Jak zakwalifikować wyciek danych zgodnie z RODO?
Wyciek danych osobowych (czyli nieuprawnione ujawnienie lub dostęp do danych przez osobę, która nie powinna takiego dostępu mieć), jest zdarzeniem, którego następstwa uregulowane są przede wszystkim w przepisach unijnego ogólnego rozporządzenia o ochronie danych[1] („RODO”). Będzie on bowiem kwalifikowany jako jeden z przypadków „naruszenia ochrony danych”, obok takich sytuacji jak niezgodne z prawem zniszczenie, utrata czy zmodyfikowanie danych. W praktyce „wyciek” danych często jest utożsamiany z naruszeniem, warto pamiętać więc, że pozostałe wspomniane przypadki też generują obowiązki na gruncie RODO.
Warto też pamiętać, że choć przepisy RODO dotyczyć będą w praktyce niemalże każdego podmiotu, który w ramach prowadzonej działalności gospodarczej przetwarza dane osobowe (a więc chociażby je przechowuje u siebie, nawet jeżeli to przechowywanie miałoby być jedyną czynnością, jaką podmiot ten wykonuje w stosunku do tych danych), to RODO nie będzie przy tym jedynym zestawem przepisów, które mogą być istotne w przypadku wycieku. W grę mogą wchodzić również szczególne przepisy dotyczące wybranych grup podmiotów (prawo telekomunikacyjne, prawo bankowe, czy przepisy ustawy o krajowym systemie cyberbezpieczeństwa). Przepisy te mogą wprowadzać dodatkowe wymogi w zakresie reagowania na naruszenia ochrony danych (np. zgłoszenie incydentu do CSIRT – Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego), czy zaostrzać te już obowiązujące (np. obligować do dokonywania zgłoszeń incydentów w 24, a nie w 72 godziny.
Jakie mogą być konsekwencje wycieku danych?
RODO w związku z naruszeniem ochrony danych przewiduje cały szereg konsekwencji. Tą z nich, która przebiła się do powszechnej świadomości są kary administracyjne – prawdopodobnie z uwagi na ich poziom, który może robić wrażenie (maksymalnie do 20.000.000 euro lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa). Oprócz samych kar naruszenie może jednak skutkować nałożeniem dodatkowych obowiązków (w tym choćby i wprowadzanie czasowego lub całkowitego zakazu przetwarzania określonych danych osobowych, co w skrajnym przypadku może być jednoznaczne z zakazem prowadzenia działalności), odpowiedzialnością karną, a także obowiązkiem zapłaty odszkodowania ofiarom naruszenia.
Dla wielu podmiotów przykrą konsekwencją będzie już samo wszczęcie postępowania przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO), z którym należy w ramach takiego postępowania ściśle współpracować. Jak pokazuje bowiem praktyka, w Polsce znaczny procent nakładanych kar administracyjnych wynikał bowiem z braku takiej współpracy, a nie bezpośrednio z samego faktu wystąpienia naruszenia. Jak „płachta na byka” działa na PUODO w szczególności brak odpowiedzi na wezwania (co dobitnie pokazało uzasadnienie jednej z decyzji, w którym stwierdzono „kara ta spełni także funkcję odstraszającą, ponieważ będzie jasnym sygnałem zarówno dla spółki, jak i dla innych podmiotów, że nie należy ignorować pism organu nadzorczego”[2]).
Nie bez znaczenia są również skutki wycieku w postaci jego negatywnego wpływu na wizerunek przedsiębiorcy. Informacje o wystąpieniu incydentu w łatwy sposób mogą stać się publicznie dostępne (w niektórych przypadkach to nawet tą drogą o incydencie dowie się sam administrator danych odpowiedzialny za wyciek), zaś decyzje PUODO są w większości publikowane na stronach internetowych urzędu wraz z podaniem danych adresata takiej decyzji.
Jak zachować się, gdy dojdzie do wycieku?
Najlepszym rozwiązaniem jest przygotowanie się do incydentu zawczasu i posiadanie odpowiednich środków, w tym procedur działania na wypadek jego wystąpienia, a także regularne szkolenie i podnoszenie świadomości osób mających na incydent zareagować (począwszy od specjalnego powołanego do tego zespołu, aż po ogół personelu). Dodatkowo środki te należy regularnie testować pod kątem tego, czy rzeczywiście one zadziałają, gdy nadejdzie chwila próby.
Czas przewidziany na zgłoszenie
Gdy jednak nie uda nam się za pomocą posiadanych zabezpieczeń uchronić przed wyciekiem, wówczas pamiętać należy o potrzebie szybkiego podjęcia działań. Termin na reakcję wynikający z RODO jest krótki – mamy 72 godziny na dokonanie zgłoszenia do PUODO (przy czym nie są to jednak godziny „robocze”, co trzeba mieć na względzie szczególnie, jeżeli do incydentu dojdzie tuż przed weekendem). Czas ten liczony jest od stwierdzenia wystąpienia naruszenia, co zgodnie z obowiązującymi wytycznymi oznacza „uzyskanie wystarczającej dozy pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych”[3]. Uznanie, że administrator „stwierdził” wystąpienie określonego naruszenia wymagać może w zależności od okoliczności pewnego czasu na wstępne zbadanie incydentu, oczekuje się jednak, że wstępne postępowanie powinno jak najszybciej rozpocząć się i doprowadzić do ustalenia okoliczności z wystarczającą dozą pewności. Zgłoszenia nie trzeba dokonywać tylko, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W praktyce jednak PUODO jest dość rygorystyczny w swej ocenie, czy dany incydent winien być zgłaszany, w związku z czym bezpiecznie jest przyjąć podobne podejście i w razie wątpliwości zgłoszenia dokonać.
Co powinno zawierać zgłoszenie?
Zgłoszenie Naruszenia PUODO do Organu Nadzorczego powinno zawierać szereg informacji, w tym opis charakteru naruszenia (z podaniem takich danych jak np. kategoria i liczba osób, których dotyczy), możliwe konsekwencje naruszenia, czy też środki zastosowane lub proponowane celem zaradzenia naruszeniu, w tym w celu zminimalizowania jego skutków. W przypadku, gdy zgłoszenia przekazane zostanie po upływie 72 godzin od stwierdzenia naruszenia należy dołączyć wyjaśnienie przyczyn opóźnienia. Jeżeli zaś razem ze zgłoszeniem nie da się udzielić jeszcze pełnej informacji dotyczącej naruszenia, informacje takie należy dosyłać sukcesywnie i bez zbędnej zwłoki.
Równolegle do zgłoszenia, administrator powinien podjąć działania mające na celu ograniczenie skali naruszenia i przywrócenie stanu sprzed wystąpienia naruszenia. Kluczowym jest więc ustalenie źródła wycieku i jego zatamowanie. W miarę możliwości również usunięcie tych z kopii danych, które już zdążyły znaleźć się w miejscu do tego niepowołanym. Informacje na temat podejmowanych kroków powinny być dokumentowane w miarę rozwoju sytuacji, żeby móc uzupełniać na bieżąco również zgłoszenie dokonane do PUODO, który może chcieć wiedzieć jak rozwinęła się sytuacja związana z naruszeniem. W ramach tych działań mieści się również ocena ryzyka, które wystąpiło w związku z wyciekiem dla praw i wolności osób fizycznych nim dotkniętych. Pomoże to nam nie tylko poczynić odpowiednie kroki, by ryzyko to wyłączyć, albo co najmniej ograniczyć, ale również podjąć decyzję o ewentualnym zawiadomieniu tych osób o wycieku (co powinno nastąpić zawsze, jeżeli ryzyko uznamy za wysokie).
W zależności od m.in. rodzaju danych, jakich dotyczył wyciek i potencjalnych jego skutków, kroki mogą mieć różny charakter – przykładowo przy ujawnieniu danych pozwalających na kradzież tożsamości i wzięcie kredytu działania mogą obejmować czynności w postaci zastrzeżenia/wymiany dokumentów tożsamości oraz wykupienia alertów w BIK.
Środki prewencyjne
Kolejne zadanie, jakie nas czeka, to ustalenie działań naprawczych „na przyszłość”, czyli środków bezpieczeństwa, jakie powinny być zastosowane w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. RODO nakazuje nam odrobić lekcję i podjąć odpowiednie działania zapobiegawcze. Również w samym zgłoszeniu naruszenia do PUODO listę takich planowanych działań należy podać, zaś sam organ może po pewnym czasie zwrócić się do nas z pytaniem, czy zostały one w rzeczywistości wdrożone. Warto więc swoje obowiązki wykonać sumiennie, ponieważ w przypadku powtórzenia się tego samego rodzaju naruszenia PUODO powinien wziąć tą okoliczność pod uwagę przy ocenie czy i w jakiej wysokości zastosować administracyjną karę pieniężną.
Jakie rozwiązania rekomendują dostawcy oprogramowania IT?
Jak do problematyki wycieku danych odnosi się kolejna z zainteresowanych stron, czyli dostawcy oprogramowania IT? Perspektywę tej grupy przedstawił Konrad Spryńca, Product Manager w firmie Soneta – producencie systemu ERP enova365.
– Aby zminimalizować ryzyko wycieku danych, na bieżąco dokonujemy przeglądu stosowanych zabezpieczeń ogólnosystemowych. Modyfikujemy je oraz aktualizujemy w oparciu o potrzeby naszych Klientów. Zabezpieczenia dotyczą wszystkich modułów enova365, a nad pracami czuwa specjalny zespół. – opisuje Konrad Spryńca. – Bardzo ważnym aspektem jest również sprawdzenie poprawności działania wprowadzonych zmian. System enova365 jest regularnie poddawany audytom bezpieczeństwa prowadzonym przez niezależne od nas podmioty. Potwierdzeniem wysokiego poziomu bezpieczeństwa jest wydawany przez jednostkę certyfikat.
Przykładem rozwiązania, które monitoruje pracę z danymi jest system ról i uprawnień. Systemy informatyczne gromadzą i przetwarzają olbrzymie ilości danych, w tym również danych osobowych. Zastosowane role i uprawnienia wpływają na bezpieczeństwo danych także w ramach enova365.
– W przypadku przedsiębiorstw, w zależności od wykonywanych obowiązków, system enova365 umożliwia dostęp do danych tylko tym pracownikom, którzy powinni z nich na co dzień korzystać. Dobrze rozbudowany system ról oraz uprawnień pozwala precyzyjnie określić zakres osób, mających dostęp do danych – ale również wskazać jakie czynności mogą być na nich wykonywane. Chodzi o np. podgląd, edycję czy usuwanie. – opowiada Konrad Spryńca. – Dodatkowo, mechanizmy systemowe pozwalają dokładnie ustalić kto, w jakim czasie oraz jakie czynności wykonywał przetwarzając dane osobowe. W przypadku wycieku danych pozwoli to w szybki sposób ustalić co stało za jego przyczyną. – pointuje.
Celem i jednocześnie realnym efektem tego działania jest zapewnienie maksymalnego bezpieczeństwa systemu ERP enova365. Przy użyciu odpowiednich mechanizmów oraz specjalistycznej wiedzy ryzyko zostaje ograniczone do minimum.