W niniejszym artykule opisane zostały zagrożenia dla bezpieczeństwa przetwarzania danych. Przeanalizowano przepisy unijne oraz praktykę międzynarodową dotyczącą prewencji i działań naprawczych oraz zaproponowano możliwe do podjęcia środki zaradcze w przypadku wycieku danych osobowych.
I. Dotychczas przeprowadzone kontrole i nałożone kary pieniężne
Dnia 25 maja 2020 r. minęły dokładnie dwa lata od wejścia w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: RODO lub Rozporządzenie) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000; dalej jako: Ustawa o ochronie danych osobowych), dostosowującej polskie przepisy do wymagań unijnych.
Od początku obowiązywania nowych przepisów o ochronie danych osobowych do sierpnia 2019 r. Prezes Ochrony Danych Osobowych (dalej jako: PUODO) przeprowadził 113 kontroli w zakresie przestrzegania przepisów o ochronie danych osobowych. Przez wskazany okres PUODO skontrolował 28 podmiotów prywatnych, w tym 19 spółek, a wobec 25 % skontrolowanych podmiotów wszczęto postępowanie administracyjne. Od 25 maja 2018 r. administracyjne kary pieniężne nałożone zostały na 7 polskich podmiotów. Najwyższą do tej pory karę PUODO nałożył na spółkę Morele.net – w wysokości ponad 2,8 mln zł. Jak podał Urząd Ochrony Danych Osobowych (dalej jako: Urząd), naruszenie miało poważny charakter i dotyczyło dużej ilości podmiotów. W sierpniu tego roku PUODO przedstawi kolejne sprawozdanie z działalności.
Zgodnie z informacjami dostępnymi na stronie: https://www.enforcementtracker.com, w całej Unii Europejskiej odnotowano 281 przypadków nałożenia kary pieniężnej za naruszenie przepisów RODO. Najwięcej naruszeń stwierdzono w Hiszpanii (aż 80), na drugim miejscu pod względem ilości podmiotów, na które nałożono kary pieniężne jest Rumunia (27), a na trzecim Niemcy (25). Zaraz za Niemcami znalazły się Węgry (23). W Polsce kary pieniężne od wejścia w życie przepisów RODO nałożono 7-krotnie. Najwyższe kary, pomimo jedynie trzech podmiotów, na które zostały nałożone, orzeczono w Wielkiej Brytanii (łącznie € 315,310,200). Warto podkreślić, że wśród podmiotów, na które nałożono najwyższe kary (320.000 EUR) znajduje się apteka – stwierdzono naruszenie ochrony danych osobowych poprzez przechowywanie w sposób niezabezpieczony dokumentów zawierających dane osobowe, w tym recept z danymi medycznymi. Istotną grupę podmiotów, w których stwierdzono naruszenia stanowią także placówki medyczne, w tym szpitale i przychodnie.
Należy przypomnieć, że administracyjne kary pieniężne grożące za niezapewnienie odpowiedniej ochrony przetwarzanych danych osobowych mogą wynieść do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 5 RODO). Tak wysoka kara za naruszenie ochrony danych osobowych powinna skutecznie mobilizować administratorów danych osobowych oraz podmioty przetwarzające do zapewnienia adekwatnej ochrony. Jednakże rzeczywistość pokazuje nam, że w czasach postępującej cyfryzacji dotychczasowe środki mogą okazać się niewystarczające. Wysokie wymagania, jakie stawia przed administratorami danych ustawodawca mogą przekraczać możliwości niejednego podmiotu, w szczególności przetwarzającego dane w dużej ilości. Nieodpowiednie zabezpieczenia oraz niestosowanie odpowiednich środków technicznych i organizacyjnych przez administratorów danych może doprowadzić do przetwarzania danych osobowych tysięcy podmiotów danych przez osoby do tego nieuprawnione. Łączy się to dla przykładu z zagrożeniem kradzieży tożsamości i możliwymi konsekwencjami finansowymi zaciągnięcia zobowiązań przez osoby posługujące się cudzymi danymi.
II. Uregulowania Unijne
Zgodnie z motywem (49) RODO, przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji oznacza zapewnienie:
- odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych, a także
- bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy
przez organy publiczne, zespoły reagowania na zagrożenia komputerowe oraz incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa.
Tak rozumiane bezpieczeństwo przetwarzania danych osobowych jest prawnie uzasadnionym interesem administratora danych osobowych. Interes administratora danych może więc obejmować, na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu “odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej.
RODO wprowadza unijną definicję danych osobowych, zgodnie z którą: „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Tak zdefiniowane dane osobowe wymagają zapewnienia adekwatnej ochrony przez administratora danych lub podmiot przetwarzający. Odpowiedni poziom ochrony danych osobowych zabezpiecza je przed przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przepisy RODO określają środki, które należy zastosować w celu zapewnienia odpowiedniej ochrony danych osobowych. Wśród nich znajduje się pseudonimizacja. RODO nie podaje definicji terminu pseudonimizacja, określa jednak, że dane spseudonimizowane to dane umożliwiające zidentyfikowanie osoby, której dotyczą, w odróżnieniu od danych identyfikujących podmiot danych. Anonimizacja danych natomiast uniemożliwia zidentyfikowanie podmiotu danych i w konsekwencji powoduje, że do danych takich przepisy RODO nie mają zastosowania.
Zgodnie z motywem (28) RODO, bezpośrednie wprowadzenie terminu pseudonimizacji w tekście Rozporządzenia nie służy wykluczeniu innych środków ochrony danych. Z powyższego wynika, że RODO nie podaje w sposób wyczerpujący środków ochrony danych, zostawiając w tym zakresie pewną swobodę. Również Ustawa o ochronie danych osobowych nie precyzuje tej kwestii. W konsekwencji to na administratorze realizującym zadania publiczne będzie spoczywał ciężar ustalenia stosownych środków, zastosowania ich i udokumentowania tej analizy. W praktyce będzie to analiza odpowiadająca analizie ryzyka, a wręcz powinna ona odpowiadać rygorom dla oceny skutków dla ochrony danych.
Jednak zarówno administrator danych osobowych, jak i podmiot przetwarzający zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 ust. 1 RODO. Przykładowo mogą to być: (i) pseudonimizacja i szyfrowanie danych osobowych; (ii) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; (iii) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; (iv) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Na uwagę zasługuje, że po wejściu w życie RODO administrator danych osobowych w Polsce zyskał większą swobodę w kształtowaniu i opisywaniu rozwiązań dotyczących przyjętych zasad przetwarzania. Przepisy w dalszym ciągu określają jednak pewne wymogi formalne dotyczące dokumentowania procesów przetwarzania danych osobowych. Administrator (przedstawiciel administratora) obowiązkowo prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada, a podmiot przetwarzający (przedstawiciel podmiotu przetwarzającego) powinien dopełnić obowiązku prowadzenia rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora.
III. Działania podejmowane w przypadku wycieku danych
Co więc w przypadku, gdy do wycieku danych już dojdzie? Przede wszystkim należy zminimalizować skutki naruszenia. Poinformowanie podmiotów danych oraz zgłoszenie naruszenia do PUODO to obowiązki, jakie nakłada na administratorów danych zarówno RODO, jak i ustawa. Jednak same obowiązki informacyjne mogą okazać się niewystarczające do uniknięcia wysokiej kary finansowej. Biorąc pod uwagę, że celem przepisów dot. ochrony danych osobowych jest przede wszystkim zapewnienie odpowiedniej ochrony danych, a kara pieniężna pełnić ma również funkcję dyscyplinującą podmioty przetwarzające, należy rozważyć inne możliwości ‘czynnego żalu’, które wpłynąć mogłyby na obniżenie grożącej kary.
Jednym z rozwiązań na miarę naszych czasów jest skorzystanie z oprogramowania, które pozwoliłoby na wykrywanie przypadków użycia skradzionych danych, co pomogłoby z kolei zminimalizować konsekwencje wycieku. Posiadanie cudzych danych osobowych jest bowiem silnym narzędziem w ręku przestępcy, a monitorowanie aktywności sprawcy po stwierdzonej kradzieży danych daje pewną kontrolę nad sytuacją i umożliwia sprawniejsze przeciwdziałanie skutkom wycieku. Działania podjęte przez administratora danych – ich szybkość i skuteczność, brane są pod uwagę przez PUODO i nie są bez znaczenia przy nakładaniu kar pieniężnych. Dlatego warto rozważyć skorzystanie z oprogramowania, które zminimalizuje skutki utraty danych, jednocześnie będąc narzędziem prewencji wycieku w przyszłości. Należy bowiem pamiętać, że wyciek danych jest nie tylko problemem podmiotu, w którym do wycieku doszło, ale przede wszystkim podmiotów danych. W szczególności dane wrażliwe przetwarzane przez placówki ochrony zdrowia publicznego wymagają zwiększonej ochrony przed nieuprawnionym wykorzystaniem. Jako administrator danych powinieneś więc podjąć wszelkie możliwe środki, by negatywne skutki dla podmiotów danych były jak najmniejsze.
Zainstalowanie oprogramowania wykrywającego nieprawidłowe użycie przetwarzanych danych spełnia przesłanki minimalizacji szkody i może wpłynąć na wysokość administracyjnej kary pieniężnej nałożonej na administratora danych przez organ nadzorczy. Zgodnie bowiem z art. 83 ust. 2 lit. c RODO, wśród czynników, które organ nadzorczy winien brać pod uwagę przy nakładaniu administracyjnej kary pieniężnej znajdują się działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. Jak wynika z Wytycznych Grupy Roboczej art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów RODO (WP253), organ nadzorczy uwzględnia odpowiedzialną postawę (lub brak takiej postawy) administratora danych podczas dokonywania wyboru środka naprawczego (środków naprawczych) oraz przy ustalaniu wysokości kary pieniężnej mającej zastosowanie w konkretnym przypadku. Owe obciążające lub łagodzące okoliczności mogą pomóc organowi nadzorczemu w dokonaniu wyboru odpowiednich środków, przechylając szalę na korzyść tego, co w danym przypadku okazuje się bardziej skuteczne, proporcjonalne i odstraszające. Zgodnie natomiast z lit. f powyższego przepisu, decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Rozporządzenie nie zawiera precyzyjnej odpowiedzi na pytanie, w jaki sposób uwzględnić starania administratorów lub podmiotów przetwarzających na rzecz usunięcia naruszenia wykrytego przez organ nadzorczy. Jednak kryteria te stosuje się zwykle przy ustalaniu wysokości kary pieniężnej, jaka zostanie nałożona.
Również art. 33 ust. 3 lit. d RODO wskazuje, że zgłoszenie naruszenia ochrony danych osobowych powinno opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. W związku z powyższym, skorzystanie z programu komputerowego wykrywającego wyciek danych mogłoby stanowić środek zaradczy, o którym mówią ww. przepisy, wpływający na ocenę przez organ nadzorczy działań podjętych w celu zminimalizowanie negatywnych skutków wycieku danych.
W zakresie minimalizacji skutków wycieku danych istotne znaczenie ma również powiadomienie podmiotów danych o prawdopodobnej kradzieży ich danych osobowych. Motyw (86) RODO wskazuje bowiem, że administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, a informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Oprogramowanie, które w sposób zautomatyzowany informowałoby podmioty danych o wycieku ich danych osobowych ułatwi wykonanie obowiązku informacyjnego administratorów danych oraz zapewniłoby podmiotom danych większą kontrolę nad sytuacją związaną z nieprawidłowym przetwarzaniem ich danych osobowych lub ich użytkowników czy klientów.
Dr Marlena Wach – ekspert z zakresu ochrony danych osobowych, obserwujący tendencje międzynarodowe – podzieliła się Państwem swoją oceną kierunku w jakim zmierza międzynarodowa praktyka w zakresie ochrony danych osobowych: – łagodzenie kar pieniężnych za naruszenie ochrony danych osobowych funkcjonuje od dawna w Stanach Zjednoczonych (The Federal Trade Commission FTC), a od wejścia w życie RODO także w Wielkiej Brytanii. Miarkowanie kary za naruszenia wywodzi się z prawa konkurencji, gdzie ma swoje szerokie zastosowanie w instytucji współdziałania z organem regulacyjnym. W przypadku prawa ochrony danych osobowych polega ono na proponowaniu przez regulatora kary za naruszenie na którą składa się kara pieniężna i dodatkowe wymogi nakładane na podmiot, np. wyznaczenie Rady etycznej, Inspektora Ochrony Danych, przeprowadzanie audytów i dostarczanie do regulatora raportów zgodności, aktualizacja Polityki Prywatności, klauzuli informacyjnej, przeprowadzanie co roku szkoleń. Administrator danych także może przedstawić swoją propozycję podjęcia działań w celu obniżenia, zmiany struktury kary. Przykładowymi narzędziami do miarkowania kar są opcje call centre dla poszkodowanych podmiotów danych, gdzie mogą skontaktować się w celu pozyskania informacji na temat sytuacji swoich danych, czy wszelkiego rodzaju wsparcie software zmierzające do zwiększenia bezpieczeństwa przetwarzania danych. Jest to optymalne rozwiązanie zarówno dla administratorów, jak i podmiotów danych – w przeciwieństwie do administracyjnych kar pieniężnych, które zasilają jedynie budżet danego państwa i czasami regulatora. Wdrożenie systemów, które zwiększają kontrolę nad przepływem danych polepsza sytuację podmiotów danych, stanowiąc dla nich wartość dodaną. Jednocześnie rozwiązania te odciążają finansowo administratorów danych, którzy dopuścili się naruszeń.
Propozycja zainstalowania oprogramowania pozwalającego na wykrycie nieprawidłowego przetwarzania danych w pełni spełnia przesłanki minimalizacji szkody oraz współpracy z organem nadzorczym, zapewniając możliwie najszybszą reakcję na kradzież danych. Praktyka ta jest szeroko stosowana nie tylko w Stanach Zjednoczonych, ale także w państwach członkowskich Unii Europejskiej.
IV Podsumowanie
W związku z narastającym problemem w zachowaniu odpowiedniego poziomu ochrony przetwarzanych danych osobowych należy rozważyć wdrożenie dodatkowych środków technicznych pozwalających zapewnić ich większe bezpieczeństwo. W tym celu proponujemy skorzystanie z oprogramowań komputerowych pozwalających na wykrywanie nieprawidłowego przetwarzania danych, co zapewni możliwie najszybszą reakcję na naruszenie ochrony danych. Takie działanie naprawcze administratorów powinno wpłynąć na miarkowanie grożącej administracyjnej kary pieniężnej za dopuszczenie do naruszenia. Skorzystanie z programu komputerowego może zatem wpływać korzystnie na wizerunek administratora danych, który podjął adekwatne działanie w celu zminimalizowania negatywnych skutków potencjalnych naruszeń ochrony danych. Organ nadzorczy, jakim jest w Polsce PUODO, jest natomiast zobowiązany przy podejmowaniu decyzji o nałożeniu administracyjnych kar pieniężnych uwzględnić zastosowanie środków minimalizujących te skutki.
Należy jednak pamiętać, że przetwarzanie danych osobowych w ramach obsługi programu również stanowi potencjalne ryzyko naruszenia ochrony danych osobowych, dlatego istotnym jest skorzystanie z programu zapewniającego jak najwyższy poziom zabezpieczeń.
Dr Marlena Wach, radca prawny
Małgorzata Puto, prawnik, doktorantka