Rzeczpospolita
Publicystyka

Zgłaszanie naruszeń ochrony danych osobowych: prezes UODO wydaje kolejne decyzje

Bieżąca analiza ryzyka, aktualizacja zabezpieczeń, a także rzetelne i terminowe wypełnianie obowiązków związanych z bezpieczeństwem danych osobowych powinny pomóc firmom uniknąć dotkliwych kar.

Publikacja: 06.07.2021 00:01

Zgłaszanie naruszeń ochrony danych osobowych: prezes UODO wydaje kolejne decyzje

Foto: Adobe Stock

Katarzyna Jaworska, Justyna Wilczyńska-Baraniak

W ostatnich dniach prezes UODO nałożył na zakład ubezpieczeniowy karę 160 tys. zł. Naruszenie polegało na wysłaniu e-mailem analizy potrzeb oraz oferty ubezpieczenia, gdzie znajdowały się imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informacja o przedmiocie ubezpieczenia do niewłaściwego odbiorcy. Informację o zdarzeniu prezes UODO otrzymał od pośrednika ubezpieczeniowego, którego pracownik pomylił się przy wpisywaniu adresu e-mail. Pośrednik jest administratorem takich danych klienta, jak imię i nazwisko. Co do pozostałych danych podmiotem zobowiązanym do zgłoszenia naruszenia były zakłady ubezpieczeniowe, które składały ofertę. Z tego powodu UODO zwróciło się do zakładów o wyjaśnienie, czy posiadają wiedzę o zajściu i czy dokonały analizy zdarzenia. W odpowiedzi jeden z ubezpieczycieli stwierdził, że wprawdzie doszło do naruszenia, jednak w jego ocenie nie było konieczne notyfikowanie go. Zdaniem organu sposób, w jaki spółka dokonała oceny, był błędny.

Na cudzych błędach

Niedawno prezes UODO ukarał spółkę za niewdrożenie skutecznego mechanizmu reagowania na incydenty we współpracy z firmą kurierską. Spółka wysyłała do klientów umowy na świadczenie usług oraz swoje produkty. Niekiedy przesyłki były wydawane przez kurierów niewłaściwej osobie. Równie często dochodziło do zagubienia przesyłek lub ich kradzieży. Mimo że błąd leżał po stronie przewoźnika, takie sytuacje mogą stanowić incydent bezpieczeństwa, który w sprawie danych znajdujących się w środku przesyłki obciąża adresata-administratora. Ponieważ spółka przesyłała klientom umowy, przy ocenie powagi naruszenia należało wziąć pod uwagę takie dane jak numer PESEL, seria i numer dowodu osobistego czy inne dane wskazywane w umowie. Wprawdzie spółka dokonywała zgłoszeń i informowała klientów o zdarzeniu prawidłowo, bo w ciągu 72 godzin od otrzymania informacji o zdarzeniu od firmy kurierskiej, ale przy analizie sprawy UODO zwrócił uwagę na znaczny upływ czasu między datą zdarzenia a jego stwierdzeniem i zgłoszeniem. Ponad 60 proc. naruszeń w okresie od stycznia do maja 2020 r. było zgłoszonych w terminie przekraczającym 60 dni od zagubienia przesyłki lub pomyłki kuriera. W konsekwencji prawidłowi odbiorcy paczek byli informowani o możliwych konsekwencjach, które mogą ich spotkać, np. możliwości nadużyć finansowych lub zawarcia umowy w ich imieniu, z dużym opóźnieniem. UODO stwierdził, że brak szybkiej reakcji ze strony podmiotu współpracującego (firma kurierska informowała spółkę o błędach w doręczeniach po kilkudziesięciu dniach) nie zwalnia administratora z odpowiedzialności za naruszenia.

Wcześniejsza głośna sprawa dotyczyła wysłania e-maila z niezabezpieczonym hasłem załącznikiem do niewłaściwego odbiorcy. Błąd pracownika kosztował spółkę 136 tys. zł. W załączniku znajdowały się imiona, nazwiska, adresy e-mail, numery telefonów i daty rejestracji 259 osób. Po wykryciu incydentu spółka odebrała oświadczenie od odbiorcy, że trwale zniszczył załącznik. Spółka oceniła również o powagę naruszenia zgodnie z rekomendowaną przez UODO metodologią ENISA, uzyskując wynik, który pozwala na nienotyfikowanie zdarzenia do UODO ze względu na niskie ryzyko naruszenia praw osób, których dane były w załączniku. Informacje o wydarzeniu UODO otrzymał od nieprawidłowego odbiorcy, wobec czego wszczął postępowanie. Jakich błędów się dopatrzył?

Po pierwsze, spółka w swoich obliczeniach nie uwzględniła, że końcowy wynik ENISY powinien być podwyższony, jeżeli zdarzenie obejmuje dane znacznej liczby osób. Dodatkowo odebranie oświadczenia o usunięciu załącznika nie jest skutecznym środkiem minimalizującym ryzyko negatywnych skutków. Zostało ono odebrane po znacznym upływie czasu, tj. po pięciu dniach. Bezpieczniejsze byłoby odebranie oświadczenia, że odbiorca nie wykorzystał załącznika w żaden sposób, nie skopiował go i nie ujawnił innym osobom. Uzyskanie informacji od odbiorcy o jego działaniu zostało ocenione jako okoliczność łagodząca, więc kara była niska.

Ciekawe naruszenie zdarzyło się na jednej z polskich uczelni. Zeszłoroczna sesja egzaminacyjna ze względów pandemicznych odbywała się online. Studenci byli identyfikowani poprzez okazanie dowodu osobistego lub legitymacji studenckiej. Przebieg egzaminu był nagrywany. Po zakończeniu jednego z egzaminów pracownik uczelni nie zamknął pokoju wirtualnego, wobec czego dostęp do nagrań mieli inni studenci. Mimo nalegań studentów, którzy zaczęli zastrzegać swoje dowody osobiste, władze uczelni nie zgłosiły zdarzenia do UODO.

Organ, badając sprawę, dopatrzył się umyślnego działania administratora. Nie przyjęto wyjaśnień uniwersytetu, że tylko niewielka grupa osób nieuprawnionych zapoznała się z nagraniami. Byli to koledzy z roku, a zatem osoby znane uczelni z imienia i nazwiska. Zdaniem urzędu nie jest istotne, czy osoby postronne faktycznie weszły w posiadanie cudzych danych. Decyduje to, że zaistniało takie ryzyko. Uczelnia otrzymała 25 tys. zł kary, przy czym dla podmiotów publicznych maksymalna wynosi 100 tys. zł.

Wzrost liczby

W sprawozdaniu za 2019 r. wskazano, że do UODO wpłynęło ponad 6 tys. zgłoszeń o naruszeniach. To gwałtowny wzrost względem poprzedniego roku (ok. 2 tys.). Najwięcej przypadków w sektorze prywatnym dotyczyło branży telekomunikacyjnej, ubezpieczeniowej, podmiotów sektora finansowego oraz służby zdrowia.

Zdaniem prezesa UODO wzrost notyfikacji wynika z większej świadomości administratorów oraz obaw przed nałożeniem kary finansowej za brak zgłoszenia. Mając jednak na względzie praktykę rynkową, wydaje się, że różnica między liczbą zgłoszeń a faktycznych incydentów jest wysoka. Wśród wielu administratorów panuje przekonanie, że zgłoszenie naruszenia jest niejako zaproszeniem UODO na kontrolę do firmy. Z tego powodu końcowe wyniki oceny powagi naruszeń są sztucznie zaniżane i ujmowane w rejestrach naruszeń jako incydenty mało istotne z punktu widzenia potencjalnego naruszenia praw. Praktyczna wiedza, jakie zdarzenia stanowią naruszenia, wciąż nie jest powszechna. Informacje o tym, że naruszeniem może być wysłanie e-maila z jawną listą pozostałych odbiorców, zagubienie pendrive'a albo wyrzucenie dokumentów pracowników bez zniszczenia to dla wielu zaskoczenie.

Najnowsze statystyki zgłaszania naruszeń będą znane w sierpniu. Możemy się spodziewać kolejnego wzrostu liczby incydentów, szczególnie w obszarze cyfrowych zasobów danych. Okres pandemii to czas żniw dla hakerów. Zdaniem Izumi Nakamitsu – szefa ONZ ds. rozbrojenia podczas obecnego kryzysu liczba ataków phishingowych wzrosła o 600 proc.

Jakie działania podjąć

Incydenty naruszenia bezpieczeństwa są powszechne i dotyczą każdej firmy. Może do nich dojść na skutek nieuwagi pracownika, usterki technicznej, pomyłki firmy współpracującej, oszustw lub cyberataków. Nie jest możliwe całkowite uchronienie się przed naruszeniem, nawet przy zastosowaniu najbardziej innowacyjnych środków bezpieczeństwa. Z punktu widzenia zarządzania ryzykiem organizacji istotne jest podejmowanie takich działań, które pomogą uniknąć kar finansowych. Kluczem do sukcesu jest podejmowanie działań zgodnie z treścią art. 33 i 34 RODO. Wnioski można też wysnuć z przypadków firm, które takie konsekwencje już poniosły.

Przykład zakładu ubezpieczeniowego pokazuje, że samo wdrożenie dokumentacji RODO nie jest wystarczające do uniknięcia naruszeń w firmie. Brak uwzględnienie wypowiedzi i wytycznych organu przy ocenie poszczególnych zdarzeń może skutkować nałożeniem kary.

Przypadek drugiej z omawianych spółek ma uniwersalny wydźwięk. W zasadzie każda firma korzysta z usług poddostawców, którym powierza dane swoich pracowników, klientów czy kontrahentów. Po błędzie kuriera czy firmy przewozowej najczęściej to adresat będzie odpowiadał za naruszenie bezpieczeństwa danych. Dużym wyzwaniem jest zapewnienie efektywnego mechanizmu działania, który zmobilizuje dostawców usług do sprawnego i szybkiego działania po incydencie.

Do codziennych i powszechnych przypadków należą też pomyłki przy wysyłaniu wiadomości e-mail. O tym, czy mamy do czynienia z naruszeniem, zdecyduje treść wiadomości. Nawet jeżeli będzie ona trywialna, a zakres danych raczej nieryzykowny, warto wziąć pod uwagę dodatkowe okoliczności towarzyszące zdarzeniu. Decyzja prezesa UODO bije w strategię administratorów, którzy nie chcą „zapraszać" urzędu na kontrolę. Wraz ze wzrostem świadomości administratorów rośnie też świadomość podmiotów danych. Informacje o incydencie mogą więc trafić do UODO z różnych źródeł.

UODO rozwiał też wątpliwości administratorów, jakie elementy utraty poufności brać pod uwagę przy ocenie powagi incydentu. Istotne jest nie faktyczne ujawnienie, ale istnienie okazji do zapoznania się z danymi przez dużą liczbę nieuprawnionych odbiorców. W przypadkach, które dla administratora nie są oczywiste, bezpieczniejsze jest zgłoszenie tego.

Aktywność UODO, jak też rosnąca liczba incydentów powinny stanowić impuls do zweryfikowania oraz zaktualizowania dokumentacji i procedury zgłaszania naruszeń. Przykładowy zestaw działań dla administratorów to aktualizacja procedury zgłaszania naruszeń poprzedzona omówieniem z osobami odpowiedzialnymi, czy proces zgłaszania jest prowadzony w organizacji efektywnie. Kolejne to weryfikacja rejestru naruszeń pod kątem kompletności i szczegółowości wpisów. Dobrą praktyką jest wyciągnięcie wniosków z najczęściej pojawiających się incydentów i wdrożenie środków zaradczych. Kolejne to weryfikacja umów z dostawcami o współpracy przy zgłaszaniu naruszeń; w przypadkach ryzykownych dla zasobów danych rekomendowane jest wprowadzanie mechanizmów mobilizujących kontrahentów, np. wysokich kar umownych. Warto też prowadzić szkolenia, by zwiększyć świadomość pracowników.

Incydenty przydarzają się każdemu, nawet najlepiej zabezpieczonym organizacjom. Podstawą wdrożenia skutecznego mechanizmu zgłaszania naruszeń jest pogodzenie się z faktem, że do nich dojdzie. Bieżące analizy ryzyka, aktualizacja zabezpieczeń, procedur i dokumentacji, jak też rzetelne i terminowe wypełnianie zgłoszeń powinny pomóc uniknąć dotkliwych kar finansowych.

Justyna Wilczyńska-Baraniak jest adwokatem w Kancelarii EY Law, Liderem Zespołu Własności Intelektualnej, Technologii i Danych Osobowych, a Katarzyna Jaworska jest tam prawnikiem

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Dane Osobowe

W ostatnich dniach prezes UODO nałożył na zakład ubezpieczeniowy karę 160 tys. zł. Naruszenie polegało na wysłaniu e-mailem analizy potrzeb oraz oferty ubezpieczenia, gdzie znajdowały się imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informacja o przedmiocie ubezpieczenia do niewłaściwego odbiorcy. Informację o zdarzeniu prezes UODO otrzymał od pośrednika ubezpieczeniowego, którego pracownik pomylił się przy wpisywaniu adresu e-mail. Pośrednik jest administratorem takich danych klienta, jak imię i nazwisko. Co do pozostałych danych podmiotem zobowiązanym do zgłoszenia naruszenia były zakłady ubezpieczeniowe, które składały ofertę. Z tego powodu UODO zwróciło się do zakładów o wyjaśnienie, czy posiadają wiedzę o zajściu i czy dokonały analizy zdarzenia. W odpowiedzi jeden z ubezpieczycieli stwierdził, że wprawdzie doszło do naruszenia, jednak w jego ocenie nie było konieczne notyfikowanie go. Zdaniem organu sposób, w jaki spółka dokonała oceny, był błędny.

Pozostało 90% artykułu
Tomasz Siemiątkowski
Opinie Prawne
Tomasz Siemiątkowski: Szkodliwa nadregulacja w sprawie cyberbezpieczeństwa
Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!
Materiał Promocyjny
Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!
Minister rodziny, pracy i polityki społecznej Agnieszka Dziemianowicz-Bąk (L) oraz posłanki Lewicy A
Opinie Prawne
Tomasz Pietryga: Czy wolne w Wigilię ma sens? Biznes wcale nie musi na tym stracić
Robert Gwiazdowski: Awantura o składki. Dlaczego Janusz zapłaci, a Johanes już nie?
Opinie Prawne
Robert Gwiazdowski: Awantura o składki. Dlaczego Janusz zapłaci, a Johanes już nie?
Łukasz Guza: Trzy wnioski po rządowych zmianach składki zdrowotnej
Opinie Prawne
Łukasz Guza: Trzy wnioski po rządowych zmianach składki zdrowotnej
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Materiał Promocyjny
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Warszawa, 26.02.2024. Minister sprawiedliwości, prokurator generalny Adam Bodnar oraz wiceminister s
Opinie Prawne
Tomasz Pietryga: Rząd wypuszcza więźniów. Czy to rozsądne?
Opel Movano w leasingu 105% – sprawdź teraz!
Materiał Promocyjny
Opel Movano w leasingu 105% – sprawdź teraz!
Advertisement
e-Wydanie