Incydent w SGGW – studium przypadku

utworzone przez Anna Zamojcin | gru 4, 2020

Incydent w SGGW – studium przypadku

Musimy mieć świadomość, że do naruszeń dochodzi codziennie, a dane osobowe każdego Polaka gdzieś już zapewne wyciekły. W tym artykule omówimy sobie incydent, który miał miejsce w 2019 r. i w konsekwencji którego w sierpniu 2020 r. PUODO nałożył karę administracyjną w wysokości 50 tys zł. Incydent ten mógłby przejść bez większego echa, gdyby nie dwa czynniki – dotyczył on jednej z największych uczelni w Polsce, i po drugie – popełniono tu wszystkie możliwe podstawowe błędy związane z ochrona danych osobowych. A zaczęło się od prozaicznego zdarzenia jakim była kradzież prywatnego laptopa jednego z pracowników SGGW.

Kradzież urządzenia zawierającego dane osobowe

Kradzież służbowego lub prywatnego komputera, tabletu czy telefonu nie jest zdarzeniem niecodziennym. Może być wynikiem włamania, rozboju czy zwykłej niefrasobliwości, gdy nie będziemy zwracać uwagi na nasze rzeczy lub przez nieuwagę gdzieś je zostawimy. Takie rzeczy się zdarzają i będą zdarzać, dlatego przed skutkami kradzieży urządzenia musimy się zabezpieczać w inny sposób. A dane osobowe to prawdopodobnie nie są jedyne cenne dla Twojej firmy dane, które na takim laptopie mogą się znajdować.

Z komunikatu umieszczonego na stronach uczelni dowiadujemy się, że zbiór danych, które były przetwarzane na laptopie pracownika SGGW był bardzo obszerny.

Na dysku komputera znajdowały się dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne – imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.

Uczelnia, po stwierdzeniu naruszenia postępowała zgodnie z nałożonym na nią obowiązkiem wynikającym z artykułu 34 RODO. Poinformowała ona o tym fakcie potencjalnie poszkodowane osoby. Jednak my postarajmy się z jej błędów wyciągnąć odpowiednie wnioski.

Niezaszyfrowany nośnik danych osobowych

Choć informacji tej nie ma w komunikacie, to wszystko wskazuje na to, że dysk twardy w skradzionym komputerze nie był zaszyfrowany. Jest też możliwość, że laptop pracownika SGGW w chwili kradzieży był włączony lub tylko uśpiony. Jest to jednak mniej prawdopodobne. Gdyby dane zapisane na dysku były zaszyfrowane, najprawdopodobniej nie byłoby konieczności informowania o tym i zgłaszania incydentu do UODO. Pisałam o tym szerzej w artykule „Naruszenie ochrony danych – nie panikuj, tylko się przygotuj„. Jeżeli pamięć dowolnego urządzenia byłaby zaszyfrowana, a samo urządzenie wyłączone lub w stanie hibernacji, to dane byłyby bezpieczne i niemożliwe do odczytania przez złodzieja.

Najlepiej, aby szyfrowanie dysków było włączone na każdym urządzeniu, za pomocą którego pracownik ma dostęp do danych firmowych. Tę dobrą praktykę należy stosować zawsze. Postępuj tak, gdy za pomocą urządzenia uzyskuje on dostęp do danych osobowych. Nie zapominaj o innych cennych dla Twojej firmy dokumentów a nawet poczcie elektronicznej. Dostęp do nich także powinien obywać się z urządzenia z włączonym szyfrowaniem. Nie zapomnij także, aby szyfrować wszelkie dyski zewnętrzne czy pamięci typu pendrive.

Brak kontroli i monitoringu dostępu do plików

Tak poważnego incydentu można byłoby uniknąć także poprzez odpowiednią kontrolę i rejestrację dostępu do plików, w których zapisane były dane osobowe. Nie traktuj jednak tego mechanizmu jako alternatywę dla szyfrowania, gdyż ma ono swoje ograniczenia.

Kontrola i monitoring dostępu do plików są dzisiaj o wiele bardziej rozbudowane niż jeszcze parę lat temu. Ten skok był możliwy między innymi dzięki temu, że co raz więcej usług realizujemy w tzw. chmurze. Nie na własnych serwerach a jako usługę, którą kupujesz od zewnętrznej firmy. Jedną z nich jest choćby usługa przechowywania plików Microsoft OneDrive, która jest składnikiem pakietu Microsoft Office 365. Odpowiednia ochrona nie ogranicza się jednak tylko do plików zapisanych na OneDrive. Wykorzystasz ją chroniąc dowolne pliki znajdujące się na komputerach.

Usługa ta to Azure Information Protection, a jej licencja kosztuje 1,70 EUR miesięcznie dla każdego użytkownika. Jest to moim zdaniem bardzo niska cena za zaawansowane narzędzie. Jej działanie polega w skrócie na tym, że do każdego pliku możemy przypisać odpowiednią etykietę. Z tą etykietą powiązana jest polityka, w której zdefiniowanych jest wiele atrybutów bezpieczeństwa. Opcję pozwalającą na skonfigurowanie, co ile dni muszą być odświeżane uprawnienia do pliku. Dzieje się to przez połączenie z centralnym serwerem usługi za pośrednictwem sieci Internet. Sprawdzenie odbywa się automatycznie, o ile uprawniony użytkownik jest zalogowany.

Funkcjonalność pozwalającą na skonfigurowanie swego rodzaju terminu ważności dokumentu. Możemy go ustawić w postaci konkretnej daty lub liczby dni. Gdy tak skonfigurowana ważność dokumentu wygaśnie nikt nie będzie w stanie odczytać jego zawartości.

Oprócz wymuszania samej kontroli administratorzy dostają możliwość śledzenia i raportowania kto i kiedy otwierał wskazany plik. Pozwala to na ocenę, czy nieuprawniony dostęp do danych osobowych z dużym prawdopodobieństwem nastąpił, czy nie.

Zasada minimalizacji w RODO

Pamiętasz o zasadzie minimalizacji? Mówi ona, że administrator nie powinien przetwarzać więcej danych osobowych, niż jest to niezbędne do osiągnięcia celu przetwarzania. Podobnie postępuj, jeżeli chodzi o ilość danych, do których Ty i Twoi pracownicy macie w danej chwili dostęp. Z komunikatu SGGW wynika, że skradziono prywatny laptop, na który dane zostały skopiowane w sposób nieuprawniony. Odpowiednie korzystanie z narzędzi opisanych w poprzednim akapicie powinno pozwolić administratorom wykryć taką sytuację i zapobiec wynoszeniu danych. Przed takim wyzwaniem stoją wszyscy przedsiębiorcy pozwalający na dostęp do firmowych zasobów z prywatnych urządzeń.

Ochrona powinna odbywać się zarówno w warstwie technicznej, jak i przez wdrożenie odpowiednich polityk i procedur w firmie. Twój zespół powinien mieć dostęp jedynie do tych danych, które są niezbędne do wykonania stojącego przed nim zadania. Załóżmy, że pracownikowi SGGW skradziono nie prywatny laptop, na który kopiował dane w sposób nieuprawniony, a służbowy komputer, który wykorzystywał do codziennej pracy.

Jeżeli był on odpowiedzialny za proces rekrutacji na rok akademicki 2019/2020 to raczej nie powinien mieć już dostępu do danych kandydatów z lat ubiegłych, a już na pewno nie do tak szerokiego zbioru danych. Napisanie i wdrożenie odpowiednich polityk i regulaminów to skomplikowane zadanie spoczywające na barkach zarówno administratora danych, jak i zespołu IT. Konieczne są też wartościowe i regularne szkolenia dla osób, które mają dostęp do przetwarzanych danych osobowych.

Przeczytaj też Double opt-in przy zbieraniu zgód

Tu mnie znajdziesz:

Dołącz do mnie na Facebooku

Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Chroń dane podwykonawcy

utworzone przez Anna Zamojcin | sie 30, 2020

Chroń dane podwykonawcy

Jest niewielu przedsiębiorców, którzy są w stanie prowadzić swój biznes bez korzystania z usług firm trzecich. To twój podwykonawca świadczy ci np. usługi księgowe, informatyczne, dostarcza aplikację do wysyłania newslettera. W wielu sytuacjach będziesz powierzał im wykonanie na Twoją rzecz czynności, które będą wiązały się z przetwarzaniem danych osobowych. Będą to dane osobowe, które zostały powierzone Tobie, zatem ty jesteś ich administratorem. Jako administrator masz obowiązek poinformować osoby, których dane przetwarzasz o sposobach ich przetwarzania. Czy zatem musisz w polityce prywatności umieszczać dane podwykonawcy?

Podmiot przetwarzający

Z sytuacją, w której powierzasz firmie trzeciej przetwarzanie danych osobowych na twoją rzecz spotykasz się często. Choćby w przypadku, gdy Twoją księgowość prowadzi zewnętrzna firma. To Twój podwykonawca jego pracownicy mają dostęp do danych osobowych zapisanych na fakturach. Jestem przekonana, że nie administrujesz samodzielnie serwerem, na którym trzymasz stronę swojej firmy czy bloga. Samodzielnie nie realizujesz też usług poczty elektronicznej oraz newslettera. W każdym z tych przypadków, korzystając z usług zewnętrznych dostawców, powierzasz im przetwarzanie danych osobowych Twoich klientów w określonym jasno celu. A komunikacja przez Facebook Messenger? Rozmawiasz w ten sposób z klientami przecież czy współpracownikami. Jestem pewien, że nie jesteś właścicielem Facebooka ;),

W każdej z tych sytuacji powinieneś podpisać umowę powierzenia przetwarzania danych osobowych jasno precyzującą zakres powierzonych danych, czynności, jak i odpowiedzialności każdej ze stron. O ile z Facebookiem ciężko będzie Ci taką umowę zawrzeć, to w każdej z pozostałych sytuacji będzie to prostsze. Może być to oddzielny dokument, część umowy lub element akceptowanego przez Ciebie regulaminu. Taka firma, w myśl RODO, to nie podwykonawca a podmiot przetwarzający. Czy o każdym z takich podmiotów musisz informować w polityce prywatności?

Chroń dane swoich podwykonawców

Co do zasady musisz poinformować osobę, która powierza Ci swoje dane osobowe o celu przetwarzania, retencji czy osobie administratora tych danych. Czytelnik Twojego bloga, uczestnik kursu, a nawet subskrybent newslettera, musi wiedzieć, po co potrzebujesz jego dane, jaki jest ich zakres oraz w jakim celu będziesz je wykorzystywał. Natomiast sposób realizacji wskazanej czynności jest jedynie elementem Twojego warsztatu pracy. To ty jako administrator odpowiadasz za bezpieczeństwo procesu przetwarzania, w tym także za dobór odpowiednich podwykonawców gwarantujących poprawne wykonanie wskazanych czynności. Twój podwykonawca również musi gwarantować bezpieczeństwo tych danych. W większości przypadków jednak, dopóki Twój klient wprost nie zapyta nie musisz informować go dokładnie z usług, jakich podmiotów przetwarzających korzystasz.

Upublicznienie listy Twoich podwykonawców w polityce prywatności generuje dla Ciebie problemy. Po pierwsze odsłaniasz swój warsztat pracy. Pokazujesz dokładnie, w jaki sposób prowadzisz swoją firmę. Być może masz niezwykle utalentowanego informatyka, twórcę sklepu internetowego czy księgowego i nie chcesz zdradzać tego konkurencji. Jeżeli twoja firma będzie rosnąć, to prawdopodobnie lista podwykonawców zacznie się wydłużać. Będziesz zatem poświęcać czas na ciągłe aktualizowanie polityki prywatności. A jeżeli zdecydujesz się o każdej takiej aktualizacji informować osoby zapisane na Twój newsletter, to jestem pewien, że szybko oni zaczną się z niego wypisywać.

Marketing a ochrona danych osobowych

Jeżeli masz wątpliwości jak postępować to popatrz w jaki sposób do problemu podchodzą większe, publicznie znane firmy. Jeżeli zajrzysz do polityki prywatności dużego portalu jak Onet albo sklepu internetowego Zalando, nie znajdziesz tam dokładnych informacji. Nie ma tam słowa o podmiotach przetwarzających dane osobowe celem wykonania choćby dostawy towaru. Znajdziesz za to jasną informację, że Twoje dane są przekazywane firmom realizującym usługi kurierskie. Podwykonawca otrzyma dane osobowe Twojego klienta, aby dostarczyć zamówiony produkt. Takie podejście jest jasne dla konsumenta i wygodne dla administratora. W razie potrzeby Kowalski może zadać odpowiednie pytanie.

Jest jednak grupa firm, które są wymienione w polityce prywatności z nazwy. Często używa się pod ich adresem enigmatycznego skrótu „zaufani partnerzy”. Jest to nazwa tylko i wyłącznie marketingowa niemająca nic wspólnego z definicjami zapisanymi w RODO. Wszystkie te firmy mają jeden wspólny mianownik – przetwarzają Twoje dane osobowe w celach marketingowych, aby dokonać profilowania Ciebie jako klienta, sprzedać lub zareklamować Ci jakiś dopasowany do Ciebie produkt. Dokonują zatem, oby za Twoją zgodą, ingerencji w Twoją strefę prywatności. Taka firma już nie do końca Twój podwykonawca, gdyż niejednokrotnie sama te dane na swój użytek będzie wykorzystywać.

Co wpisać w polityce prywatności

Umieszczenie odpowiednich informacji w polityce prywatności musi być odpowiednio wyważone. Z jednej strony musisz spełniać wymogi informacyjne, które narzuca na Ciebie RODO, z drugiej zaś nie jest wskazane odsłanianie swojego warsztatu pracy czy dodawanie sobie niepotrzebnej pracy. Jeżeli chcesz postępować tak jak ja, kieruj się następującymi zasadami:

Informuj o celach przetwarzania (wymóg RODO). Poinformuj, że do realizacji danego celu korzystasz z usług podwykonawców, którym powierzasz przetwarzanie całości lub części powierzonych Ci danych.
Przekazuj podwykonawcom tylko niezbędne dane do wykonania danej czynności
Wymieniaj współadministratorów danych osobowych. Jednym z nich w wielu czynnościach będzie Facebook.
Zawsze wymieniaj z nazwy firmy, którym powierzasz realizację zadań związanych z profilowaniem i marketingiem. Pilnuj, czy przypadkiem nie jesteś współadministratorem, gdy firmy te pozyskane dane będą wykorzystywały także na swój użytek.
Wymień firmy, za których pośrednictwem prowadzisz analitykę ruchu na swojej stronie WWW oraz wyświetlasz reklamy.

Pamiętaj także, by zawsze szczerze odpowiadać na pytania osób, które powierzyły Ci swoje dane osobowe. Nie warto ukrywać faktów, a już na pewno nie warto kłamać. Skorzystaj z gotowego wzoru Polityki prywatności.

Tu mnie znajdziesz:

Dołącz do mnie na Facebooku