Europejska Rada Ochrony Danych Osobowych (EROD) opublikowała projekt swoich najnowszych wytycznych – dotyczących zgłaszania naruszeń ochrony danych osobowych. Wytyczne są w trakcie konsultacji (do dnia 2 marca 2021 r. EROD przyjmowała do nich uwagi).

Naruszenia ochrony danych osobowych

Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych (RODO), administratorzy są zobowiązani wdrożyć w organizacjach system zarządzania naruszeniami ochrony danych osobowych. O takich naruszeniach mówimy, gdy ma miejsce nieuprawnione działanie zagrażające bezpieczeństwu danych osobowych.

Naruszenia mogą mieć bardzo różny charakter – będą to zarówno błahe zdarzenia (np. wysłanie maila z ofertą pod niewłaściwy adres mailowy), jak i bardzo poważne wycieki np. baz danych z historią leczenia pacjentów szpitala. RODO wymaga od administratora przeanalizowania każdego incydentu dla określenia, jak poważne ryzyka się z nim wiążą. Zależnie od powagi zidentyfikowanych ryzyk przepisy nakładają na administratorów dodatkowe obowiązki notyfikacyjne.

Jeżeli skutkiem naruszenia może być fizyczna, materialna lub niematerialna szkoda dla osób, których dane dotyczą („ryzyko naruszenia praw i wolności”), administrator ma obowiązek powiadomić o naruszeniu organ nadzoru. Takie powiadomienie powinno nastąpić niezwłocznie, nie później jednak niż w ciągu 72 godzin od uzyskania informacji o naruszeniu.

Jeżeli ryzyko naruszenia praw i wolności osób fizycznych okaże się wysokie, implikuje to kolejny obowiązek – administrator powinien zawiadomić o naruszeniu także osoby, których dane dotyczą. Administrator powinien to zrobić bez zbędnej zwłoki – poinformowanie osób, których dane dotyczą ma na celu umożliwienie im podjęcia niezbędnych działań chroniących przed negatywnymi skutkami naruszenia, np. zastrzeżenie dokumentu tożsamości, czy też założenie konta w systemie informacji kredytowych w celu monitorowania ewentualnych prób wyłudzenia pożyczki.

Wytyczne EROD

Dokument zawiera 18 przykładów najczęściej spotykanych incydentów i ma być wskazówką dla administratorów danych osobowych, jak postępować w przypadku ich wystąpienia. Wytyczne zawierają analizy przypadków takich naruszeń jak: ataki ransomware, ataki polegające na eksfiltracji danych (kradzieży danych), naruszenia będące wynikiem błędów ludzkich, kradzieże urządzeń i dokumentów w formie papierowej. Wytyczne przedstawiają najbardziej powszechne złe i dobre praktyki, wskazówki dotyczące identyfikacji i oceny ryzyka i elementy, na które administratorzy powinni zwrócić szczególną uwagę. W omówieniu poszczególnych przypadków możemy znaleźć informację, czy naruszenie kwalifikuje się do zawiadomienia organu nadzorczego oraz osoby, której dane dotyczą. W dalszej części artykuły przedstawiamy skrócone omówienie wybranych przypadków przytoczonych przez EROD.

Przykładowo, EROD opisuje ataki typu ransomware, tj. ataki polegające na szyfrowaniu danych osobowych przez złośliwy kod, a następnie żądaniu od napastnika okupu w zamian za kod deszyfrujący. EROD zwraca uwagę na stosowanie rozwiązań takich jak: techniki kryptograficzne, tworzenie kopii zapasowych i umieszczanie ich w odrębnym środowisku, regularna aktualizacja systemów wykrywających szkodliwe oprogramowanie. W niektórych przypadkach, nawet gdy już dojdzie do ataku, dokonanie zgłoszenia do organu nadzoru, czy zawiadomienia do osób, których dane dotyczą nie będzie konieczne, jeśli administrator odpowiednio się przygotował i m.in.:

  1. szyfruje dane, czego efektem jest to, że napastnik nie może ich przeszukiwać, wykorzystać, bo widzi sam szyfr;
  2. wykonuje kopie zapasowe danych osobowych i umieszcza je w odrębnym środowisku, dzięki czemu może odzyskać dane.

Powyższe wskazówki EROD są przydatne także przy ocenie naruszeń polegających na kradzieży lub zagubieniu sprzętu elektronicznego – zaszyfrowany, i opatrzony silnym hasłem sprzęt, szybko dostępna kopia zapasowa oraz możliwość zdalnego usunięcia danych, mogą przemawiać za brakiem konieczności dokonania odpowiednich notyfikacji.

W ocenie EROD, notyfikowanie nie będzie również konieczne, jeżeli administrator znacznie zredukuje przetwarzanie danych osobowych w niektórych celach i zastąpi je np. pseudonimem. W przykładzie podanym przez EROD doszło do ataku na serwis online, w efekcie którego wyciekły nazwy użytkowników i ich haseł. Hasła były przechowywane jednak w postaci szyfru, a użytkownikom przy rejestracji odradzano użycie adresu e-mail jako loginu. Po ataku administrator poinformował użytkowników i poprosił o zmianę haseł. W takim wypadku administrator może ograniczyć się jedynie do wewnętrznego udokumentowania naruszenia. EROD zwraca jednak uwagę, że sytuacja kształtowałaby się inaczej, gdyby rodzaj strony internetowej ujawniał jakieś szczególne kategorie danych osobowych, np. przynależność do partii politycznej.

Bardzo ważnymi czynnikami, podkreślonymi przez EROD są: kategorie danych, skala naruszenia i szybkość podjęcia środków zaradczych. W jednym ze swoich przykładów EROD omawia atak ransomware, którego celem była baza szpitala, zawierająca bardzo dużą liczbę danych, w tym danych osobowych szczególnych kategorii (dane dotyczące zdrowia pacjentów). Dane nie uległy eksfiltracji, logi nie wykazały żadnego wypływu danych na zewnątrz. Choć szpital posiadał możliwość uzyskania kopii zapasowej, realizacja tego zajęła dużo czasu (2 dni), przez co ciągłość pracy szpitala została zaburzona i odwołano planowane zabiegi. Naruszenie spowodowało obniżenie poziomu usług z uwagi na niedostępność systemów. Poziom ryzyka w takim przypadku należy uznać za wysoki. W takim przypadku administrator powinien: (i) wewnętrznie odnotować naruszenie, (ii) powiadomić organ nadzoru, (iii) powiadomić osoby, których dane dotyczą.

Naruszenia ochrony danych osobowych to nie tylko ataki hakerskie, czy nieuprawnione działania mające na celu pozyskanie danych, mogą to być także efekty nieuwagi. EROD w swoich wytycznych opisuje przypadki błędów w wysyłce maila, gdzie maile z danymi osobowymi trafiły do niewłaściwych adresatów. W ocenie EROD to, czy takie naruszenie powinno być notyfikowane, w przeważającej mierze zależy od tego, jakie dane zawarte były w wiadomości. Na ocenę stopnia ryzyka nie wpływa zwrócenie się do adresata o usunięcie nieprawidłowo wysłanej wiadomości. Oczywiście taki kontakt jest zalecany, jednak sama prośba nie daje pewności, czy adresat usunie maila, a zweryfikowanie tego może okazać się niemożliwe. Jeżeli wśród danych w wiadomości znajdował się np. wymieniony w przykładzie EROD numer ubezpieczenia społecznego (w Polsce numer PESEL), ryzyko dla osób fizycznych może być duże i niezbędna jest notyfikacja do organu i powiadomienie osób poszkodowanych.