Incydent bezpieczeństwa w ochronie danych osobowych

Incydent naruszenia danych osobowych – jak go obsłużyć?

Mija właśnie piąty miesiąc od wejścia w życie nowych przepisów dotyczących ochrony danych osobowych. Okres burzy medialnej związanej z RODO mamy już chyba za sobą. Powoli wszyscy przystosowali się do nowych przepisów, uzupełnili dokumentację, wdrożyli odpowiednie procedury i z mniejszym lub większym zaangażowaniem starają się je realizować. Jednym z najczęściej pojawiających się dylematów związanych z ochroną danych osobowych pozostaje jednak kwestia obsługi incydentów naruszenia ich bezpieczeństwa.

Skąd pomysł na obsługę incydentów?

Zarówno w starej Ustawie o Ochronie Danych Osobowych, jak i w nowych przepisach RODO mowa jest o konieczności prowadzenia rejestru incydentów i wdrożenia procesu prawidłowej ich obsługi. Skąd biorą się takie wymogi? Jest to zapewne pochodna norm ISO, gdzie rejestr taki pełni funkcję kontrolną pozwalającą monitorować i oceniać skuteczność systemu zarządzania bezpieczeństwem informacji. Ilość i częstotliwość pojawiania się incydentów bezpieczeństwa świadczy bowiem o tym, czy nasz system ochrony danych jest skuteczny. Pozwala też zweryfikować czy wprowadzane przez nas zabezpieczenia odnoszą skutek, czyli czy powodują, że liczba incydentów maleje.

Czym jest incydent bezpieczeństwa?

Incydentem nazywamy każde zdarzenie, w wyniku którego doszło lub mogło dojść do naruszenia bezpieczeństwa danych. Bezpieczeństwo definiowane jest natomiast jako jednoczesne spełnienie trzech kryteriów: dostępności, poufności i integralności. Do jego naruszenia dochodzi zatem za każdym razem, gdy któraś z tych trzech cech zostaje utracona. Przykładowo tracimy poufność poprzez przypadkowe ujawnienie danych osobom niepowołanym, tracimy integralność poprzez nieautoryzowaną modyfikację zbioru lub tracimy dostępność poprzez jego uszkodzenie.

Czy łatwo o incydent?

Posługując się definicją z punktu poprzedniego nie trudno wyobrazić sobie sytuacje, w których dochodzi do naruszenia bezpieczeństwa danych osobowych. Przypadkowe wysłanie danych do nieodpowiedniego odbiorcy, zainfekowanie komputera złośliwym oprogramowaniem czy też kradzież danych dostępowych poprzez phishing to sytuacje, z którymi spotykamy się na co dzień i to w masowych ilościach. A już z przypadkami omyłkowego wklejenie dużej listy odbiorców maila w polu DW (do wiadomości) zamiast UDW (ukryte do wiadomości) spotkać się można nawet kilkukrotnie jednego dnia. I tutaj pojawia się pytanie co robić w takiej sytuacji. Czy jako Administrator Danych jesteśmy zobowiązani do każdorazowego odnotowywania takiego naruszenia i podejmowania dalszych kroków wynikających z przepisów RODO?

W myśl zarówno starych jak i nowych przepisów adres e-mail, a zwłaszcza ten zawierający imię i nazwisko traktowany jest jako dane osobowe, czyli wystarczające do jednoznacznej identyfikacji konkretnej osoby fizycznej. Zbiór takich danych w dowolnej formie (papierowej, elektronicznej, rozproszonej, zdecentralizowanej) traktowany jest jako zbiór danych osobowych i podlega ochronie. Każdy administrator przetwarzający taki zbiór musi mieć do tego podstawę prawną i zadbać o jego bezpieczeństwo (poufność, integralność oraz dostępność). Ujawnienie zatem nawet pojedynczego rekordu, a już zwłaszcza całego zbioru przypadkowym osobom należy traktować jako naruszenie poufności, czyli utratę bezpieczeństwa zbioru danych osobowych.

Zgodnie z zapisami RODO incydent w postaci naruszenia bezpieczeństwa danych osobowych, oprócz samego odnotowania w rejestrze, w zależności od okoliczności wymaga m.in.:

1. Działań ze strony administratora danych minimalizujących ryzyko utraty praw i wolności osób, których dane dotyczyły
2. Powiadomienia osób poszkodowanych o zaistniałym incydencie
3. Powiadomienia Urzędu Ochrony Danych Osobowych o zaistniałym incydencie

Jak ocenić wpływ takiego incydentu na osoby których dane zostały ujawnione?

Nie ma tutaj niestety prostych do zastosowania kryteriów. W zależności od okoliczności ujawnienie listy odbiorców maila może mieć charakter niegroźnego drobnego wycieku, jak i poważnego naruszenia danych wrażliwych. Wyobraźmy sobie np. sytuację, gdy Ośrodek Pomocy Społecznej wysyła maila do mieszkańców gminy korzystających z określonej pomocy i pomyłkowo umieszcza wszystkich odbiorców w jawnym polu DW. Każdy odbiorca dostaje listę wszystkich mieszkańców gminy dotkniętych np. chorobą alkoholową lub borykających się z kłopotami finansowymi. Informacje tego typu stanowią szczególne kategorie danych osobowych, które podlegać powinny najwyższej ochronie. Nie można zatem z automatu założyć, że tego typu wycieki danych są niegroźne i nie mogą skutkować przykrymi konsekwencjami dla osób, których dane zostały ujawnione. Zalecanym postępowaniem w tego typu sytuacjach jest skorzystanie z oceny sytuacji przez Inspektora Ochrony Danych, który będzie potrafił postawić się na miejscu osób poszkodowanych i przewidzieć ewentualne skutki naruszenia. W konsekwencji tego Administrator Danych powinien zadecydować o podjęciu odpowiednich środków łagodzących niekorzystne skutki wycieku. W przypadku gdy naruszenie bezpieczeństwa danych rodzi przykre konsekwencje dla poszkodowanych, a administrator nie jest ich w stanie wyeliminować działaniami naprawczymi konieczne jest zgłoszenie zaistniałego zdarzenia nie tylko do Prezesa Urzędu Ochrony Danych Osobowych, ale również osobom, których naruszenie dotyczyło.

Wnioski

Proces obsługi incydentów bezpieczeństwa danych osobowych dzięki nowym przepisom na pewno zyskał na znaczeniu. Konieczność indywidualnego rozpatrywania każdego zdarzenia i analizowania jego skutków przyczyni się zapewne również do tego, że administratorzy danych częściej będą zastanawiać się nad przyczynami incydentów. Powinno to skutkować podejmowaniem lepszych działań zaradczych np. w postaci zabezpieczeń technicznych lub dedykowanych szkoleń dla pracowników.