W artykule analizujemy, w świetle wytycznych Europejskiej Rady Ochrony Danych oraz praktyki organów nadzorczych w państwach członkowskich, które kategorie naruszeń co do zasady nie wymagają zgłoszenia, jakie znaczenie ma skuteczne szyfrowanie, szybkie działania naprawcze oraz brak realnego dostępu osób nieuprawnionych do danych. Wskazujemy również, jak prawidłowo uzasadnić decyzję o braku notyfikacji i ograniczyć ryzyko zarzutu naruszenia obowiązków wynikających z RODO.
Zacznijmy od przykładów Grupy Roboczej art. 29 (poprzedniczki Europejskiej Rady Ochrony Danych) opublikowanych w Guidelines on Personal data breach notification under Regulation 2016/679, WP250 rev.01.
Utrata zaszyfrowanego urządzenia:
Naruszenie, które nie wymagałoby powiadomienia organu nadzorczego, to utrata zaszyfrowanego urządzenia mobilnego, z którego korzystają administrator i jego personel, pod warunkiem że klucz szyfrujący pozostaje w posiadaniu administratora i że nie jest to jedyna kopia danych osobowych. Wówczas dane osobowe byłyby niedostępne dla atakującego. Oznacza to, że naruszenie prawdopodobnie nie spowoduje zagrożenia dla praw i wolności osób, których dane dotyczą. Jeśli później okaże się, że klucz szyfrujący został naruszony lub że oprogramowanie lub algorytm szyfrujący są podatne na ataki, zagrożenie dla praw i wolności osób fizycznych ulegnie zmianie. W takiej sytuacji powiadomienie może być wymagane.
Zanik zasilania:
Krótki, kilkuminutowy zanik zasilania w centrum telefonicznym administratora spowodował, że klienci nie mogli do niego zadzwonić ani uzyskać dostępu do swoich danych. Nie jest to naruszenie wymagające zgłoszenia, lecz incydent podlegający wpisowi do wewnętrznego rejestru naruszeń.
Kolejne przykłady zostały przytoczone przez Europejską Radę Ochrony Danych w Wytycznych 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych.
Przestępcy zaszyfrowali dane bez przeszukiwania ich:
W małej firmie produkcyjnej administrator szyfruje swoje dane najnowszymi technikami kryptograficznymi. Dzięki temu atakujący go cyberprzestępcy nie mogli uzyskać dostępu do danych – widzieli tylko szyfr, którego nie byli w stanie rozszyfrować. Nie mogli również uzyskać dostępu do poczty czy innych systemów. Po przeprowadzeniu wewnętrznego dochodzenia stwierdzono, że sprawcy włamania „tylko” zaszyfrowali dane, bez ich przeszukiwania. Logi nie stwierdziły wypływu danych na zewnątrz organizacji. Kopia zapasowa została przywrócona po kilku godzinach. Naruszenie nie wymaga zgłoszenia.
Przechwycenie haseł:
Witryna kulinarna została zaatakowana przez wykorzystanie luki SQL Injection. Hasła w bazie danych były przechowywane w postaci zahashowanej. Użytkownikom odradzano tworzenie nazwy użytkownika jako adresu e-mail, a zamiast tego zalecano użycie pseudonimu. W wyniku ataku wyciekło 1200 nazw użytkownika i haseł w postaci szyfru. Ze względów bezpieczeństwa administrator e-mailem poinformował zainteresowane osoby i poprosił o zmianę haseł. Naruszenie nie wymaga zgłoszenia.
Kradzież laptopa przedszkola:
W przedszkolu skradziono dwa tablety, które zawierały aplikację z danymi osobowymi dzieci uczęszczających do przedszkola: imię i nazwisko, datę urodzenia, informacje dotyczące edukacji. Zarówno zaszyfrowane tablety, które były wyłączone w momencie włamania, jak i aplikacja były chronione silnym hasłem. Dane zapasowe były efektywnie i łatwo dostępne dla administratora. Po stwierdzeniu włamania przedszkole wydało polecenie zdalnego wyczyszczenia pamięci tabletów. Naruszenie nie wymaga zgłoszenia.
Faktura wysłana do niewłaściwego klienta:
W firmie zajmującej się sprzedażą wskutek pomyłki pracownika pomylono opakowania. W efekcie oba produkty wraz z fakturami zostały wysłane niewłaściwym osobom. Oznacza to, że klienci otrzymali nie swoje zamówienia, w tym faktury zawierające dane osobowe. Po stwierdzeniu naruszenia administrator odwołał zamówienia i przesłał je prawidłowym odbiorcom. Naruszenie nie wymaga zgłoszenia.
Ujawnienie danych uczestników kursu językowego:
Lista uczestników kursu prawniczego języka angielskiego, który odbywa się w hotelu przez 5 dni, została omyłkowo wysłana do 15 byłych uczestników kursu zamiast do hotelu. Lista zawierała nazwiska, adresy e-mail i preferencje żywieniowe 15 aktualnych uczestników. Tylko dwóch uczestników wskazało swoje preferencje żywieniowe, informując o nietolerancji laktozy. Administrator natychmiast po wysłaniu listy odkrył błąd i poinformował o nim odbiorców, a także poprosił o usunięcie listy. Naruszenie nie wymaga zgłoszenia.
Kolejne przykłady pochodzą od europejskich organów nadzorczych (polskiego PUODO oraz jego odpowiedników w innych państwach członkowskich).
Utrata zaszyfrowanego urządzenia:
Chorwacja: Naruszenie niewymagające powiadomienia organu nadzorczego to utrata zaszyfrowanego urządzenia mobilnego (np. laptopa, telefonu) używanego przez personel administratora, pod warunkiem że:
- klucz szyfrujący pozostaje w posiadaniu administratora,
- urządzenie nie zawiera jedynej kopii danych osobowych,
- dane są skutecznie zaszyfrowane, co uniemożliwia dostęp osobom nieuprawnionym.
Chwilowa niemożność odnalezienia papierowego dokumentu:
Czechy: Chwilowo nie można było odnaleźć papierowego dokumentu, który był lub miał być częścią ręcznie prowadzonej ewidencji (kartoteki) osób fizycznych. Jest mało prawdopodobne, aby dokument trafił w niepowołane ręce – najprawdopodobniej został odłożony w niewłaściwe miejsce.
Umieszczenie adresów w polu „CC” zamiast „BCC”:
Dania: W niewielkim stowarzyszeniu wysłano e-mail do wielu odbiorców, jednak ich adresy zostały umieszczone w polu „CC” zamiast „BCC”. W rezultacie wszyscy adresaci mogli zobaczyć adresy e-mail pozostałych odbiorców, co doprowadziło do ich niezamierzonego ujawnienia.
Ujawnione dane pacjenta:
Praktyczny kurs IOD
potwierdzi Twoje wysokie kompetencje
Dane wysłane w niezaszyfrowanej wiadomości:
Finlandia: Pracownik administratora wysłał dane osobowe w niezaszyfrowanej wiadomości e-mail. Nie ma jednak podstaw do podejrzeń, że dane trafiły do osób nieuprawnionych.
Potencjalna możliwość dostępu do danych:
Finlandia: W systemie IT istniała możliwość, że użytkownik mógł samodzielnie zwiększyć swoje uprawnienia i uzyskać dostęp do danych, których nie potrzebował w swojej codziennej pracy. Jednak dzięki odpowiednim zabezpieczeniom udało się sprawdzić, że taka sytuacja nie miała miejsca.
Utarta zaszyfrowanej kopii zapasowej:
Finlandia: Administrator danych przechowywał zaszyfrowaną kopię zapasową danych klientów na pendrivie. Podczas włamania do budynku urządzenie zostało skradzione, ale nie ma ryzyka wycieku danych, ponieważ:
- wszystkie informacje były zabezpieczone nowoczesnym szyfrowaniem,
- istnieją inne kopie zapasowe, więc dane nie zostały utracone,
- klucz szyfrujący nie dostał się w niepowołane ręce,
- dane można bez problemu przywrócić.
Błędnie wysłany SMS:
Finlandia: Wiadomość SMS z informacją o rezerwacji terminu została wysłana na niewłaściwy numer telefonu. Nie zawierała jednak żadnych danych osobowych umożliwiających identyfikację ani informacji dotyczących zdrowia.
Ujawnienie danych klienta apteki:
Finlandia: Pracownik apteki przez pomyłkę wręczył klientowi B dokument, na którym widniało imię, nazwisko i numer identyfikacyjny klienta A. Klient B od razu zauważył błąd i natychmiast zwrócił dokument pracownikowi apteki.
Ujawnienie danych pacjenta:
Finlandia: Pacjent A zgłosił placówce medycznej, że w jego dokumentacji znalazły się informacje dotyczące pacjenta B. Na podstawie tych danych pacjent A nie był w stanie ustalić tożsamości pacjenta B. Po potwierdzeniu błędu dane pacjenta B zostały usunięte z dokumentacji pacjenta A i prawidłowo zapisane w aktach pacjenta B. Nie podjęto żadnych decyzji dotyczących leczenia pacjenta A na podstawie błędnych danych, a sytuacja nie miała wpływu na opiekę medyczną pacjenta B.
Dane publicznie dostępne:
Francja: Nie wymaga zgłoszenia ujawnienie danych, które były już publicznie dostępne.
Kopia zapasowa:
Francja: Nie wymaga zgłoszenia usunięcie danych, które zostały zapisane w kopii zapasowej i natychmiast przywrócone.
Utrata danych zaszyfrowanych:
Francja: Nie wymaga zgłoszenia utrata danych zabezpieczonych nowoczesnym algorytmem szyfrowania, pod warunkiem że klucz szyfrujący nie został naruszony, a kopia danych jest dostępna.
Umieszczenie dokumentów w niewłaściwym folderze:
Irlandia: Zeskanowano, a następnie zapisano dokumenty w niewłaściwym folderze (dotyczącym innej osoby). Dane nie zostały zmienione ani udostępnione osobom nieuprawnionym, a po wykryciu błędu przeniesiono je do właściwego folderu.
Komunikat w mediach społecznościowych:
Litwa: W mediach społecznościowych opublikowano komunikat przeznaczony wyłącznie dla pracowników firmy, zawierający dane jednego z nich (imię, nazwisko, stanowisko, służbowy adres e-mail i numer telefonu). W treści ogłoszenia nie było innych informacji, które mogłyby bezpośrednio lub pośrednio identyfikować pozostałych pracowników. Ponieważ przed incydentem dane tego pracownika były już publicznie dostępne na stronie internetowej firmy i mogły być przeglądane przez dowolną osobę odwiedzającą witrynę, ich upublicznienie w mediach społecznościowych nie stanowi naruszenia ochrony danych osobowych.
Ujawnienie danych publicznie dostępnych:
Litwa: Utworzono fałszywą stronę internetową i wykorzystano publicznie dostępne dane osoby prawnej (nazwę firmy, numer identyfikacyjny, adres siedziby oraz imię i nazwisko dyrektora). Nieznana osoba posługiwała się tymi danymi w swojej działalności. Ponieważ wykorzystane informacje są publicznie dostępne, według organu nadzorczego ich ujawnienie nie stanowi naruszenia ochrony danych osobowych.
Wysyłka dokumentów na błędny adres podany przez klienta:
Litwa: Osoba A zgłosiła do administratora danych, że otrzymała na swoją skrzynkę mailową dokumenty procesowe zawierające dane osoby B, do której faktycznie dokumenty te były adresowane. Po przeprowadzeniu wewnętrznego dochodzenia ustalono, że dokumenty zostały wysłane automatycznie na podstawie danych kontaktowych wprowadzonych do bazy przez samych użytkowników. W tym przypadku osoba B błędnie wpisała adres e-mail osoby A zamiast swojego, co spowodowało, że dokumenty trafiły do niewłaściwego odbiorcy.
Wysyłka dokumentów na błędny adres podany przez klienta:
Litwa: Administrator danych otrzymał e-mail od osoby, która zgłosiła, że nie dostała karty dużej rodziny i podejrzewa, że mogła ją odebrać inna osoba. Po przeprowadzeniu dochodzenia ustalono, że karta została wysłana pocztą i wydana osobie, która przedstawiła pracownikowi poczty otrzymane SMS-em powiadomienie o przesyłce. Wskazany adres dostawy oraz numer telefonu zostały podane przez osobę zamawiającą kartę. Administrator danych prawidłowo wskazał adres i numer kontaktowy przy wysyłce. Incydent wynikał z tego, że przesyłkę odebrała inna osoba. Zgodnie z zasadami świadczenia usług pocztowych pracownik poczty może wydać przesyłkę na podstawie powiadomienia o odbiorze (w formie papierowej lub SMS). Ponieważ administrator danych postępował zgodnie z procedurami, a pracownik poczty wydał przesyłkę zgodnie z obowiązującymi zasadami, incydent ten nie jest uznawany za naruszenie ochrony danych osobowych.
Potencjalna możliwość dostępu do danych:
Praca dobrymi narzędziami RODO to nie praca!
„Bezprawny” dostęp do własnych danych:
Litwa: Haker odkrył w zabezpieczeniach strony internetowej lukę, która umożliwiła mu uzyskanie dostępu wyłącznie do jego własnych danych osobowych, bez dostępu do danych innych osób. Po wykryciu luki poinformował o niej firmę, przedstawiając dostęp do swoich danych jako dowód. Ponieważ w wyniku tego incydentu dane innych osób nie zostały zniszczone, utracone, zmienione ani ujawnione bez uprawnienia, a także nie doszło do nieautoryzowanego dostępu do nich, sytuacja ta nie jest uznawana za naruszenie ochrony danych osobowych.
E-mail zawierający złośliwy link:
Litwa: Osoba otrzymała e-mail zawierający złośliwy link, mający na celu wyłudzenie jej danych logowania do konta w instytucji finansowej. Po kliknięciu przez nią w ten link i samodzielnym wpisaniu wymaganych danych logowania oraz potwierdzeniu płatności pieniądze zostały przelane na konto oszustów. Ponieważ osoba sama przekazała swoje dane uwierzytelniające, a incydent dotyczył oszustwa finansowego, a nie nieautoryzowanego ujawnienia danych osobowych przez administratora, zdarzenie nie jest klasyfikowane jako naruszenie ochrony danych osobowych.
Dane do logowania w rękach hakerów:
Litwa: Administrator danych wykrył, że hakerzy, korzystając z oprogramowania, potwierdzili poprawność posiadanych danych logowania użytkowników (nazwy użytkownika i hasła) do jego strony internetowej. Po przeanalizowaniu logów systemowych administrator ustalił, że nie doszło do faktycznego logowania na konta użytkowników. Choć atakujący znali dane logowania, nie skorzystali z nich ani nie uzyskali dostępu do danych osobowych przetwarzanych przez administratora. Nie doszło do zniszczenia, utraty, zmiany, ujawnienia ani przesłania danych osobowych, a także nie odnotowano ich faktycznego wykorzystania.
Dane publicznie dostępne:
Polska (PUODO): Nie wymaga zgłoszenia ujawnienie danych, które są już publicznie dostępne.
Dane zaszyfrowane:
Polska (PUODO): Nie wymaga zgłoszenia ujawnienie lub utracenie danych zaszyfrowanych w sposób zapewniający ich nieczytelność dla osób nieupoważnionych –jeśli są one zabezpieczone kluczem, który nie został naruszony, a administrator ma dostęp do ich kopii zapasowej.
Zaradzenie naruszeniu:
Polska (PUODO): Nie wymagają zgłoszenia naruszenia, którym administratorzy definitywnie zaradzili.
Dane przywrócone z kopii:
Szwecja: Na uniwersytecie doszło do incydentu ochrony danych osobowych, gdy pracownik przez pomyłkę usunął rejestr zawierający dane kontaktowe pracowników. Dane zostały jednak później przywrócone z kopii zapasowej.
Służbowe numery telefonów:
Szwecja: Nie wymaga zgłoszenia zagubienie lub nieuprawniona modyfikacja listy służbowych numerów telefonów.
Ujawniona lista uczestników kursu:
Szwecja: Lista uczestników kursu dotyczącego ochrony danych została przez administratora danych omyłkowo wysłana e-mailem do niewłaściwego ośrodka konferencyjnego. Lista zawierała imiona, nazwiska i adresy 15 uczestników. Administrator danych zauważył błąd, poinformował błędnego odbiorcę i poprosił o usunięcie wiadomości. Lista nie zawierała danych wrażliwych, a liczba osób objętych incydentem była stosunkowo niewielka. Dodatkowo czynnikiem łagodzącym jest podjęcie szybkich działań przez administratora w celu usunięcia danych.
Zgubienie zaszyfrowanych danych:
Niemcy – Hesja: Nauczyciel zgubił pendrive, na którym są zapisane dane osobowe uczniów. Jeśli pendrive jest zaszyfrowany, można założyć, że ryzyko dla osób, których dane znajdują się na nośniku, jest niewielkie.
Dostęp do zaszyfrowanych danych:
Niemcy – Dolna Saksonia: Nieuprawnione osoby uzyskały dostęp do danych osobowych lub je przejęły, ale dane te są zaszyfrowane. Naruszenie poufności danych zaszyfrowanych zgodnie z aktualnym stanem techniki i metodą, która nie została dotychczas „złamana”, wiąże się z bardzo niskim ryzykiem dla praw i wolności osób, których dane dotyczą. Dane te są bowiem faktycznie nieczytelne dla osób trzecich.
Utrata zaszyfrowanych danych:
Niemcy – Dolna Saksonia: Nie wymaga zgłoszenia utrata zaszyfrowanego pendrive’a lub smartfona (dotyczy to sytuacji podobnej do opisanej w poprzednim przykładzie).
List wrócił nieotwarty:
Niemcy – Dolna Saksonia: List wysłany na niewłaściwy adres wrócił nieotwarty. Niezależnie od tego, czy zamknięty list był wysłany pocztą czy za pośrednictwem firmy kurierskiej, jeśli niewłaściwy odbiorca odesłał go w stanie nienaruszonym, to ryzyko dla osoby, której dane dotyczą, jest zazwyczaj niewielkie.
Dane w załącznikach do maila:
Niemcy – Dolna Saksonia: Wysłany e-mail zawierał niewłaściwe załączniki, lecz obejmowały one jedynie imiona i informacje o zarezerwowanych pokojach hotelowych (wraz z terminami pobytu). Ryzyko dla osób, których dane dotyczą, jest raczej niskie.
Kradzież laptopa lekarza:
Niemcy – Nadrenia Północna-Westfalia: Lekarzowi skradziono laptopa, który zawierał wyniki badań medycznych. Dane na dysku twardym laptopa są bezpiecznie zaszyfrowane przy użyciu kryptograficznych metod zgodnych z aktualnym stanem techniki, a wszystkie zapisane dane są dostępne w kopii zapasowej.
Zaszyfrowane dane medyczne:
Niemcy – Nadrenia Północna-Westfalia: Ujawnienie wyników badań medycznych przechowywanych na laptopie mogłoby spowodować poważne szkody dla pacjentów. Jednak jeśli dane są bezpiecznie zaszyfrowane, prawdopodobieństwo ich ujawnienia jest skrajnie niskie. Ponadto ryzyko wynikające z utraty dostępu do danych można wykluczyć, ponieważ są one nadal dostępne w kopii zapasowej.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
W wyniku ataku SQL Injection wyciekło nazw użytkowników i haseł w formie zahashowanej. Dlaczego w opisanym przykładzie naruszenie to nie wymagało zgłoszenia?