Najnowsze wytyczne EROD 01/2021 uzupełniają wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych – wytyczne WP250. Dokument składa się z 6 rozdziałów rozdzielonych na 18 przykładów często występujących naruszeń, oznaczonych informacją o konieczności zgłaszania do organu nadzorczego i powiadamiania osób oraz proponuje środki zaradcze.

Wytyczne EROD 01/2021

Wytyczne zawierają spis najczęstszych przypadków naruszeń ochrony danych, takich jak: ataki ransomware, ataki polegające na eksfiltracji danych oraz przypadki zgubionych lub skradzionych urządzeń i dokumentów w formie papierowej. Dzięki dokumentowi administratorzy dowiedzą się jak postępować w przypadkach naruszenia oraz jakie zmienne należy wziąć pod uwagę. We wstępie EROD przypomina, iż naruszenia klasyfikuje się według trzech przymiotów bezpieczeństwa informacji: dostępności, integralności oraz poufności. Wskazuje dalej, że naruszenia mogą mieć skutki w postaci strat materialnych oraz niematerialnych.

Istotne jest przypomnienie, iż jednym z najważniejszych obowiązków administratora danych jest ocena tych zagrożeń wobec praw i wolności osób, których dane dotyczą  oraz wdrożenie odpowiednich środków technicznych i organizacyjnych w celu przeciwdziałania zagrożeniom. W związku z tym RODO wymaga od administratora:

  1. udokumentowania wszelkich naruszeń ochrony danych osobowych, związanych z uzyskaniem danych osobowych, jego skutków oraz podjętych działań naprawczych;
  2. powiadomienia organu nadzorczego o naruszeniu danych osobowych, chyba że jest mało prawdopodobne, aby naruszenie danych powodowało zagrożenie dla praw i wolności osoby fizycznej;
  3. poinformowania osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, gdy istnieje prawdopodobieństwo, że naruszenie danych osobowych spowoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych.

Chociaż przedstawione poniżej przypadki są fikcyjne, opierają się one na zbiorowym doświadczeniu organów nadzorczych z powiadomień o wyciekach danych. Oferowane analizy odnoszą się wyraźnie do badanych przypadków. Wszelkie zmiany w okolicznościach opisanych poniżej przypadków mogą skutkować różnymi poziomami ryzyka, wymagając tym samym innych lub dodatkowych środków. Niniejsze wytyczne opisują sprawy według określonych kategorii naruszeń (np. ataków ransomware).

W każdym przypadku, gdy mamy do czynienia z pewną kategorią naruszeń, wymagane są pewne środki łagodzące. W przypadku naruszeń należących do tej samej kategorii podane są tylko różnice, dlatego czytelnik powinien zapoznać się ze wszystkimi sprawami związanymi z odpowiednią kategorią naruszenia, aby zidentyfikować i rozróżnić wszystkie właściwe środki, które należy podjąć.

Ataki ransomware

Pierwszą opisaną przez EROD kategorią ataków są ataki typu ransomware, polegające na szyfrowaniu danych, w zbiorach administratora, przez złośliwy kod. Wytyczna zawiera opis czterech przykładowych naruszeń.

Przykład 1
W pierwszym przykładzie EROD zabiera nas do małej firmy produkcyjnej, w której administrator szyfruje swoje dane najnowszymi technikami kryptograficznymi. Wobec tego atakujący go cyberprzestępcy nie mogli uzyskać do nich dostępu, widzieli tylko szyfr, którego nie byli w stanie rozszyfrować. Nie byli w stanie również uzyskać dostępu do poczty czy innych systemów. Po przeprowadzaniu wewnętrznego dochodzenia stwierdzono, że sprawcy włamania „tylko” zaszyfrowali dane, bez przeszukiwania ich. Logi nie stwierdzają wypływu danych na zewnątrz organizacji. Kopia zapasowa została przywrócona po kilku godzinach.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować.

Od większości tego typu naruszeń możemy się ustrzec, jeśli przyjmiemy odpowiednie środki organizacyjne, fizyczne oraz technologiczne. Mowa tutaj o właściwym zarządzaniu aktualizacjami, stosowaniu systemów wykrywania szkodliwego oprogramowania. EROD podkreśla, iż w celu złagodzenia skutków ataków ransomware, ważne jest posiadanie kopii zapasowej w oddzielnym środowisku. Ponadto nieoceniony będzie program szkoleń i podnoszenia świadomości pracowników.

W omawianym przypadku zagrożenie dla praw i wolności osób, których dane dotyczą, wynika z braku dostępności dodanych, ponieważ z racji wcześniejszego szyfrowania danych przez administratora ich poufność nie jest zagrożona. Posiadanie odpowiedniego systemu tworzenia kopii zapasowych sprawia, że skutki naruszenia są mniej dotkliwe. Jeśli chodzi o powagę konsekwencji dla osób, których dane dotyczą, były one niewielkie, ponieważ dane, których to dotyczy, zostały przywrócone w ciągu kilku godzin, a naruszenie nie spowodowało żadnych konsekwencji dla codziennej działalności administratora.

Przykład 2
W przykładzie drugim EROD zabiera nas do firmy rolniczej. Systemy informatyczne organizacji przetwarzają dane klientów oraz pracowników; łącznie jest to kilkadziesiąt osób. Przedsiębiorstwo pada ofiarą ataku ransomware, w wyniku czego zaszyfrowano jej dane. W toku późniejszych ustaleń stwierdzono, że nie wykradziono bazy z danymi osobowymi. Kolejnym kłopotem organizacji był brak kopii zapasowej w postaci elektronicznej, posiadano ją tylko w formie papierowej. Jej przywrócenie zajęło 5 dni, wobec czego powstały drobne opóźnienia w dostawach zamówień do klientów.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować oraz zgłosić organowi nadzorczemu.

Główna różnica w stosunku do poprzedniej historii polega na braku elektronicznej kopii zapasowej i braku szyfrowania danych. Oceniając ryzyko, administrator powinien zbadać metodę infiltracji i zidentyfikować rodzaj złośliwego kodu, aby zrozumieć możliwe konsekwencje ataku. W tym przykładzie oprogramowanie ransomware zaszyfrowało dane osobowe bez ich eksfiltracji. W rezultacie wydaje się, że zagrożenia dla praw i wolności osób, których dane dotyczą, wynikają z braku dostępności danych osobowych, a poufność danych osobowych nie jest zagrożona.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
EROD ocenia, iż w tym przypadku przywrócenie danych nie powinno okazać się nadmiernie problematyczne, jeśli dane są nadal dostępne w formie papierowej, ale biorąc pod uwagę brak elektronicznej kopii zapasowej, powiadomienie organu nadzorczego uważa się za konieczne, ponieważ przywrócenie danych może być czasochłonne i spowodować opóźnienia w realizacji zamówień do klientów oraz nie odzyska się znacznej ilość metadanych (np. logi, znaczniki czasu).

Obowiązek poinformowania osób, których dane dotyczą, o naruszeniu zależy również od długości czasu niedostępności danych osobowych i trudności, jakie może to spowodować w działaniu administratora (np. opóźnienia w przekazywaniu płatności pracowniczych), ponieważ te opóźnienia w płatnościach i dostawach mogą prowadzić do strat finansowych dla osób, których dane zostały naruszone. Ten przypadek służy jako przykład ataku ransomware, który wiąże się z ryzykiem naruszenia praw i wolności podmiotów danych, ale nie osiąga wysokiego ryzyka. Powinien być udokumentowany zgodnie z art. 33 ust. 5 i zgłoszony do organu nadzoru.

Przykład 3
W trzecim przykładzie EROD zabiera nas do szpitala. Mamy tutaj do czynienia z tysiącami osób, których dane wrażliwe są przetwarzane. W wyniku ataku te dane zostają zaszyfrowane, ale jak ujawnia późniejsza analiza zdarzenia, nie zostają one ukradzione. Szpital dysponował kopią zapasową, jednak jej przywrócenie zajęło 2 dni, wobec czego wiele operacji musiało być przełożonych, a także obniżył się poziom oferowanych usług z powodu niedostępności systemów.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować, zgłosić organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

Ilość naruszonych danych i liczba osób, których dane dotyczą, są wysokie, ponieważ szpitale zazwyczaj przetwarzają ogromne ilości danych. Niedostępność danych ma duży wpływ na znaczną grupę osób i wiąże się to z możliwymi szkodami fizycznymi dla tych osób.

EROD zaznacza, że istotne znaczenie ma rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, których dotyczy naruszenie. Pomimo, że kopia zapasowa danych istniała i została przywrócona, nadal istnieje wysokie ryzyko ze względu na powagę konsekwencji dla osób, których dane dotyczą, wynikających z braku dostępności danych w momencie ataku i w kolejnych dniach.

Według EROD, w takiej sytuacji za konieczne uważa się powiadomienie organu, ponieważ w grę wchodzą szczególne kategorie danych osobowych, a ich przywrócenie może zająć dużo czasu, co może skutkować dużymi opóźnieniami w opiece nad pacjentami. Poinformowanie osób, których dane dotyczą, o naruszeniu jest konieczne ze względu na skutki dla pacjentów, nawet po przywróceniu zaszyfrowanych danych.

Chociaż dane dotyczące wszystkich pacjentów leczonych w szpitalu w ostatnich latach zostały zaszyfrowane, dotyczyło to tylko tych pacjentów, którzy mieli być leczeni w szpitalu w czasie, gdy system komputerowy był niedostępny. Bezpośrednia komunikacja z innymi pacjentami, w tym z tymi, którzy nie przebywali w szpitalu dłużej niż dwadzieścia lat, może nie być wymagana ze względu na wyjątek z art. 34 ust. 3 lit. c). W takim przypadku zostanie przekazana informacja publiczna lub podobny środek, dzięki któremu osoby, których dane dotyczą, są informowane w równie skuteczny sposób. Ta sprawa służy jako przykład ataku ransomware, który wiąże się z wysokim ryzykiem naruszenia praw i wolności osób.

Przykład 4
W przykładzie czwartym EROD zabiera nas do firmy organizującej transport publiczny, która padła ofiarą ataku ransomware. Dodatkowo, jak wykazała analiza logów, dane przetwarzane przez organizacje zostały wykradzione. Rodzaj naruszonych danych to podstawowe dane identyfikacyjne, numery dowodów osobistych oraz dane finansowe, jak np. dane kart kredytowych. Dotyczy to kilku tysięcy osób. Na domiar złego, kopia zapasowa danych przechowywana była w tym samym środowisku, wobec czego również została zaszyfrowana.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować, zgłosić organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

Chociaż kopia zapasowa była na miejscu, atak również na nią wpłynął. Samo to rozwiązanie budzi wątpliwości co do jakości wcześniejszych środków bezpieczeństwa informatycznego administratora i powinno zostać poddane dalszej analizie, ponieważ w dobrze zaprojektowanym trybie tworzenia kopii zapasowych mają być one przechowywane bez dostępu z głównego systemu, w przeciwnym razie mogą zostać naruszone w tym samym ataku.

EROD wskazuję na sytuacje, w której mamy zagrożenie nie tylko dostępności, ale także integralności danych, co wynika z faktu kradzieży danych. Dodatkowo liczba przetwarzanych danych oraz ich rodzaj (dane finansowe) jest kolejnym czynnikiem determinującym ryzyko. Nie bez znaczenia pozostaje fakt niemożności odtworzenia kopi zapasowej.

To naruszenie danych wiąże się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, ponieważ może prowadzić zarówno do szkód materialnych (np. straty finansowe), jak i niematerialnych (np. kradzieży tożsamości).

Akredytowany kurs IOD
potwierdzi Twoje wysokie kompetencje

Przygotuj się do pełnienia funkcji inspektora ochrony danych. Jakość kursu potwierdził Mazowiecki Kurator Oświaty. Zapraszamy!
WYBIERZ TERMIN
Komunikacja z osobami, których dane dotyczą, jest niezbędna, aby mogły one podjąć niezbędne kroki w celu uniknięcia szkód materialnych (np. zablokować swoje karty kredytowe). Oprócz udokumentowania naruszenia zgodnie z art. 33 ust. 5, powiadomienie organu nadzoru jest w tym przypadku obowiązkowe (art. 33 ust. 1), a administrator ma również obowiązek poinformować osoby, których dane dotyczą, o naruszeniu (art. 34 ust. 1). Te ostatnie mogłyby być podejmowane osobiście, ale w przypadku osób, w których dane kontaktowe nie są dostępne, administrator powinien to zrobić publicznie, np. poprzez powiadomienie na swojej stronie internetowej. W tym drugim przypadku wymagana jest precyzyjna i jasna komunikacja, widoczna na stronie głównej administratora, z dokładnymi odniesieniami do odpowiednich przepisów RODO.

Środki zaradcze przeciw atakom ransomware

EROD po omówieniu każdej grupy naruszeń proponuje przykładowe zabezpieczenia, pomagające się przed nimi uchronić. W każdy przypadku jednak lista ta nie jest wyczerpująca. Należy również pamiętać, iż każda czynność przetwarzania jest inna, dlatego administratorzy powinni podjąć decyzję, które środki najlepiej pasują do danej sytuacji.

  1. Regularne aktualizacje oprogramowania.
  2. Tworzenie i regularne testowanie kopii zapasowych. Ważne jest, aby kopie zapasowe nie były przechowywane w tym samym środowisku, co przetwarzane dane.
  3. Posiadanie aktualnego oraz kompleksowego oprogramowania antywirusowego.
  4. Posiadanie aktualnego, odpowiednio skonfigurowanego oraz efektywnego firewall’a, systemów wykrywania włamań.
  5. Cykliczne szkolenia pracowników.
  6. Odpowiednia polityka haseł, stosowanie uwierzytelnienia dwuskładnikowego.
  7. Regularnie przeprowadzane audyty oraz testy penetracyjne.
  8. Posiadanie zespołów reagowania na incydenty bezpieczeństwa.

Kradzież danych

EROD omawia w tym rozdziale najpopularniejsze ataki, gdzie wykorzystane zostały luki w zabezpieczeniach usług oferowanych przez administratora stronom trzecim. (np. wstrzyknięcie złośliwego kodu na stronę internetową. Najczęściej w związku z tymi atakami występują naruszenia poufności, a często również integralności.

Przykład 5
W przykładzie piątym EROD omawia przykład wstrzyknięcia złośliwego kodu na portal służący do szukania oraz aplikowania o pracę. Złośliwy kod sprawia, że dane osobowe, a co za tym idzie znajdujące się tam dane osobowe, były dostępne dla nieupoważnionych osób. Ustalono, iż „ofiarą” wycieku było 213 formularzy, jednak nie znajdowały się tam żadne szczególne kategorie danych osobowych. 

Stwierdzono, że sprawcy dysponowali narzędziami umożliwiającymi usuwanie historii nieautoryzowanych pobrań plików z serwera.  Atak został wykryty po miesiącu od zainstalowania kodu.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować, zgłosić organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

Autorzy Wytycznych 01/2021 wskazują, iż w takiej sytuacji administrator powinien najpierw określić rodzaj ataku, aby ocenić, jakie środki powinien podjąć. W tym konkretnym przypadku typ naruszenia był czynnikiem zwiększającym ryzyko, ponieważ nie tylko ograniczono poufność danych, ale atakujący miał również środki do wprowadzania zmian w systemie; w konsekwencji integralność danych również stała się wątpliwa.

Należy ocenić charakter, wrażliwość i ilość danych osobowych, których dotyczy naruszenie, aby określić, w jakim zakresie naruszenie dotknęło osoby, których dane dotyczą. Chociaż nie wpłynęło to na żadne szczególne kategorie danych osobowych, dostęp do danych zawiera znaczną ilość informacji o osobach z formularzy internetowych, a takie dane mogą być nadużywane na wiele sposobów (kierowanie na niezamówiony marketing, kradzież tożsamości itp.), więc powaga konsekwencji powinna zwiększyć ryzyko prawa i wolności osób, których dane dotyczą.

RODO.
Wsparcie się przydaje

Sam ustal zakres wspracia, aby zapewnić organizacji pełną zgodność z RODO przy optymalnych kosztach.
ZAMÓW OFERTĘ
EROD radzi, aby po rozwiązaniu problemu bazę danych porównać z bazą przechowywaną w bezpiecznej kopii zapasowej; pozwoli to na sprawdzenie, czy przestępca nie wprowadził zmian w zaatakowanej bazie. Administratorzy danych powinni przywrócić wszystkie systemy informatyczne, których to dotyczy, do znanego, czystego stanu, naprawić podatność na ataki i wdrożyć nowe środki bezpieczeństwa, aby uniknąć podobnych naruszeń danych w przyszłości, np. kontrole integralności plików i audyty bezpieczeństwa. Jeżeli dane osobowe zostały nie tylko wyprowadzone, ale również usunięte, administrator musi podejmować systematyczne działania w celu odzyskania danych osobowych w stanie sprzed naruszenia.

W świetle powyższego, ponieważ naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, zdecydowanie należy o tym poinformować osoby, których dane dotyczą, co oczywiście oznacza, że odpowiedni organ nadzorczy musi być powiadomiony o naruszeniu danych. Udokumentowanie naruszenia jest obowiązkowe, zgodnie z art. 33 ust. 5 RODO.

Przykład 6
Przykład szósty dotyczy witryny kulinarnej zaatakowanej przez wykorzystanie luki SQL Injection. Hasła w bazie danych przechowywane były w postaci zahashowanej, a użytkownikom odradzano tworzenie nazwy użytkownika jako adresu e-mail, a zamiast tego użycie pseudonimu. W wyniku ataku wyciekło 1200 nazw użytkownika i haseł w postaci szyfru. Ze względów bezpieczeństwa administrator e-mailem poinformował zainteresowane osoby i poprosił o zmianę haseł. 

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować.

W powyższym przykładzie zagrożona jest poufność danych, jednak ryzyko wpływu na prawa i wolności osób zmniejsza fakt, iż hasła, które wyciekły, były w formie szyfru, a żadne inne dane osobowe takie jak np. adres e-mail, numer telefonu, nie zostały naruszone. EROD jednak zwraca uwagę, że ocena ryzyka może ulec zmianie, jeśli rodzaj strony internetowej i dane, do których uzyskano dostęp, mogłyby ujawnić szczególne kategorie danych osobowych (np. strona internetowa partii politycznej).

W niektórych przypadkach przekazanie osobom, których dane dotyczą, można uznać za czynnik łagodzący, ponieważ osoby, których dane dotyczą, są również w stanie podjąć niezbędne kroki w celu uniknięcia dalszych szkód wynikających z naruszenia, na przykład zmiany hasła. W tym przypadku powiadomienie nie było obowiązkowe, ale w wielu przypadkach można to uznać za dobrą praktykę. Naruszenie należy udokumentować zgodnie z art. 33 ust. 5, ale nie jest wymagane powiadomienie organu nadzorczego ani komunikacja z osobami poszkodowanymi.

Przykład 7
W przykładzie siódmym EROD opisuje stronę bankowości elektronicznej, na którą przeprowadzono atak typu stuffing,  w wyniku którego przestępca zdołał zalogować się na 2000 kont bankowych, których właściciele korzystali z trywialnych haseł oraz uzyskał dostęp do danych łącznie 100 000 osób.

 Bank zdołał wychwycić wszystkie te logowania, a w wyniku dalszej analizy stwierdził, iż na żadnym z tych kont nie dokonano żadnych transakcji. Instytucja wyłączyła swoją stronę internetową oraz wymusiła zmianę haseł na każdym z dotkniętych atakiem kont. Bank poinformował o naruszeniu osoby, których hasła zostały odgadnięte.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować oraz zgłosić organowi nadzorczemu.

Środki zaradcze pozwalające ograniczyć prawdopodobieństwo oraz negatywne skutki ataków

Podobnie jak w przypadku ataków ransomware, niezależnie od wyniku i konsekwencji ataku, ponowna ocena bezpieczeństwa IT jest obowiązkowa dla administratorów w podobnych przypadkach. Przykładowa lista zalecanych środków:

  1. stosowanie najnowocześniejszego szyfrowania i zarządzania kluczami, zwłaszcza gdy przetwarzane są hasła, dane wrażliwe lub finansowe,
  2. regularna aktualizacja oprogramowania,
  3. stosowanie silnych metod uwierzytelniania, takich jak uwierzytelnianie dwuskładnikowe czy serwery uwierzytelniania,
  4. stosowanie odpowiednich, aktualnych, skutecznych i zintegrowanych zapór ogniowych, systemów wykrywania włamań i innych systemów ochrony,
  5. systematyczne audyty bezpieczeństwa IT i oceny podatności (testy penetracyjne),
  6. regularne przeglądy i testy w celu zapewnienia, że kopie zapasowe mogą posłużyć do przywrócenia danych, których integralność lub dostępność została naruszona.

Błąd ludzki

EROD podkreśla rolę błędu ludzkiego w naruszeniu danych osobowych, ze względu na jego powszechność. Ponieważ tego typu naruszenia mogą być zarówno zamierzone, jak i niezamierzone, administratorom danych bardzo trudno jest zidentyfikować luki i podjąć środki w celu ich uniknięcia.

Przykład 8
W przykładzie ósmym EROD zabiera nas do firmy, w której pracownik będący na okresie wypowiedzenia kopiuje dane biznesowe z bazy danych, do której ma dostęp, bo musi jeszcze wykonywać swoje obowiązki. Kilka miesięcy później, po odejściu z pracy, wykorzystuje zebrane w ten sposób dane (głównie podstawowe dane kontaktowe), aby skontaktować się z klientami firmy i zachęcić ich do nowej działalności.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować oraz zgłosić organowi nadzorczemu.

W tym konkretnym przypadku nie podjęto żadnych wcześniejszych działań, aby uniemożliwić pracownikowi kopiowanie danych kontaktowych klientów firmy, ponieważ potrzebował i miał legalny dostęp do tych informacji. Ponieważ realizacja większości relacji z klientami wymaga pewnego rodzaju dostępu pracownika do danych osobowych, te naruszenia mogą być najtrudniejsze do zapobieżenia. Ograniczenia w zakresie dostępu mogą ograniczać pracę, którą może wykonywać dany pracownik. Jednak dobrze przemyślane zasady dostępu i stała kontrola mogą pomóc w zapobieganiu takim naruszeniom.

Też wolisz profilaktykę niż leczenie?

Audyt zgodności z RODO to holistyczne badanie, które pokazuje, w którym miejscu jest organizacja.
ZOBACZ WIĘCEJ
Jak zwykle, podczas oceny ryzyka należy wziąć pod uwagę rodzaj naruszenia oraz charakter, wrażliwość i ilość danych osobowych. Tego rodzaju naruszenia są zazwyczaj naruszeniami poufności, ponieważ baza danych jest zwykle pozostawiona nienaruszona, a jej zawartość jest jedynie kopiowana w celu dalszego wykorzystania. Ilość danych, których to dotyczy, jest zwykle również niewielka lub średnia. W tym konkretnym przypadku nie miało to wpływu na żadne szczególne kategorie danych osobowych, pracownik potrzebował jedynie danych kontaktowych klientów, aby mógł się z nimi skontaktować po odejściu z firmy. W związku z tym przedmiotowe dane nie są wrażliwe.

Zmniejszenie negatywnych skutków naruszenia powyższego przypadku jest trudne. Konieczne może być podjęcie natychmiastowych działań prawnych, aby były pracownik nie nadużywał i nie rozpowszechniał dalej danych, a kolejnym krokiem powinno być uniknięcie podobnych przyszłych sytuacji. Administrator może próbować nakazać byłemu pracownikowi zaprzestanie wykorzystywania danych, ale powodzenie tej czynności jest co najmniej wątpliwe.

Ponieważ dane naruszenie nie będzie wiązało się z dużym zagrożeniem dla praw i wolności osób fizycznych, wystarczy zgłoszenie sprawy do organu nadzorczego. Jednak informacja dla osób, których dane dotyczą, może być również korzystna dla administratora danych, ponieważ lepiej byłoby, gdyby usłyszeli od firmy o wycieku danych, niż od byłego pracownika, który próbuje się z nimi skontaktować.

Przykład 9
Agent ubezpieczeniowy zauważył, że – prawdopodobnie przez błędne ustawienia pliku Excel otrzymanego pocztą elektroniczną – był w stanie uzyskać dostęp do informacji dotyczących dwudziestu klientów nadawcy. Jest związany tajemnicą zawodową i był jedynym odbiorcą wiadomości e-mail. Porozumienie pomiędzy administratorem danych a agentem ubezpieczeniowym zobowiązuje agenta do zgłaszania administratorowi danych naruszenia ochrony danych osobowych bez zbędnej zwłoki. Dlatego agent natychmiast zasygnalizował błąd, a administrator poprawił plik i wysłał go ponownie, prosząc agenta o usunięcie poprzedniego komunikatu. Zgodnie z powyższym ustaleniem agent musi potwierdzić usunięcie w pisemnym oświadczeniu, co uczynił. Uzyskane informacje nie zawierają żadnych szczególnych kategorii danych osobowych, a jedynie dane kontaktowe oraz dane o samym ubezpieczeniu (rodzaj ubezpieczenia, kwota). Administrator danych nie zidentyfikował żadnych szczególnych cech po stronie osób fizycznych lub siebie, które mogą mieć wpływ na poziom skutków naruszenia.

Co należy zrobić? 
Z uwagi na ryzyko należy: wewnętrzenie udokumentować oraz zgłosić organowi nadzorczemu.

W przeciwieństwie do poprzedniego przykładu, w tym przypadku naruszenie nie wynika z celowego działania pracownika, ale z niezamierzonego błędu ludzkiego spowodowanego nieuwagą.

Naruszenie danych dotyczy tylko poufności danych, a integralność i dostępność do nich pozostają nienaruszone. Naruszenie danych dotyczyło tylko dwudziestu klientów, a zatem ilość danych, których to dotyczy, można uznać za niewielką. Ponadto dane osobowe, których to dotyczy, nie zawierają danych wrażliwych. Połączenie małej liczby osób, których to dotyczy, natychmiastowego wykrycia naruszenia i środków podjętych w celu zminimalizowania jego skutków sprawia, że ten konkretny przypadek nie jest obarczony dużym ryzykiem. Ze względu na odpowiednie działania podjęte po naruszeniu danych, prawdopodobnie nie wpłynie to na prawa i wolności osób, których dane dotyczą. Ponadto, w grę wchodzą również inne okoliczności ograniczające ryzyko: agent podlega tajemnicy zawodowej, sam zgłosił problem do ADO i usunął plik na żądanie.

Oprócz udokumentowania naruszenia zgodnie z art. 33 ust. 5, nie ma potrzeby podejmowania innych działań.

Środki zapobiegawcze

  1. Programy szkoleniowe. EROD radzi, aby opracować program uświadamiający w celu przypomnienia pracownikom o najczęstszych błędach prowadzących do naruszenia ochrony danych osobowych oraz o tym, jak ich unikać.
  2. Ustanowienie solidnych i skutecznych praktyk, procedur i systemów w zakresie ochrony danych i prywatności.
  3. Wdrażanie technik wymuszania uwierzytelnienia użytkownika podczas uzyskiwania dostępu do wrażliwych danych osobowych.
  4. Wyłączenie konta użytkownika związanego z firmą, gdy tylko osoba opuści firmę.
  5. Sprawdzanie nietypowego przepływu danych między serwerem plików a stacjami roboczymi pracowników.
  6. Konfigurowanie zabezpieczeń w BIOS-ie lub za pomocą oprogramowania kontrolującego korzystanie z interfejsów komputerowych (np. blokowanie lub odblokowywanie USB / CD / DVD itp.).
  7. Wyłączanie otwartych usług w chmurze.
  8. Zakazanie i zapobieganie dostępom do znanych otwartych usług pocztowych.
  9. Egzekwowanie polityki czystego biurka.
  10. Automatyczne blokowanie wszystkich komputerów po określonym czasie bezczynności.
  11. Wykorzystywanie dedykowanych systemów do zarządzania danymi osobowymi, które stosują odpowiednie mechanizmy kontroli dostępu i zapobiegają pomyłkom ludzkim, takim jak wysyłanie komunikatów do niewłaściwego podmiotu. Korzystanie z arkuszy kalkulacyjnych i innych dokumentów biurowych nie jest odpowiednim sposobem zarządzania danymi klientów.

Więcej
zapraszamy na drugą część opracowania na temat przyjętych przez
Europejską Radę Ochrony Danych Wytycznych w sprawie przykładów zgłaszania naruszeń ochrony danych:
Wytyczne EROD 01/2021 dotyczące przykładów zgłaszania naruszeń ochrony danych - cz. II