utworzone przez Anna Zamojcin | gru 4, 2020
Incydent w SGGW – studium przypadku
Musimy mieć świadomość, że do naruszeń dochodzi codziennie, a dane osobowe każdego Polaka gdzieś już zapewne wyciekły. W tym artykule omówimy sobie incydent, który miał miejsce w 2019 r. i w konsekwencji którego w sierpniu 2020 r. PUODO nałożył karę administracyjną w wysokości 50 tys zł. Incydent ten mógłby przejść bez większego echa, gdyby nie dwa czynniki – dotyczył on jednej z największych uczelni w Polsce, i po drugie – popełniono tu wszystkie możliwe podstawowe błędy związane z ochrona danych osobowych. A zaczęło się od prozaicznego zdarzenia jakim była kradzież prywatnego laptopa jednego z pracowników SGGW.
Kradzież urządzenia zawierającego dane osobowe
Kradzież służbowego lub prywatnego komputera, tabletu czy telefonu nie jest zdarzeniem niecodziennym. Może być wynikiem włamania, rozboju czy zwykłej niefrasobliwości, gdy nie będziemy zwracać uwagi na nasze rzeczy lub przez nieuwagę gdzieś je zostawimy. Takie rzeczy się zdarzają i będą zdarzać, dlatego przed skutkami kradzieży urządzenia musimy się zabezpieczać w inny sposób. A dane osobowe to prawdopodobnie nie są jedyne cenne dla Twojej firmy dane, które na takim laptopie mogą się znajdować.
Z komunikatu umieszczonego na stronach uczelni dowiadujemy się, że zbiór danych, które były przetwarzane na laptopie pracownika SGGW był bardzo obszerny.
Na dysku komputera znajdowały się dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne – imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.
Uczelnia, po stwierdzeniu naruszenia postępowała zgodnie z nałożonym na nią obowiązkiem wynikającym z artykułu 34 RODO. Poinformowała ona o tym fakcie potencjalnie poszkodowane osoby. Jednak my postarajmy się z jej błędów wyciągnąć odpowiednie wnioski.
Niezaszyfrowany nośnik danych osobowych
Choć informacji tej nie ma w komunikacie, to wszystko wskazuje na to, że dysk twardy w skradzionym komputerze nie był zaszyfrowany. Jest też możliwość, że laptop pracownika SGGW w chwili kradzieży był włączony lub tylko uśpiony. Jest to jednak mniej prawdopodobne. Gdyby dane zapisane na dysku były zaszyfrowane, najprawdopodobniej nie byłoby konieczności informowania o tym i zgłaszania incydentu do UODO. Pisałam o tym szerzej w artykule „Naruszenie ochrony danych – nie panikuj, tylko się przygotuj„. Jeżeli pamięć dowolnego urządzenia byłaby zaszyfrowana, a samo urządzenie wyłączone lub w stanie hibernacji, to dane byłyby bezpieczne i niemożliwe do odczytania przez złodzieja.
Najlepiej, aby szyfrowanie dysków było włączone na każdym urządzeniu, za pomocą którego pracownik ma dostęp do danych firmowych. Tę dobrą praktykę należy stosować zawsze. Postępuj tak, gdy za pomocą urządzenia uzyskuje on dostęp do danych osobowych. Nie zapominaj o innych cennych dla Twojej firmy dokumentów a nawet poczcie elektronicznej. Dostęp do nich także powinien obywać się z urządzenia z włączonym szyfrowaniem. Nie zapomnij także, aby szyfrować wszelkie dyski zewnętrzne czy pamięci typu pendrive.
Brak kontroli i monitoringu dostępu do plików
Tak poważnego incydentu można byłoby uniknąć także poprzez odpowiednią kontrolę i rejestrację dostępu do plików, w których zapisane były dane osobowe. Nie traktuj jednak tego mechanizmu jako alternatywę dla szyfrowania, gdyż ma ono swoje ograniczenia.
Kontrola i monitoring dostępu do plików są dzisiaj o wiele bardziej rozbudowane niż jeszcze parę lat temu. Ten skok był możliwy między innymi dzięki temu, że co raz więcej usług realizujemy w tzw. chmurze. Nie na własnych serwerach a jako usługę, którą kupujesz od zewnętrznej firmy. Jedną z nich jest choćby usługa przechowywania plików Microsoft OneDrive, która jest składnikiem pakietu Microsoft Office 365. Odpowiednia ochrona nie ogranicza się jednak tylko do plików zapisanych na OneDrive. Wykorzystasz ją chroniąc dowolne pliki znajdujące się na komputerach.
Usługa ta to Azure Information Protection, a jej licencja kosztuje 1,70 EUR miesięcznie dla każdego użytkownika. Jest to moim zdaniem bardzo niska cena za zaawansowane narzędzie. Jej działanie polega w skrócie na tym, że do każdego pliku możemy przypisać odpowiednią etykietę. Z tą etykietą powiązana jest polityka, w której zdefiniowanych jest wiele atrybutów bezpieczeństwa. Opcję pozwalającą na skonfigurowanie, co ile dni muszą być odświeżane uprawnienia do pliku. Dzieje się to przez połączenie z centralnym serwerem usługi za pośrednictwem sieci Internet. Sprawdzenie odbywa się automatycznie, o ile uprawniony użytkownik jest zalogowany.
Funkcjonalność pozwalającą na skonfigurowanie swego rodzaju terminu ważności dokumentu. Możemy go ustawić w postaci konkretnej daty lub liczby dni. Gdy tak skonfigurowana ważność dokumentu wygaśnie nikt nie będzie w stanie odczytać jego zawartości.
Oprócz wymuszania samej kontroli administratorzy dostają możliwość śledzenia i raportowania kto i kiedy otwierał wskazany plik. Pozwala to na ocenę, czy nieuprawniony dostęp do danych osobowych z dużym prawdopodobieństwem nastąpił, czy nie.
Zasada minimalizacji w RODO
Pamiętasz o zasadzie minimalizacji? Mówi ona, że administrator nie powinien przetwarzać więcej danych osobowych, niż jest to niezbędne do osiągnięcia celu przetwarzania. Podobnie postępuj, jeżeli chodzi o ilość danych, do których Ty i Twoi pracownicy macie w danej chwili dostęp. Z komunikatu SGGW wynika, że skradziono prywatny laptop, na który dane zostały skopiowane w sposób nieuprawniony. Odpowiednie korzystanie z narzędzi opisanych w poprzednim akapicie powinno pozwolić administratorom wykryć taką sytuację i zapobiec wynoszeniu danych. Przed takim wyzwaniem stoją wszyscy przedsiębiorcy pozwalający na dostęp do firmowych zasobów z prywatnych urządzeń.
Ochrona powinna odbywać się zarówno w warstwie technicznej, jak i przez wdrożenie odpowiednich polityk i procedur w firmie. Twój zespół powinien mieć dostęp jedynie do tych danych, które są niezbędne do wykonania stojącego przed nim zadania. Załóżmy, że pracownikowi SGGW skradziono nie prywatny laptop, na który kopiował dane w sposób nieuprawniony, a służbowy komputer, który wykorzystywał do codziennej pracy.
Jeżeli był on odpowiedzialny za proces rekrutacji na rok akademicki 2019/2020 to raczej nie powinien mieć już dostępu do danych kandydatów z lat ubiegłych, a już na pewno nie do tak szerokiego zbioru danych. Napisanie i wdrożenie odpowiednich polityk i regulaminów to skomplikowane zadanie spoczywające na barkach zarówno administratora danych, jak i zespołu IT. Konieczne są też wartościowe i regularne szkolenia dla osób, które mają dostęp do przetwarzanych danych osobowych.
Przeczytaj też Double opt-in przy zbieraniu zgód
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | wrz 2, 2020
72 godziny na zgłoszenie naruszenia
Odpowiedzialny administrator danych osobowych dba o to, by odpowiednio zabezpieczyć wszystkie zagadnienia związane z przetwarzaniem danych osobowych. Polega to zarówno na wprowadzeniu odpowiednich technicznych środków ochrony, procedur, szkoleniu pracowników i współpracowników, jak i podpisaniu odpowiednich upoważnień czy umów powierzenia. Odpowiedzialny administrator jest też przygotowany na sytuację, gdy nastąpi incydent związany z naruszeniem ochrony danych. Specjaliści od analizy ryzyka i bezpieczeństwa są zgodni, że należy myśleć w kategoriach „kiedy nastąpi”, a nie „czy nastąpi” takie naruszenie. Po prostu żyjemy i pracujemy w świecie elektroniki i technologii, a najbardziej zawodnym zawsze będzie czynnik ludzki. Dlatego ważne jest, aby administrator danych osobowych wiedział, jakie ciążą w takiej sytuacji na nim obowiązki. To właśnie z tytułu niewłaściwego postępowania, czy wręcz próby zatajenia informacji o naruszeniu, UODO może nakładać najbardziej dotkliwe kary finansowe.
Czym jest naruszenie ochrony danych osobowych
Naruszenie bezpieczeństwa w RODO zdefiniowane jest w sposób następujący:
„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
RODO, artykuł 4 punkt 12
W motywie 75 preambuły znajdziemy ponadto przykłady, kiedy występuje ryzyko naruszenia ochrony danych osobowych. Są to między innymi sytuacje, które mogą prowadzić do:
- uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych
- dyskryminacji
- kradzieży tożsamości lub oszustwem dotyczącym tożsamości
- straty finansowej
- naruszenia dobrego imienia
- naruszenia poufności danych chronionych tajemnicą zawodową
- nieuprawnionego odwrócenia pseudoanonimizacji
- wszelkiej znacznej szkody gospodarczej lub społecznej
Jednocześnie naruszeniem ochrony danych osobowych występuje zawsze, jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności, lub wyroków skazujących i naruszeń prawa, lub związanych z tym środków bezpieczeństwa.
Bezpieczeństwo danych osobowych, czyli RODO w interesie Twojej firmy!
RODO nic nie mówi o tym, jak ma wyglądać bezpieczeństwo procesu przetwarzania. Znajdziemy w nim ogólne zasady, którym ma ono podlegać. Wymaga też od administratora analizy, jakie dane osobowe i w jakim celu są przetwarzane, czyli prowadzenia rejestru czynności przetwarzania. Musi on także dokonać analizy ryzyka konsekwencji, jakie mogą się wiązać dla osoby, która nam swoje dane powierzyła, gdy wystąpi naruszenie ochrony tych danych. Do administratora należy na tej podstawie zapewnienie odpowiednich zabezpieczeń, zarówno technicznych jak i proceduralnych. Podjęte środki bezpieczeństwa, w zależności od wielkości firmy, skali działalności, czy rodzaju przetwarzanych danych mogą się diametralnie między sobą różnić.
Czy wdrożenie tych bezpiecznych rozwiązań będzie kosztowne i czasochłonne, zależy od przeprowadzonej przez Ciebie analizy oraz podjętych decyzji. Z moich obserwacji wynika, że osoby prowadzące mikro i małe przedsiębiorstwa z gałęzi e-commerce, edukacji czy usług nie powinny mieć z tym większych problemów. Tak naprawdę wiele z technicznych mechanizmów ochrony powinno być przez Ciebie stosowanych od dawna także w życiu prywatnym.
Odnoszą się one do bezpiecznego korzystania z komputera, Internetu i poczty elektronicznej, przechowywania czy przesyłania plików. Zaleca się stosowanie odpowiedniego oprogramowania wykrywającego złośliwe pliki. Wszyscy powinniśmy stosować zasadę ograniczonego zaufania do tego, co mówią i za kogo podają się osoby do nas dzwoniące czy piszące. Wiele organizacji wydało swoje przewodniki po rekomendowanych najlepszych praktykach, które uwzględniają specyfikę pracy przedsiębiorstw z danej branży. Znajdziemy w nich też przykłady, czym może być naruszenie ochrony danych osobowych w procesach przetwarzania charakterystycznych dla branży.
Popraw bezpieczeństwo wszystkich informacji
Jeżeli w tym momencie widzisz tylko piętrzące się przed Tobą obowiązki i rosnące koszty, to mam dla Ciebie dwie dobre informacje. Po pierwsze wdrożenie technicznych zabezpieczeń czy nowych procedur nie musi być kosztowne. Większość znanych programów wspomagających prowadzenie firmy jest odpowiednio już przygotowana i nie musisz ich wymieniać. Także większość dostawców usług jest od początku gotowa ze swoimi produktami, by być w zgodzie z RODO. Jeżeli używasz usług Microsoft Office 365 czy Google G Suite to może nawet nie wiesz o wbudowanych w nich możliwościach ochrony i nadzoru.
Druga wiadomość jest dla Ciebie jeszcze lepsza. Jakiekolwiek zmiany nie wprowadzisz, to wszystko, co zrobisz, będzie chronić nie tylko przetwarzanie danych osobowych, ale wszystkie najcenniejsze informacje w Twojej firmie. Mogą to być przykładowo pliki z cennikami od producenta, którego Twoja firma jest dystrybutorem w Polsce, dokumenty serwisowe, plany handlowe czy marketingowe i inne. Zarówno te przechowywane w formie elektronicznej, jak i tradycyjnej. Dobrze wiesz, co jest dla Twojej firmy największym skarbem. Dlatego przestań patrzeć na RODO jak na zły obowiązek, a zacznij jak na szansę poprawy jej bezpieczeństwa.
Zgłoszenie naruszenia
Postępowanie gdy wykryjesz naruszenie ochrony danych osobowych powinno być jasną spisaną procedurą czynności, które należy wykonać krok po kroku. Jeżeli zatrudniasz parę osób, pamiętaj, by przypisać kto jest za wykonanie danej czynności odpowiedzialny, oraz kto będzie podejmował decyzje. Postaraj się, aby decyzyjne zawsze były co najmniej dwie osoby, na wypadek, gdyby jedna z nich była chora lub na urlopie. Jest to o bardzo ważne. Jeżeli naruszenie będzie musiało być zgłoszone do Urzędu Ochrony Danych Osobowych, to masz na to tylko 72 godziny od momentu jego wykrycia. Niezależnie od tego, każdy incydent musi być odnotowany w wewnętrznym rejestrze – możesz go prowadzić na przykład w dedykowanym arkuszu kalkulacyjnym czy dokumencie tekstowym.
Ponadto, w sytuacji, gdy wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie takie nie będzie konieczne, jeżeli wdrożysz odpowiednie techniczne i organizacyjne środki ochrony i będą one stosowane. Ponadto musisz wdrożyć środki eliminujące prawdopodobieństwo wysokiego ryzyka. Od informowania poszkodowanych możesz też odstąpić, gdyby wymagałoby ono niewspółmiernie dużego wysiłku. Pamiętaj jednak, że każda z tych sytuacji to subiektywna ocena Twoja jako administratora, oraz kontrolera z UODO, jeżeli będzie on przyglądał się sprawie. Dlatego warto wszystko przemyśleć na spokojnie, a nie pod wpływem stresu związanego z naruszeniem. Procedurę zgłaszania incydentu znajdziesz w pakietach dokumentacji RODO dla firm. Jeśli prowadzisz jednoosobową firmę to optymalny będzie Pakiet dokumentacji RODO dla jednoosobowej firmy, natomiast dla przedsiębiorców zatrudniających pracowników odpowiedni będzie Pakiet dokumentacji RODO dla firm zatrudniających pracowników.
Napisz procedurę postępowania
Przykładowe postępowanie po wykryciu naruszenia może wyglądać następująco:
- Zebranie informacji o incydencie:
- Co się stało, kiedy i gdzie?
- Jak wykryto lub kto zgłosił naruszenie?
- Jakie kategorie danych były przedmiotem incydentu?
- Jaki jest zasięg incydentu, ilu jest potencjalnie poszkodowanych?
- Potwierdzenie wystąpienia incydentu przez drugiego pracownika, lub firmę zewnętrzną.
- Jakie środki ochrony danych osobowych wdrożono i czy były one rzeczywiście zastosowane.
- Analiza skali incydentu.
- Analiza, czy wystąpiło wysokie naruszenia praw lub wolności osób fizycznych.
- Odnotowanie incydentu w wewnętrznym rejestrze naruszeń.
Po przeprowadzonym postępowaniu należy podjąć decyzję co do poinformowania o incydencie UODO oraz osoby potencjalnie poszkodowane. Procedurę zgłaszania incydentu, jak i odpowiednie formularze, znajdziesz na stronie Urzędu. Ponadto w rejestrze naruszeń warto wpisać jakie przesłanki były brane pod uwagę przy podejmowaniu decyzji o zgłoszeniu incydentu lub zastosowaniu jednego z wyłączeń od tego obowiązku.
Przykłady naruszeń
Poniżej znajdziesz kilka przykładów incydentów oraz przesłanek, które mogą być wiążące do podjęcia decyzji o zgłoszeniu naruszenia do UODO, lub odstąpienia od tej czynności. Pamiętaj, by nie stosować ich bezkrytycznie – zawsze musisz samodzielnie dokonać oceny sytuacji.
Zgubienie lub kradzież laptopa
Kradzież lub zgubienie sprzętu to częste sytuacje. Odpowiednia ocena zależy od wdrożonych zabezpieczeń a także odpowiedniej edukacji osób.
- Nie zgłaszamy, jeżeli laptop był wyłączony lub w stanie hibernacji oraz włączone było szyfrowanie wszystkich dysków znajdujących się w urządzeniu.
- Zgłaszamy, jeżeli co najmniej jeden z dysków nie był zaszyfrowany lub w sytuacji, gdy komputer był uruchomiony lub w stanie uśpienia.
Zgubienie lub kradzież dysku przenośnego lub pamięci pendrive
- Nie zgłaszamy, jeżeli dysk lub pendrive były w całości zaszyfrowane (nie tylko pojedyncze pliki)
- Zgłaszamy, jeżeli dysk lub pendrive nie były w całości zaszyfrowane lub istnieją co do tego wątpliwości.
Pozostawiony otwarty sejf lub zamykana szafa z dokumentami osobowymi pracowników
- Nie zgłaszamy, jeżeli pracownik o niedopatrzeniu się szybko zorientował i natychmiast wrócił i zamknął szafę, lub monitoring potwierdził, że nikt nie miał do niej i pomieszczenia dostępu.
- Zgłaszamy, jeżeli istnieje prawdopodobieństwo, podejrzenie lub pewność, że ktoś miał dostęp do szafy lub nawet samego pomieszczenia.
Niewłaściwie zaadresowana poczta elektroniczna
- Nie zgłaszamy, jeżeli z adresu jak i treści poczty nie wynika jednoznacznie kto jest odbiorcą (na przykład wysyłamy mail na alias pocztowy) i nie zwiera w treści żadnych danych osobowych
- Zgłaszamy, gdy prawowity odbiorca, lub inne osoby są identyfikowalne
Aktywne konta pracowników, którzy już nie są zatrudnieni
Jakakolwiek utrata kontroli nad danymi jest już sama w sobie naruszeniem. W większych firmach zdarza się, że przez niedopatrzenie odchodzącemu pracownikowi nie zostanie zablokowany dostęp do służbowego konta lub poczty.
- Nie zgłaszamy, jeżeli na podstawie logów z serwera potwierdzimy, że nikt nie miał dostępu do konta od chwili rozwiązania współpracy z pracownikiem
- Zgłaszamy, gdy istnieje prawdopodobieństwo nieuprawnionego dostępu
Podanie danych przez telefon niezweryfikowanemu rozmówcy
Wyłudzenia przez telefon nie są niczym nowym i nadal są powszechne. Ktoś dzwoniący do księgowej może podawać się za pracownika ZUS i pytać o dane osobowe pracowników. Ważne jest odpowiednie szkolenie Twojej kadry oraz stosowanie zdroworozsądkowej zasady ograniczonego zaufania.
- Nie zgłaszamy, jeżeli pracownik w porę zorientował się w zagrożeniu i oszacujemy ryzyko na podstawie udostępnionych w ten sposób danych na niskie.
- Zgłaszamy, w każdym innym przypadku.
Niepoprawne usunięcie danych z nośników elektronicznych
Nie usunęliśmy odpowiednio danych z telefonu, tabletu czy komputera pracownika przed przekazaniem sprzętu innej osobie, oddaniem do serwisu lub odsprzedażą. Pamiętaj, że samo formatowanie dysku nie wystarcza, a niektóre nośniki wymagają fizycznego zniszczenia.
- Nie zgłaszamy, gdy dane na nośniku były niekompletne lub zanonimizowane.
- Zgłaszamy w każdym innym przypadku.
Wyrzucenie dokumentów na śmietnik
O sytuacji takiej mówimy nawet wtedy, gdy pracownik wyrzuci odręczne notatki do zwykłego kosza na śmieci w biurze, nie mówiąc już o wyrzucaniu całych segregatorów na śmietnik.
- Nie zgłaszamy, gdy pracownik szybko poprawił swój błąd lub gdy mamy pewność (np. z zapisu monitoringu), że nikt nie miał do danych dostępu.
- Zgłaszamy, gdy nie ma pewności co do tego czy ktoś miał dostęp do wyrzuconych danych lub potwierdzimy taki fakt.
Polecany artykuł: 5 pytań o pierwsze kroki w świecie RODO
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo