Tytułowy ‘wyciek’ danych firmy może być wynikiem cyberataku czy zadziałania ‘czynnika ludzkiego’, do czego zapewne dochodzić będzie częściej w praktyce. Niezależnie od przyczyny, możliwość wystąpienia takiej sytuacji nie powinna być bagatelizowana przez kierownictwo firmy, gdyż najpewniej sygnalizuje ona wdrożenie wadliwych procedur wewnętrznych w firmie czy niewystarczających zabezpieczeń. Skutki ‘wycieku’ danych nie kończą się jednak na refleksji wewnętrznej firmy i deklaracji poprawy tego, co nie zadziałało – konsekwencje mogą niestety sięgać dużo dalej, jak to pokazały ostatnie głośne przypadki naruszeń ochrony danych w dwóch polskich firmach świadczących usługi przez Internet – Freshmail.pl i Morele.net.
Kiedy możemy powiedzieć, że doszło do ‘wycieku’ w rozumieniu RODO
Tytułowy ‘wyciek’ danych, celowo użyty potocznie dla lepszego zrozumienia, zgodnie z regulacjami RODO nazywany jest ‘naruszeniem ochrony danych osobowych’ i oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Definicja jest długa i złożona – pomocne w jej zrozumieniu jest zauważenie, że wiąże ona ze sobą element przyczyny i skutku – przyczyną jest ogólnie mówiąc naruszenie bezpieczeństwa, skutkiem zaś przypadkowe lub niezgodne z prawem zniszczenie danych osobowych, ich utracenie itd. Warto zaznaczyć, że w rozumieniu RODO naruszeniem bezpieczeństwa jest zdarzenie, w którym zawodzą organizacyjne lub techniczne środki bezpieczeństwa danych osobowych – mowa zatem nie tylko o włamaniach do sieci firmy ale również o umyślnym bądź nieumyślnym działaniu pracownika, które doprowadziło do naruszenia. Będzie zatem naruszeniem bezpieczeństwa już skopiowanie danych przez pracownika na pendrive czy wysłanie ich do zewnętrznej usługi chmurowej.
Reasumując, definicja naruszenia ochrony danych osobowych jest szeroka i jeśli do ‘wycieku’ danych w firmie dojdzie można obstawiać w ciemno, że spełnione zostały przesłanki naruszenia. Dla lepszego zobrazowania pojęcia warto posłużyć się przykładami – posłużą tutaj opisywane przypadki z naszego, polskiego podwórka. Zapewne pod koniec ubiegłego roku (dokładna data incydentu nie została podana do publicznej wiadomości) z polskiego sklepu internetowego Morele.net wykradzione zostały dane osobowe ok. 2,5 mln. klientów i pracowników. Dane te miały stanowić: adresy email, numery telefonów, imiona i nazwiska, hasła dostępu w serwisie. Firma informowała, że bezpieczne miały być informacje o kartach płatniczych, loginach do banków czy złożonych wnioskach ratalnych klientów. Zdarzenia przybrały jednak bardzo zły obrót – skradziona baza została wystawiona na sprzedaż w Internecie (był nawet moment kiedy była ogólnie dostępna, zarząd firmy miał negocjować jej odkupienie), klienci Morele.net natomiast spotkali się z próbami wyłudzeń i włamań na prywatne rachunki bankowe. Rozpatrując przypadek Morele.net w kontekście powyższej definicji – do naruszenia bezpieczeństwa niewątpliwie doszło – wykradziono dane przetwarzane przez firmę za pośrednictwem systemów komputerowych, nastąpił również skutek w postaci nieuprawnionego dostępu do danych przetwarzanych przez Morele.net. Nastąpiło zatem naruszenie ochrony danych osobowych. Co ważne, do naruszenia doszło w wyniku cyberataku – działania, którym potencjalnie zagrożona jest każda firma, nie tylko duże sklepy internetowe.
Drugi przykład stanowi omyłkowe umożliwienie dostępu do poufnych informacji w postaci bazy 1.000+ klientów przez znanego dostawcę usług z zakresu e-mail marketingu – Freshmail. Baza miała być zindeksowana przez Google i dostępna. Co ciekawe, z komunikatu firmy wynika, że sytuacja była skutkiem nie ataku zewnętrznego ale luki w systemach bezpieczeństwa. Tak czy inaczej, doszło do naruszenia bezpieczeństwa, którego skutkiem był nieuprawniony dostęp do danych osobowych przetwarzanych przez Freshmail. Tutaj również nastąpiło naruszenie ochrony danych osobowych.
Jak wspomniałem powyżej – definicja naruszenia ochrony danych jest szeroka – warto zatem za punkt wyjścia przyjąć, że jeśli nastąpiło zdarzenie niepożądane w obszarze danych osobowych, angażujące choćby potencjalnie osoby trzecie, najprawdopodobniej doszło do naruszenia ochrony danych osobowych, z czym RODO wiąże określone obowiązki administratora danych osobowych.
Zawiadomienie Prezesa UODO – czynność niezwłoczna
Kiedy jest już wiadomo, że w firmie doszło do naruszenia ochrony danych osobowych, niezbędne jest oczywiście podjęcie doraźnych środków bezpieczeństwa, zidentyfikowanie źródła i okoliczności naruszenia oraz zweryfikowanie wadliwych procedur bądź zabezpieczeń. Są to w dużym skrócie działania podejmowane wewnątrz organizacji mające na celu „zatkanie wycieku”. Na tym obowiązki płynące z RODO jednak się nie kończą dla pechowej firmy. Opisane incydenty, jakie miały miejsce w Morele.net oraz Freshmail skłaniają do analizy działań zewnętrznych, jakie powinna podjąć firma w takiej sytuacji.
Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych administrator zgłasza fakt naruszenia Prezesowi UODO, niezwłocznie, nie później jednak niż w ciągu 72 godzin po stwierdzeniu naruszenia. Zgłoszenie nie jest wymagane jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw i wolności osób. Zgłoszenie incydentu Prezesowi UODO nie jest zatem obowiązkiem bezwzględnym, aby jednak upewnić się czy zgłoszenie należy dokonać czy też nie, administrator powinien dokonać prawidłowej oceny ryzyka. Ocena powinna być oparta na obiektywnych kryteriach, przy uwzględnieniu wszelkich możliwych skutków dla osób, których dane są przedmiotem incydentu (m.in. czy może skutkować stratami finansowymi). W obu przypadkach – Freshmail oraz Morele.net – ocena ryzyka musiała wypaść pozytywnie, gdyż firmy zawiadomiły Prezesa UODO. Niezawiadomienie Prezesa UODO pociągać może za sobą konsekwencje administracyjne.
Czy jednak na tym kończą się obowiązki administratora w razie stwierdzenia naruszenia?
Zawiadomienie osób, których dane były przedmiotem naruszenia
Zgodnie z art. 33ust. 1 RODO jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zawiadamia bez zbędnej zwłoki te osoby o naruszeniu. Ocena ryzyka, która zostanie wykonana na potrzeby oceny, czy należy zawiadomić o naruszeniu Prezesa UODO, przyda się również do oceny, czy zawiadamiać należy osoby, których dane „wyciekły”. Co ważne jednak, ocena stopniować tutaj będzie ryzyko – jeżeli jest ono wysokie, zawiadomienie co do zasady powinno być dokonane. Jeżeli ryzyko zidentyfikowano w wyniku oceny jako niskie czy średnie obowiązek z art. 34 ust. 1 RODO nie zaktualizuje się. Oczywiście konsekwencje nietrafnej oceny ryzyka spoczywają w pełni na administratorze.
Mimo pozytywnej oceny ryzyka firma – ofiara „wycieku” – jest zgodnie z art. 34 ust. 3 RODO zwolniona z obowiązku powyższego dodatkowego zawiadomienia w określonych przypadkach – tytułem przykładu wówczas, kiedy dane były zaszyfrowane w stopniu uniemożliwiającym ich odczyt lub gdy zastosowano środki eliminujące prawdopodobieństwo. Zwolnienie z obowiązku zawiadomienia osób będzie miało miejsce również w sytuacji, kiedy wymagałoby ono niewspółmiernie dużego wysiłku – analizując jednak niedawną głośną decyzję o nałożeniu przez Prezesa UODO kary za nieprzestrzeganie RODO (decyzja z dn. 15.03.2019 r., ZSPR.421.3.2018) zaleca się ostrożne opieranie się na przesłance ‘niewspółmiernie dużego wysiłku’ dla przedsiębiorcy.
Oczywiście żadna firma nie chce prowokować swojej złej prasy ani straszyć swoich klientów, kontrahentów czy pracowników o „wycieku”, pamiętać jednak należy, że w dzisiejszych czasach z dane osobowe mogą służyć do wielu rodzajów oszustw czy wyłudzeń. Dokonanie zawiadomienia osób, których dane były przedmiotem naruszenia, nieraz będzie mogło przynieść firmie więcej dobrego niż złego – firma pokaże, jakie wartości są dla niej najważniejsze. Kluczowym jest też czas na dokonanie takiego zawiadomienia – regulacje RODO nie określają go jak to ma miejsce przy zawiadomieniu Prezesa UODO, przyjąć należy jednak podobne kryteria przy tej ocenie.
Czego uczą przypadki naruszeń ochrony danych w Morele.net i Freshmail
Morele.net ostrzegało swoich klientów pod koniec listopada 2018 r. o próbach wyłudzeń za pośrednictwem sms, komunikat ten został powtórzony 6 grudnia 2018 r. Sklep zaprzeczał jednocześnie aby był źródłem danych służących do wyłudzeń i zapewniał, że jego baza jest ściśle chroniona. Niespełna 2 tygodnie później Morele.net poinformowało już swoich klientów o nieuprawnionym dostępie do swojej bazy i raz jeszcze ostrzegło przed próbami wyłudzeń. 18 grudnia 2018 r. firma zatem oficjalnie przyznała, że padła ofiarą ataku. Z komunikatu Morele.net wynika jednak, iż firma zawiadomiła Prezesa UODO o naruszeniu już 23 listopada 2018 r. – a zatem w czasie, kiedy miała zapewniać swoich klientów, że jej baza jest ściśle chroniona. Oczywiście nie są znane wszystkie okoliczności sprawy, bardzo możliwe, że działanie Morele.net podyktowane było czynnościami operacyjnymi Policji lub wewnętrznymi działaniami zabezpieczającymi. Faktem jest jednak, że wielu klientów Morele.net szybko wydało swój osąd i firma w bardzo krótkim czasie zyskała złą prasę i opinię w Internecie.
Skutek – wizerunek firmy doznał uszczerbku, Prezes UODO prowadzi czynności wyjaśniające, nie jest znana skala wyłudzeń będących skutkiem zdarzenia i z jaką odpowiedzialnością odszkodowawczą firma może liczyć się w przyszłości ze strony poszkodowanych klientów.
Freshmail zawiadomił Prezesa UODO o naruszeniu w ciągu 72 godzin, zaniechał natomiast jak wynika z komunikatu firmy zawiadamiania osób, których dane „wyciekły” oceniając potencjalne ryzyko naruszenia praw i wolności tych osób jako ‘średnie’. W świetle zatem oceny art. 34 ust. 1 RODO zawiadomienie osób fizycznych nie było wymagane. Oczywiście nie było przy założeniu dokonania trafnej oceny ryzyka przez administratora – za tę trafność jak wskazałem powyżej odpowiedzialność ponosi w pełni administrator. Ocena ta podobnie jak i cały incydent może być przedmiotem kontroli UODO – sytuacja ta pokazuje zatem, że ocena ryzyka stanowi niezwykle istotny element w łańcuchu działań, jakie musi podjąć wewnętrznie firma w razie naruszenia ochrony przetwarzanych przez nią danych.
Podsumowanie – o czym zarząd nie może zapomnieć w razie „wycieku” danych
Czynności, jakie podejmie firma w ciągu 72 godzin od chwili dowiedzenia się o naruszeniu ochrony danych osobowych są w mojej ocenie kluczowe dla mitygacji ryzyk, jakie mogą wystąpić w przyszłości. Odpowiednio szybka ocena ryzyka i podjęcie działań informacyjnych powinny uzupełniać działania wewnętrzne ukierunkowane na ustalenie okoliczności naruszenia i przerwanie stanu naruszeń. Incydent w obszarze ochrony danych osobowych zmusza firmę do zmierzenia się z pewną barierą – firma zwykle będzie chciała zachować fakt naruszenia we względnej tajemnicy, działanie takie może jednak szkodzić jej przyszłej działalności oraz narazić firmę na roszczenia cywilnoprawne ze strony nieostrzeżonych w porę osób fizycznych, których dane były przedmiotem naruszenia.
Z tą barierą jednak warto się zmierzyć i ją przełamać, dla wspólnego dobra firmy i osób z nią współpracujących.
Zastrzeżenie: Opis zdarzeń dotyczących naruszeń ochrony danych osobowych w Morele.net oraz Freshmail został oparty na doniesieniach branżowych portali internetowych oraz po części na publikowanych przez te portale oświadczeniach tych firm. Zdarzenia zostały opisane w celu zobrazowania problemów, z jakimi może spotkać się przedsiębiorca w razie naruszenia ochrony danych osobowych we własnej organizacji oraz pokazania działań, jakie mogą być podjęte w określonych, hipotetycznych sytuacjach.