyczą, wówczas dla spełnienia zasady rozliczalności wynikającej z art. 5 RODO winien sporządzić raport z incydentu bezpieczeństwa, w którym dokonuje on opisu stanu faktycznego i jego analizy pod kątem zaistnienia przesłanek z art. 33 RODO, o których mowa powyżej, a także powinien ten incydent wprowadzić do rejestru naruszeń, który prowadzi.
Motyw 87 RODO traktuje bowiem o tym, iż Administrator winien wdrożyć techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą.
Reasumując, Administrator winien pamiętać o ciągłym doskonaleniu systemu ochrony danychosobowych, nie poprzestając jedynie na zaprojektowaniu systemu ochrony danych osobowych w facie tzw. Privacy by design.
Za pomocą dostępnych mu środków powinien on doskonalić system ochrony danych osobowych poprzez testowanie, mierzenie skuteczności wprowadzonych przez niego rozwiązań również w fazie tzw. Privacy by default, w zakresie reagowania na incydenty, przeprowadzenie ich szybkiej analizy i dokonanie zgłoszeń.
Ten artykuł miał na celu przybliżenie przedsiębiorcom dostępnych na rynku możliwości technologicznych, które pozwalają na spełnieniew.w. obowiązków nałożonych przez RODO.
Autorzy:
Anna Kuś-Kluka
Radca prawny w kancelarii Juvo. W kancelarii zajmuje się świadczeniem pomocy prawnej dla przedsiębiorców w zakresie ochrony danych osobowych.
Bogusław Gacek
Specjalista ds. IT w Net Complex Bezpieczeństwo IT. W firmie dba o utrzymanie infrastruktury IT oraz odpowiada za wdrażanie nowoczesnych rozwiązań technologicznych oraz wsparcie w małych, średnich i większych przedsiębiorstwach na terenie całego kraju. Certyfikowany inżynier rozwiązań do ochrony brzegu sieci marki WatchGuard Technologies