Dzień Ochrony Danych Osobowych – zgłaszanie incydentów

Europejska Rada Ochrony Danych 03.01.2022 r. opublikowała wytyczne dotyczące ścieżki działania przy zgłaszaniu incydentów. Wytyczne obejmują przykłady naruszeń związanych, w szczególności z najbardziej aktualnymi typami naruszeń, związanymi z wykorzystywaną przez każdego technologią (wycieki danych z Internetu, szkodliwe oprogramowanie czy inżynieria społeczna). Dodatkowe EROD zwróciła uwagę na naruszenia związane z sytuacjami, które mogą nas spotkać nie tylko podczas realizacji obowiązków służbowych (popularne ryzyko osobowe związane z czynnikiem ludzkim), ale również w życiu codziennym (np. naruszenia związane ze zgubieniem bądź kradzieżą sprzętu zawierającego dane).

Nie zawsze jest to oczywiste, jednak to właśnie czynnik ludzki najczęściej prowadzi do incydentów ochrony danych osobowych, warto więc z wyprzedzeniem uświadomić sobie konsekwencje naszych działań bądź ich braku i zminimalizować ryzyko jeszcze przed wystąpieniem negatywnych konsekwencji.

Ryzyko osobowe

Niezależnie od tego, czy naruszenia tego typu są celowe, czy przypadkowe, trudno jest przewidzieć wszystkie ich rodzaje, a tym samym – uniknąć ich.

Przykład 1.

W okresie wypowiedzenia pracownik skopiował dane z serwera firmy. Pracownik ten musiał mieć dostęp do danych, żeby móc wypełniać swoje obowiązki, jednak kilka miesięcy po zakończeniu pracy w firmie, wykorzystał zdobyte w ten sposób dane kontaktowe kontrahentów, aby nawiązać z nimi współpracę w ramach własnej działalności.

Co należy zrobić, aby ograniczyć tego rodzaju ryzyko i zminimalizować skutki naruszenia?

Wskazane naruszenie jest naruszeniem poufności. Jednak trudno jest zapobiec tego typu sytuacjom. Żeby zminimalizować takie ryzyko konieczne jest wdrożenie polityki kontroli dostępu i prowadzenie okresowej weryfikacji przestrzegania wewnętrznych procedur. Należy prowadzić analizy ryzyka, biorąc pod uwagę rodzaj naruszenia oraz ilość i charakter danych, których naruszenie dotyczy.

Reakcja na incydent może obejmować podjęcie kroków prawnych wobec byłego pracownika oraz unikanie podobnych sytuacji w przyszłości, np. poprzez zablokowanie możliwości kopiowania i pobierania danych na nieautoryzowane nośniki. Warto również rozważyć ograniczenie dostępu do danych pracownikom w okresie wypowiedzenia oraz monitorować logi (tzn. działania pracowników w ramach infrastruktury informatycznej), aby w porę zauważyć i zareagować na niepożądane zachowania. Warto również zawrzeć z pracownikami umowy o zachowaniu poufności, które powinny obejmować kwestie zachowania w poufności danych osobowych.

Przykład 2.

Agent ubezpieczeniowy przez pomyłkę (wskutek błędnych ustawień załączonego do maila arkusza Excel) otrzymał dostęp do danych dwudziestu pięciu ubezpieczonych spoza jego obszaru. Arkusz nie zawierał danych szczególnej kategorii. Agent ten był jedynym adresatem tej wiadomości, jest też zobowiązany do zachowania tajemnicy zawodowej. Niezwłocznie zgłosił incydent do administratora danych, a ten przesłał mu poprawiony plik, prosząc o natychmiastowe usunięcie poprzedniej wiadomości. Zgodnie z ustaleniami pomiędzy agentem i administratorem, agent ma obowiązek pisemnie potwierdzić usunięcie nadmiarowych danych. Analiza incydentu nie wykazała żadnych czynników mogących wpłynąć na rozmiar skutków naruszenia.

Co dalej?

To naruszenie nie było celowe i wynikało z pomyłki. Czy można było mu zapobiec? Przede wszystkim należało zadbać o regularne szkolenia pracowników w zakresie ochrony danych osobowych. Szkolenia powinny być nakierowane na zwiększenie świadomości pracowników i wykształcić dodatkową uwagę na poprawność załączanych do korespondencji plików oraz listę adresatów, jeszcze przed wysłaniem, a w miarę możliwości ograniczyć wymianę dokumentów drogą mailową, w zamian stosując wymianę np. w chmurze (tj. cloud).

Rozmiar naruszenia był stosunkowo niewielki, dane nie były szczególnej kategorii, a incydent został natychmiast zgłoszony i podjęto odpowiednie kroki, dzięki czemu prawdopodobnie nie dojdzie do naruszenia praw i wolności osób, których dane dotyczą.

Zgubione i skradzione nośniki

Lekkomyślność osób korzystających z nośników danych często prowadzi do zgubienia bądź stworzenia okazji do kradzieży takich urządzeń. Co gorsza, wielokrotnie nośniki te nie są odpowiednio zabezpieczone (np. nie są szyfrowane). Co do zasady utrata nośnika będzie wiązała się z naruszeniem poufności, może jednak prowadzić również do naruszenia integralności danych, jeżeli firma nie dysponuje kopiami zapasowymi i przechowuje dane wyłącznie na nośnikach danych.

Przykład 1.

Podczas włamania do szkoły skradziono dwa tablety zawierające dane dzieci. Tablety były zaszyfrowane i wyłączone w momencie włamania, kopie zapasowe udało się łatwo odzyskać, a szkoła niezwłocznie dokonała zdalnego czyszczenia pamięci urządzeń.

Zostały podjęte odpowiednie kroki w celu ograniczenia skutków incydentu. Po wykryciu takiego naruszenia należy przeprowadzić analizę incydentu. W tym przypadku mogło dojść do naruszenia poufności, dostępności i integralności danych, ale dzięki podjętym szybko działaniom zaradczym udało się zapobiec naruszeniom praw i wolności osób, których dane dotyczą.

Przykład 2.

Papierowy rejestr zawierający dane pacjentów został skradziony. Dane przechowywane były tylko w formie papierowej, a lekarze nie mieli dostępu do kopii zapasowych. Rejestr nie był przechowywany w zamykanej szafce oraz nie funkcjonowała żadna kontrola dostępu do dokumentu.

W analizowanym przypadku nie podjęto żadnych kroków, które zapobiegłyby incydentowi. Co więcej, dane zawarte w dokumencie były danymi szczególnej kategorii (dane zdrowotne pacjentów), naruszone zostały poufność, integralność i dostępność danych, wobec czego należy uznać, że ryzyko związane z tym zdarzeniem było wysokie.

Możliwe było podjęcie środków zaradczych takich jak anonimizacja danych pacjentów, przechowywanie rejestru w zamykanej szafce albo pokoju i wprowadzenie kontroli dostępu do rejestru.

Lepiej zapobiegać niż leczyć

W omówionych powyżej przykładach, wdrożenie odpowiednich środków zapobiegawczych mogło zapobiec naruszeniom albo zminimalizować ich skutki. Jeżeli doszło już do naruszenia, warto pamiętać, aby niezwłocznie oszacować ryzyko i podjąć adekwatne i niezwłoczne działania w celu minimalizacji jego skutków. Pomocne mogą być przykładowe rozwiązania zaproponowane przez EROD. Dla omówionych wyżej przykładów naruszeń byłyby to:

• Szyfrowanie urządzeń (np. za pomocą Bitlockera);
• Silne hasła i uwierzytelnianie dwuskładnikowe;
• Włączona lokalizacja urządzenia;
• Zapewnienie zdalnego dostępu przez VPN;
• Tworzenie kopii zapasowych;
• Uregulowanie zasad korzystania z urządzeń w siedzibie firmy i poza nią (praca zdalna);
• Ograniczenie możliwości instalowania oprogramowania przez użytkowników;
• Stosowanie kontroli dostępu;
• Dobrze i praktycznie napisane procedury;
• Okresowa weryfikacja skuteczności procedur i aktualizacje dokumentów;
• Stosowanie usług chmurowych do wymiany plików;
• Blokowanie nieautoryzowanych nośników;
• Polityka czystego biurka i ekranu.