Naruszenie ochrony danych osobowych w pigułce
czyli jak postępować w przypadku wystąpienia naruszenia ochrony danych osobowych
Zagrożeń w świecie cyfrowym jest tak wiele, że trudno jest prawdopodobieństwo naruszenia bezpieczeństwa danych całkowicie wyeliminować. Ponadto analiza rynku cyfrowego prowadzi do wniosku, że dane osobowe w obecnych czasach urosły do rangi waluty w obrocie cyfrowym. Z tego powodu działania mające na celu naruszenie ich ochrony stają się coraz bardziej powszechne i wyrafinowane. Dzisiaj musimy sobie zadać pytanie „kiedy będzie naruszenie”, a nie „jak będzie naruszenie”. Pamiętaj, że naruszenie ochrony danych osobowych to jedynie kwestia czasu dla Twojej firmy. Dlatego tak ważne jest aby Twoja firma była przygotowana na naruszenie ochrony danych osobowych, aby ograniczyć jego skutki i nie narazić się na karę pieniężną.
Czym jest naruszenie ochrony danych osobowych?
Zgodnie z legalną definicją zawartą w art. 4 pkt. 12 RODO naruszenie ochrony danych osobowych (z ang. personal data breach) oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Rozkładając powyższą prawniczą definicję naruszenia ochrony danych osobowych na czynniki pierwsze, można wyróżnić zatem cztery sytuacje, w których będziemy mieć do czynienia z naruszeniem:
- zniszczenie danych osobowych – sytuacja, w której dane już nie istnieją lub przestały istnieć w postaci, w której administrator mógłby je w jakikolwiek sposób wykorzystać.
Przykład: zalanie dokumentacji; trwałe uszkodzenie dysku twardego
- utrata danych osobowych – sytuacja, w której dane mogą nadal istnieć, ale administrator utracił nad nimi kontrolę, nie posiada już do nich dostępu lub nie znajduje się już w ich posiadaniu.
Przykład: kradzież urządzenia, na którym przechowywana jest kopia bazy danych klientów administratora; atak ransomware
- zmodyfikowanie danych osobowych – sytuacja, w której dane osobowe zostały zmodyfikowane, zniekształcone lub przestały być kompletne.
Przykład: pracownik wprowadza zmiany w danych kontaktowych klienta, w sposób taki że stają się one nieprawidłowe; pracownik szpitala zmienia wyniki badań pacjenta, czego skutkiem jest postawienie nieprawidłowej diagnozy przez lekarza
- nieuprawnione lub niezgodne z prawem przetwarzanie – sytuacja, w której ujawniono (lub udostępniono) danych osobowych odbiorcom, którzy nie są upoważnieni do ich otrzymania (lub do uzyskania do nich dostępu), lub jakąkolwiek inną formę przetwarzania skutkującą naruszeniem przepisów RODO.
Przykład: wysłanie wiadomości e-mail z załącznikami do błędnego adresata, który nie był uprawniony do otrzymania takich danych
Według Grupy Roboczej Art. 29 naruszenia ochrony danych osobowych można podzielić na następujące kategorie:
- „naruszenie dotyczące poufności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
Przykład: Pracownik podał osobie nieuprawnionej login i hasło do konta z prawem ogólnego dostępu do bazy danych klientów. Osoba nieuprawniona może uzyskać dostęp do wszystkich informacji dotyczących klientów bez żadnych ograniczeń
- „naruszenie dotyczące integralności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;
Przykład: Z placówki medycznej skradziono cztery laptopy, w których przechowywano szczególnie chronione dane dotyczące zdrowia pacjentów. Administrator posiada jedynie starą kopię zapasową dokumentacji medycznej, wszystkie zmiany danych dokonane w skradzionych komputerach zostały utracone, skutkując zakłóceniem integralności danych.
- „naruszenie dotyczące dostępności danych” – naruszenie, w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych.
Przykład: Skradziono służbowy laptop, którego zawartość została zaszyfrowana, należący do doradcy finansowego. Chociaż nie doszło do złamania klucza szyfrowania ani hasła, to jednak nie jest dostępna żadna kopia zapasowa.
Pamiętaj, że każde naruszenie ochrony danych osobowych jest rodzajem incydentu bezpieczeństwa. Jednak nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych.
Jak należy postąpić w przypadku naruszenia ochrony danych osobowych w firmie?
Na początek przeprowadź dochodzenie wewnętrzne w firmie, które pozwoli ustalić okoliczności i kontekst naruszenia. Następnie zbierz wszystkie potrzebne informacje o zdarzeniu i przeprowadź ocenę, w ramach której:
- ustalisz osoby dotknięte naruszeniem,
- ocenisz stopień ryzyka naruszenia praw lub wolności osób fizycznych, których dane są objęte naruszeniem, co pozwoli Tobie rozstrzygnąć, czy:
- naruszenie podlega zgłoszeniu do organu nadzorczego,
- zawiadomisz osoby, których dane dotyczą o naruszeniu ochrony ich danych osobowych,
- ewentualnie powołasz specjalny zespół zarządzania kryzysowego.
Każde naruszenie musi być raportowane wewnętrznie w rejestrze naruszeń, niezależnie od tego, czy w zostało zgłoszone do organu nadzorczego. Ponadto po stwierdzeniu naruszenia powinieneś wdrożyć odpowiednie środki zaradcze. Zgłoszenie naruszenie do właściwego organu nadzorczego powstaje, gdy incydent powoduje ryzyko naruszenia praw i wolności osób fizycznych. Na takie zgłoszenie masz 72 godziny, liczone od momentu, kiedy naruszenie zostanie stwierdzone.
Jakie działania zapobiegawcze możesz podjąć w aby ograniczyć liczbę naruszeń ochrony danych osobowych?
Po pierwsze edukuj swoich pracowników. Jak wynika z raportu ZFODO aż 86,27% z całkowitej liczby naruszeń ochrony danych osobowych została spowodowanych działaniami pracowników lub współpracowników organizacji. Wiele naruszeń wynika z nieznajomości procedur dotyczących danych osobowych czy bezpieczeństwa informacji. Z tego powodu niezbędne jest organizowanie cyklicznych szkoleń pracowników, które zwiększą ich świadomość na istniejące zagrożenia w cyberprzestrzeni oraz obowiązujące przepisy prawne dotyczące ochrony danych osobowych.
Po drugie inwestuj w solidne rozwiązania bezpieczeństwa IT, takie jak programy antywirusowe, zapory sieciowe i regularne aktualizacje oprogramowania. Dzięki temu ograniczysz ryzyko ataków hakerskich i nieautoryzowanego dostępu do danych. Więcej o środkach ochrony bezpieczeństwa IT w przypadku ataków hakerskich przeczytasz tutaj.
Po trzecie opracuj zrozumiałe procedury dotyczące postępowania w przypadku naruszenia danych osobowych w Twojej firmie. Jeśli dojdzie do naruszenia, szybka reakcja Twoich pracowników jest kluczowa. Po zidentyfikowaniu naruszenia musisz bezzwłocznie odpowiednie organy nadzorcze i wdrożyć działania naprawcze, aby nie narazić się na nałożenie kary pieniężnej.
Nie zgłosisz naruszenia? Licz się z dużymi kosztami
Zatajanie zaistniałych naruszeń jest ryzykowne dla przedsiębiorców i wiąże się z możliwością nałożenia kar pieniężnych w wysokości nawet do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Ponadto na wysokość nałożonej kary będzie również miał wpływ sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy administrator zrealizował obowiązek notyfikacji naruszenia.
W Twojej firmie stwierdzono naruszenie ochrony danych osobowych? Skontaktuj się z nami! Pomożemy Ci ocenić wagę takiego naruszenia i zaproponujemy dalsze kroki.