Jak uchronić swoją firmę przed wyciekiem danych osobowych i wysoką karą? Czyli 10 rzeczy, o których warto wiedzieć, żeby privacy by design and privacy by default chroniło dane osobowe klientów
Wyciek danych osobowych w firmie, czyli inaczej naruszenie danych osobowych, oznacza, zgodnie z art. 4 RODO, naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Dopuszczenie przez administratora do takiego naruszenia prowadzi do wysokich kar ze strony organu nadzorczego.
W sierpniu tego roku Prezes UODO nałożył 1,5 milionową karę na spółkę medyczną (decyzja DKN.5112.35.2021, z dnia 20 maja 2024 r.), która dopuściła do wycieku olbrzymiej ilości danych, w tym wrażliwych danych pacjentów. Spółka zgłosiła do organu naruszenie bezpieczeństwa, kiedy tylko dowiedziała się o tym fakcie – brzmi podręcznikowo. Problem polegał tylko na tym, że wiedza ta wypłynęła od hakerów, którzy wcale nie złamali supernowoczesnych zabezpieczeń, a wykorzystali zaniedbania w sferze ochrony danych osobowych i ich przetwarzania przez spółkę American Heart of Poland SA, aby uzyskać dostęp do tych poufnych informacji.
Brak monitorowania stanu zagrożeń oraz aktualności stosowanych środków bezpieczeństwa, odpowiednich aktualizacji wprowadzonych kilka lat temu zabezpieczeń, testowania zabezpieczeń to jedynie kilka z wielu zarzutów, jakie w argumentacji swojej decyzji podał PUODO. PUODO zwraca przede wszystkim uwagę, że zasadę rozliczalności obliguje przedsiębiorcę nie do jednorazowego wdrożenia odpowiednich zabezpieczeń, ale do ich ciągłego monitorowania i aktualizacji w taki sposób, aby zapewnić odpowiedni poziom ochrony danych osobowych oraz uchronić przed olbrzymią stratą finansową. Dokonane zaniedbania należą do sfery privacy by design i privacy by default – czyli ochrony danych w fazie projektowania oraz ochrony domyślnej – tak często traktowanej przez wielu administratorów z nienależytą uwagą. Kiedy jednak bliżej się przyjrzeć tym zasadom, okazuje się, że zdawałoby się suche pojęcia i teoretyczne przepisy mają bardzo praktyczne zastosowanie.
Powyższe zasady wynikają z art. 25 RODO, który mówi o uwzględnieniu ochrony danych w fazie projektowania oraz domyślnej ochronie danych. Privacy by design oraz privacy by default to dwie strony tego samego medalu, który tworzy mur obronny przed naruszeniem ochrony danych osobowych. Administrator danych, który ma obowiązek zapewnić bezpieczeństwo przetwarzanym danym osobowym musi brać pod uwagę obydwie zasady, a co więcej wcielić je w życie.
Taki obowiązek wiąże się z wdrożeniem odpowiednich środków technicznych i organizacyjnych, takich jak:
· pseudonomizacja;
· szyfrowanie danych;
· minimalizacja danych;
· regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych;
· zdolność do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
· przejrzystość co do funkcji i przetwarzania danych osobowych.
Administrator wykorzystuje obydwie zasady przede wszystkim dla ochrony praw osób, których dane dotyczą. Zanim dochodzi w ogóle do operacji przetwarzania danych osobowych, administrator musi podjąć wszelkie dostępne działania, aby nadać odpowiedni stopień niezbędnych zabezpieczeń przed kradzieżą danych, a następnie musi utrzymywać ten odpowiedni poziom przez cały czas, kiedy przetwarza dane. Administrator powinien przy tym dostosować swoje działania do prowadzonej przez siebie działalności.
Czym innym przecież będzie zaprojektowanie ochrony w przedsiębiorstwie, które przetwarza tysiące danych, w tym zdrowotnych, a czym innym praca administratora nad zabezpieczeniem sklepu internetowego.
Domyślna ochrona danych będzie działać nieustannie w trakcie przetwarzania i będzie ona skutecznie chronić dane osobowe, co wymaga ciągłego działania ze strony administratora i „trzymania ręki na pulsie”. W praktyce pomoże to uniknąć wysokich kar dla firmy.
Zanim przystąpi się do projektowania ochrony, należy odpowiedzieć sobie na kilka istotnych pytań:
· jakie dane nasza firma będzie przetwarzać?
· jaki jest cel przetwarzania danych – co chcemy osiągnąć?
· które z tych danych osobowych są rzeczywiście konieczne do osiągnięcia obranych celów bądź celu, a które są nadmiarowe?
Odpowiedzi na te pytania doprowadzą administratora lub podmiot przetwarzający do wybrania odpowiednich środków technicznych i organizacyjnych, które zapewnią należyty stopień bezpieczeństwa, odpowiadający potencjalnemu ryzyku wycieku danych. Do elementów, które pomagają to ustalić, należą:
· stan wiedzy technicznej;
· koszt wdrażania;
· charakter, zakres, kontekst i cele przetwarzania;
· ryzyko naruszenia praw i wolności osób fizycznych.
Wszystkie te czynniki są przedmiotem analizy ryzyka, która to stanowi podstawowe działanie zapobiegawcze przed naruszeniem bezpieczeństwa, a co za tym idzie – utratą reputacji samego przedsiębiorstwa.
Analiza ryzyka nie jest jednorazowym działaniem podejmowanym przed operacją przetwarzania danych osobowych. Taka ocena powinna podlegać okresowym aktualizacjom, co właśnie wiąże się z wiedzą na temat aktualnego stanu wiedzy technicznej – stanu, który podlega ciągłym zmianom, co wpływa na skuteczność wybranych wcześniej środków technicznych i organizacyjnych.
Ważne będzie zwrócenie uwagi na zagrożenie związane z brakiem dobrowolnej zgody związanej z przetwarzaniem danych osobowych dzieci i młodzieży poniżej 18 lat. Odpowiednie środki powinny pomóc skutecznie ograniczyć i zminimalizować zagrożenia związane z tą grupą.
W niektórych przypadkach RODO wymaga przeprowadzenia tzw. oceny skutków dla ochrony danych, tj. kwalifikowanej oceny ryzyka. Taka ocena jest przeprowadzana wtedy, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W takim wypadku administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. Ocena skutków dla ochrony danych wymagana jest w szczególności w razie (art. 35 RODO):
· systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera na zautomatyzowanym przetwarzaniu (w tym profilowaniu) i stanowi podstawę decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób na nią wpływających;
· przetwarzania na dużą skalę szczególnych kategorii (art. 9 RODO) lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych (art. 10 RODO);
· systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Ocena powinna zawierać systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, ocenę czy operacje przetwarzania są niezbędne oraz czy są proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, a także środki planowane w celu zaradzenia temu ryzyku.
Analiza ryzyka, w tym ocena skutków dla ochrony danych, ma prowadzić do jak najszybszego, a przy tym skutecznego, wdrożenia zasad privacy by design oraz privacy by default, ponieważ przy ochronie danych osobowych kluczowe są działania zapobiegawcze, a także aspekt czasu.
Administrator danych ma obowiązek śledzenia postępu technologii i zmian, jakie się z tym wiążą. Pojęcie „stanu wiedzy technicznej” jest nierozłącznie powiązane z aktywnym działaniem ze strony administratora. Nie można dokonać jednorazowej analizy w tej kwestii i na tym poprzestać. Do między innymi takiego zaniedbania doszło we wspomnianym na wstępie przypadku, co znalazło wyraz w uzasadnieniu wystosowanym przez PUODO – spółka nie testowała regularnie skuteczności zabezpieczeń systemów informatycznych.
Aktywne śledzenie zmian pozwoli na dostosowywanie dobranych zabezpieczeń, tak aby były one skuteczne. Czasem wystarczy aktualizacja oprogramowania, a czasem konieczne będzie dobranie zupełnie nowych środków technicznych, aby uchronić system np. przed złośliwym oprogramowaniem. Stan aktualnej wiedzy technicznej wiąże się również z odpowiednim doborem środków organizacyjnych – kluczowe będzie zorganizowanie szkoleń pracowników, którzy są zaangażowani w przetwarzanie danych osobowych. Zapewnienie im odpowiedniej, a przede wszystkim aktualnej, wiedzy technicznej również stanowi jeden z obowiązków administratora. Pozwoli to przygotować pracowników na ataki cyberprzestępców. Czujność i aktualna wiedza techniczna chronią przed phishingiem równie skutecznie, co rozbudowane hasła do skrzynki e-mail.
Czy można szukać oszczędności w kosztach wdrożenia wybranych rozwiązań? A może wręcz odwrotnie – zgodnie z nałożonym obowiązkiem na administratora powinno się dobierać środki o nieproporcjonalnie dużych kosztach?
Jak zwykle kluczowy jest cel oraz skuteczność działania. Nie ma absolutnie obowiązku przeznaczenia olbrzymich środków finansowych, kiedy dostępne są tańsze, a wystarczająco skuteczne w kontekście celów, które wyznaczył administrator. Najważniejszym zadaniem jest tutaj odpowiednie zabezpieczenie danych osobowych przed naruszeniem i to ono ma być wyznacznikiem w kontekście ponoszonych kosztów. Trudno jednak wyobrażać sobie, że znajdzie się duże oszczędności w kwestii wdrażania stosownych rozwiązań, gdy planuje się skomplikowane operacje przetwarzania danych na dużą skalę. Wyciek danych osobowych z firmy stałby się przy takich zaniedbaniach bardzo prawdopodobny.
Są to cechy przetwarzania, których określenie pomaga administratorowi wybrać odpowiednie środki techniczne i organizacyjne, tak aby przetwarzanie odbywało się zgodnie z przepisami RODO. Istotne dla decyzji administratora będzie czy przetwarzanie będzie miało charakter ciągły, czy raczej może sporadyczny; czy będą przetwarzane duże ilości danych osobowych na wielką skalę, czy też operacje będą dotyczyć niewielkiej ilości osób; czy kontekst przetwarzania niesie za sobą duże ryzyko i dotyczy np. osób poniżej 18 roku życia.
Wszystkie te czynniki wiążą się ze sobą. Przetwarzanie, które ma charakter ciągły, będzie dotyczyć szerokiego zakresu danych i wielkiej ilości osób, co będzie niosło za sobą potencjalne duże ryzyko. Administrator powinien porównać, ocenić i określić w ten sposób skalę ryzyka. W razie gromadzenia zbyt dużej ilości danych, odpowiednia analiza może doprowadzić do wniosku, że część z nich nie jest niezbędna do osiągnięcia celów przetwarzania. Można będzie je wtedy częściowo usunąć lub dokonać minimalizacji ilości zbieranych danych.
Obrane cele przez administratora powinny mieć wpływ na to, w jaki sposób będziemy przetwarzać dane, jakie środki bezpieczeństwa zastosujemy oraz jak zaprojektujemy ochronę. To czy przetwarzanie danych ma charakter ciągły i powtarzający się decyduje o okresie czasu, jaki będzie trwała cała operacja. Często dane przetwarzane są dalej, co wykracza poza pierwotnie określony cel. Należy dokonać dlatego systematycznej analizy, która pozwoli określić czy czasem nie należy ich usunąć lub poddać anonimizacji.
Ciągłość tych czynności ze strony administratora jest szczególnie ważna w kontekście przetwarzania w internecie, gdzie, mówiąc wprost, przetwarzanie może łatwo ulec znacznie szerszemu udostępnieniu danych, niż zakładały to pierwotne cele. Co więcej posiadając zgodę od osoby, której dane dotyczą, administrator wcale nie ma zupełnej swobody w przetwarzaniu ich do własnych celów. Konieczne byłoby tu wsparcie odrębną podstawą prawną.
Jednym z podstawowych zarzutów wskazanych w uzasadnieniu decyzji PUODO wskazanej na wstępie był brak środków ochrony przetwarzanych danych, a co za tym idzie – niemożność ustalenia przyczyny wycieku danych z firmy. Brak możliwości znalezienia źródła problemu pokazuje skalę nieszczelności zabezpieczeń, a więc braku panowania nad sytuacją ze strony administratora.
Zasady, które umożliwiają skuteczną realizację ochrony w fazie projektowania oraz domyślnej ochronie danych, wymienia art. 5 RODO. Są nimi:
· przejrzystość i zgodność z prawem;
· rzetelność
· ograniczenie celu i minimalizacja danych;
· prawidłowość i ograniczenie przechowywania;
· integralność i poufność;
· rozliczalność.
Wydaje się, że takimi nadrzędnymi zasadami, tudzież filarami, na jakich opiera się cała konstrukcja skutecznej ochrony, są rzetelność oraz rozliczalność. Rzetelność wymaga od administratora, aby dane osobowe nie były przetwarzane w sposób bezzasadnie szkodliwy, wprowadzający w błąd (przejrzystość!) czy nieoczekiwany. Środki stosowane dla przestrzegania zasady rzetelności służą zapewnieniu osobom, których dane dotyczą, dostępu do informacji oraz skorzystania z ich wszystkich dostępnych praw (dostępu, usuwania, przenoszenia, prostowania danych).
Natomiast rozliczalność jest „zasadą-klamrą”, który spina całość, ponieważ to administrator musi umieć wykazać (rozliczyć się) przestrzeganie wszystkich zasad, które zapewniają bezpieczeństwo przetwarzania danych osobowych.
Zasady muszą być jasne i klarowne, podobnie jak obrane cele przetwarzania, nie tylko dla administratora, ale również dla osób, których dane dotyczą. Informacje zawarte w polityce prywatności muszą być napisane prostym, zrozumiałym językiem. Nie mogą być ukryte pod „piętrzącym się” stosem podstron, muszą być łatwo dostępne.
A co jeśli administrator powinien przekazać dużo danych i informacji? Najlepiej niech uczyni to w sposób wielowarstwowy – najważniejsze dane najłatwiej dostępne, a np. rozwijane menu prowadzi w klarowny sposób to kolejnych informacji.
Konieczne będzie zapewnienie autonomii osobie, której dane dotyczą. Administrator musi zapewnić jej kontrolę nad przekazanymi danymi osobowymi, jak i możliwość prostego uzyskania zgody oraz jej równie łatwego wycofania. Administrator nie może zapomnieć o przeprowadzeniu testu równowagi interesów w wypadku, gdy podstawą prawną jest prawnie uzasadniony interes.
Ograniczenie celu oraz minimalizacja danych są ze sobą ściśle powiązane. Obydwie zasady charakteryzują się wykorzystaniem jak najmniejszej ilości danych, aby osiągnąć zamierzony cel przetwarzania. W przypadku dalszego przetwarzania administrator powinien zawsze upewnić się, czy też cele tego przetwarzania są zgodne z pierwotnymi celami. Wykorzystanie odpowiednich środków technicznych, jak szyfrowanie czy haszowanie, pozwoli na ograniczenie ponownego wykorzystania danych osobowych.
Jak zaznaczyłem na początku takie decyzję będą miały oparcie w odpowiedziach na podstawowe pytania – między innymi, czy określone dane osobowe muszą być w ogóle przetwarzane? Albo czy po prostu przetwarzanie niektórych z nich jest zbędne w danym przypadku. Przetwarzane powinny być dane tylko adekwatne, stosowne, ograniczone jedynie do tego, co niezbędne w osiąganiu zakładanych celów.
Dane osobowe, które prowadzą do identyfikacji określonych osób, o ile nie jest to niezbędne, powinny zostać zanonimizowane lub usunięte przez administratora. Zadaniem administratora jest nieustanna kontrola nad tym, aby nie tyle dane były bezpieczne, ale by działaniami zapobiegawczymi móc zminimalizować potencjalne ryzyko. Wracamy tu znów do kontroli stanu wiedzy technicznej, który administrator powinien śledzić i na podstawie pozyskanej wiedzy, dokonywać odpowiednich zmian stosowanych zabezpieczeń.
Ochrona przed niezgodnym z prawem przetwarzaniem lub dostępem do danych osób nieuprawnionych jest kluczowa dla zachowania bezpieczeństwa danych osobowych i nienaruszalności praw osób, których dane dotyczą.W tych działaniach administratora w szczególności przejawia się regularność przeprowadzanych przeglądów, sprawdzania aktualnego stanu wiedzy technicznej czy też sprawnego reagowania na incydenty naruszenia.Takie natychmiastowe działanie wynika z wcześniejszych akcji zapobiegawczych, trzymania ręki na pulsie przez administratora, inaczej dochodzi do sytuacji, jak ta wspominana przy okazji kary dla spółki medycznej – administrator okazuje się nie wiedzieć nawet, że do naruszenia doszło.
Konieczne jest, aby administrator zarządzał odpowiednią kontrolą dostępu do danych, np. dbał o to, żeby dostęp mieli jedynie upoważnieni pracownicy, a co więcej żaden z nich nie mógłby posiadać pełnego dostępu do danych na temat osoby, której dane dotyczą. Minimalizacja i w tym wypadku się sprawdzi – zasada oparta na niej zawsze będzie ograniczać potencjalne ryzyko, a więc niebezpieczeństwo naruszenia danych. Należy pamiętać, że źródłem wycieku danych niekoniecznie musi być ktoś z zewnątrz (haker), ale może być nim również sam pracownik!