Gdy wyciekną dane osobowe…

Firmy powinny mieć już gotowe procedury postępowania w razie naruszenia ochrony danych klientów. Bez tego mogą nie zdążyć ustalić zagrożenia, jakie niesie taka sytuacja i podjąć działań dla zminimalizowania ryzyka. Inna sprawa to organ nadzoru, który też nie będzie patrzył na taką sytuację przez palce.

Kradzież, utrata, zniszczenie, zmiana, bezprawny dostęp czy nieuprawnione ujawnienie danych osobowych – każda taka sytuacja to sygnał do natychmiastowego postawienia na nogi „służb” odpowiedzialnych w firmie za ochronę prywatności ludzi, którzy jej powierzyli informacje o sobie w określonym celu. W ciągu najpóźniej 72 godzin sprawa powinna być wyjaśniona i ewentualnie zgłoszona organowi nadzoru. Tak w dużym skrócie przedstawia się nowy obowiązek administratorów w przypadku naruszenia ochrony danych, nałożony na nich unijną reformą RODO, która lada chwila wystartuje w praktyce.

Kary za naruszenie ochrony danych

Praktycznie do samego dnia wprowadzenia rozporządzenia (25 maja), najmocniej dało się usłyszeć głosy o finansowych konsekwencjach wspomnianych naruszeń. Dokładnie o 20 mln euro lub 4 proc. światowego obrotu firmy, stanowiących najwyższy wymiar kary administracyjnej, przewidzianej w unijnym ogólnym rozporządzeniu o ochronie danych (RODO), które musi być od wspomnianej daty bezpośrednio stosowane we wszystkich krajach Wspólnoty. Nowe przepisy mają mobilizować przedsiębiorców, małych i dużych, do stworzenia jak najlepszego, zgodnego z wymaganiami nowego prawa systemu zabezpieczeń pozyskiwanych informacji. Jednocześnie odgrywają inną rolę – uświadamiania obywateli co do ich praw oraz możliwości ich egzekwowania, a także sądowego dochodzenia odszkodowań za krzywdy wyrządzone skutkami naruszenia bezpieczeństwa danych. Będą mogli domagać się tego w procesach cywilnych wytoczonych przeciwko sprawcom ich szkód, niezależnie od tego, jaką sankcję nałoży organ nadzoru, czyli Prezes Urzędu Ochrony Danych Osobowych (PUODO), następca prawny dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

W zasadzie systemy zabezpieczeń powinny być już gotowe, jeśli faktycznie wzięto sobie do serca nowe wymagania. Teraz raczej pora na ostatnie szlify i ewentualne poprawki niedociągnięć wykrytych w trakcie audytów przyjętych w firmach rozwiązań, zarówno technicznych, jak i organizacyjnych, bo powodzenie bezpieczeństwa danych osobowych w ogromnej mierze leży w przestrzeganiu zasad ich ochrony przez ludzi. Człowiek to jej najsłabsze ogniwo, czego dowodzą dokonywane testowo włamania do chronionych zbiorów informacji. Słowem, przedsiębiorcy muszą to wszystko dopiąć przed 25 maja, jeśli ma zadziałać od tej daty. I takie dopięcie dotyczy także przygotowania czegoś w rodzaju instrukcji działania na wypadek najgorszego scenariusza, bo w sytuacji kryzysowej nie pora opracowywać plan postępowania.

Gdy jednak coś się złego zdarzy

W trakcie wspomnianych 72 godzin można nawet nie zdążyć ze zidentyfikowaniem źródła wycieku danych czy ich zniszczenia, a nawet z upewnieniem się, że w ogóle doszło do naruszenia, co jest o tyle istotne, że od momentu stwierdzenia takiego zdarzenia zacznie biec czas na powiadomienie organu nadzoru o incydencie. Jednocześnie administrator będzie musiał ocenić skutki powstałej sytuacji dla osób, od których pozyskał dane. Według Karola Brucko – Stępkowskiego , radcy rawnego z kancelarii prawnej SBS we Wrocławiu, od tego zależy bowiem, czy dany podmiot powinien zgłosić sprawę PUODO i wykonać ewentualnie inne dalsze obowiązki w stosunku do samych osób zainteresowanych.

Skutki naruszenia bezpieczeństwa danych mogą być naprawdę dramatyczne – od uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, takich jak utrata kontroli nad własnymi danymi, ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, aż do strat finansowych

– wylicza Piotr Chrobot, prezes firmy Unit4 Polska.

Jak podkreśla, administratorów czekają więc nowe obowiązki szybkiej identyfikacji naruszeń bezpieczeństwa danych i przeciwdziałanie im.

Jeżeli jest małe prawdopodobieństwo naruszenia praw i wolności osób fizycznych, wystarczy aby administrator zaistniałe zdarzenie odnotował w wewnętrznym rejestrze incydentów. Jeśli jednak stwierdzi istnienie takiego ryzyka, będzie musiał zgłosić sytuację polegającą na naruszeniu danych osobowych organowi nadzoru. Ponadto, gdy administrator oceni, że powstało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ma też obowiązek powiadomić te osoby, których dane dotyczą, o tym, co się stało, jakie to może pociągnąć za sobą skutki oraz co zrobiła firma, aby im zaradzić

– wyjaśnia Karol Brucko – Stępkowski.

Radca prawny radzi też, aby administrator poinformował potencjalnie poszkodowanych, co mogą zrobić sami, aby dodatkowo zminimalizować powstałe ryzyko. Urzędy nadzoru w różnych krajach wręcz to zalecają, a takie podpowiedzi są pożądane.

Informacje dla organu nadzoru

Karol Brucko – Stępkowski wyjaśnia, że w zawiadomieniu urzędu administrator powinien opisać charakter naruszenia, w miarę możliwości wskazać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów ich danych, których dotyczy naruszenie.

Ponadto zgłoszenie powinno zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji. Należy też przedstawić możliwe konsekwencje incydentu oraz zastosowane lub proponowane przez administratora środki dla zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach rozwiązania służące zmniejszeniu jego ewentualnych negatywnych skutków

– podkreśla Piotr Chrobot z Unit4 Polska.

Zwraca on też uwagę, że wszystkie kroki zmierzające do wyjaśnienia okoliczności zaistnienia określonego zdarzenia oraz te podejmowane w celu przeciwdziałania jego skutkom muszą być przez firmy formalnie udokumentowane.

Zgłoszenie możliwe „na raty”

Brak spełnienia obowiązku powiadomienia PUODO oraz osób, których interesy zostały zagrożone, jak i nieprawidłowe zgłoszenie incydentu są zagrożone wysokimi wspomnianymi karami administracyjnymi, ale sankcji podlega przecież samo naruszenie ochrony danych. Czyli „donos” na samego siebie tak czy owak będzie kosztował. Konsekwencje mogą być jednak mniej dotkliwe, gdy organ nadzoru oceni, że w reakcji na powstałe naruszenie firma podjęła niezbędne działania natychmiast, w tym na czas powiadomiła urząd i zastosowała rozwiązania minimalizujące określone ryzyka.

Dla tych, którzy mogą mieć problem z pełnym ustaleniem faktów i ich oceną w ciągu 72 godzin, ma ona prostą radę – powiadomcie urząd jak najszybciej (RODO mówi nawet o zgłoszeniu bez zbędnej zwłoki) o tym, co już wiecie, poinformujcie, że trwa wyjaśnianie okoliczności zdarzenia i że przedstawicie wyniki, gdy tylko je poznacie. Na takie rozwiązanie zezwala Grupa Robocza Art. 29, czyli twórca unijnego rozporządzenia. Warto o tym wiedzieć, ponieważ w wielu przypadkach nie można wykluczyć problemów z dotrzymaniem terminu, szczególnie gdy przetwarzanie danych osobowych jest powierzone firmie zewnętrznej, tzw. procesorowi. Jeśli do incydentu zagrażającego czyjejś prywatności dojdzie u niego, ustalanie skali naruszenia ochrony i jego skutków może się wydłużyć.

Administratorzy muszą mieć świadomość, że to oni zostali zobowiązani do poinformowania PUODO o złym zdarzeniu, a nie procesor. Ten ostatni powinien natomiast zgłosić je administratorowi. Dobrze byłoby to zaakcentować w umowie o powierzeniu przetwarzania danych firmie zewnętrznej.

Wyłączenia z powiadomienia

Nie zawsze trzeba będzie zawiadomić osoby, których dane dotyczą, o naruszeniu ich ochrony. Zgodnie z RODO, nie jest to wymagane, jeżeli:

• administrator wdroży odpowiednie techniczne i organizacyjne środki ochrony i je zastosuje do danych, których dotyczy naruszenie – np. szyfrowanie,
• administrator wprowadzi następnie rozwiązania eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
• zgłoszenie wymagałoby niewspółmiernego wysiłku – w takim przypadku administrator nie jest zwolniony z obowiązku poinformowania zainteresowanych, ale nie musi tego zrobić bezpośrednio, może np. wydać publiczny komunikat.

Z życia wzięte

Gdy pracownica kadr pewnej firmy o zasięgu międzynarodowym zabrała ze sobą laptopa z dokumentacją służbową, aby w domu dokończyć pracę i nie mogła jej otworzyć, z pomocą przyszedł mąż. Odblokował dostęp do dokumentacji z danymi pracowników. Na tym jego działania się skończyły, ale w spółce potem zauważono, że na firmowym pliku ktoś obcy wykonał jakieś czynności, co uznano za nieuprawniony dostęp do danych tysięcy pracowników, w tym ich wynagrodzeń. Wszystkich powiadomiono o naruszeniu i zaznaczono, że najprawdopodobniej nie będzie ono miało dla nich negatywnych skutków. Poinformowano ich ponadto, że firma podjęła działania, aby sytuacja nie powtórzyła się – wprowadziła zakaz wynoszenia plików i pokazywania ich osobom trzecim. Jednocześnie zagwarantowała zatrudnionym roczną opiekę prawną.