Według danych Urzędu Ochrony Danych Osobowych w 2022 r. administratorzy zgłosili do tego urzędu 12 772 naruszeń ochrony danych osobowych, w 2023 r. - 14 069, a w pierwszej połowie 2024 roku - 7 tys. Skarg natomiast było mniej. W 2022 r. wpłynęło ich 6995. Rok później było ich 6962, a w pierwszym półroczu 2024 r. - 3,7 tys. Skala problemu nie jest jednak mała. Powody naruszeń są różne. Czasami jest to zwykła ludzka bezmyślność, a czasami celowe działanie. Tymczasem wyciek danych albo niepoinformowanie o tym fakcie UODO może firmę słono kosztować. Rekordziści płacą grube miliony. W pierwszym półroczu tego roku prezes UODO ukarał już sześć razy.
Czytaj też: UODO: Kara dla banku. Przesyłka z danymi klientów leżała na ulicy
Z ludzką bezmyślnością przegra najlepsze oprogramowanie
Wyciek danych to zmora niejednego administratora. Nawet najlepsze procedury mogą bowiem nie uchronić firmy.
- Bardzo często do naruszeń ochrony danych dochodzi w wyniku błędów ludzkich, takich jak: pomyłka w wysyłce korespondencji z danymi osobowymi, nieprawidłowa anonimizacja danych w związku np. z publikowaniem dokumentacji w internecie czy zainfekowanie systemów, np. poprzez kliknięcie w załącznik w wiadomości e-mail z oprogramowaniem ransomware, które szyfruje zawartość dysków w komputerach - wyjaśnia Karol Witowski, p.o. rzecznika prasowego w Departamencie Komunikacji Społecznej UODO.
Sprawdź: Kalendarz szkoleń online w LEX Ochrona Danych Osobowych >
Co ciekawe, w wielu firmach dane są teoretycznie świetnie zabezpieczone i o żadnym wycieku nie powinno być absolutnie mowy. Ale każdy, nawet najlepszy i najdroższy system zawsze przegra z... człowiekiem.
- Administratorzy nie stosują podejścia opartego na ryzyku, którego wymaga RODO i nie dostosowują środków technicznych i organizacyjnych do ryzyk, które występują w ich działalności. I często nie chodzi o braki zaawansowanych narzędzi jak specjalistyczne oprogramowanie, tylko o podstawy, np. brak aktualizacji oprogramowania, brak polityki dotyczącej stosowania haseł w organizacji czy przesyłania i przechowywania plików z danymi osobowymi, brak szkoleń na temat cyberzagrożeń, brak innych procedur i instrukcji, brak nadzoru nad ich stosowaniem - tłumaczy Martyna Popiołek-Dębska, radca prawny oraz inspektor danych osobowych.
Czytaj w LEX: Naruszenia ochrony danych osobowych – ocena naruszenia, obowiązki ADO >
Brak odpowiedniego zabezpieczenia danych bywa wykorzystywany do handlu danymi. Dla oszustów to prawdziwa żyła złota.
- Tego problemu się nie da raz na zawsze rozwiązać, bo – mówiąc obrazowo - w wyścigu między tarczą a mieczem, zawsze wygrywa miecz. Nigdy więc nie będzie tak, że zagwarantuje się 100 proc. skuteczności stosowanych zabezpieczeń i zlikwiduje się wycieki danych - tłumaczy Paweł Litwiński, adwokat, partner w kancelarii prawnej Barta Litwiński Kancelaria Radców Prawnych i Adwokatów.
Według niego zamiast więc dążyć do tego, co jest niemożliwe, trzeba:
- stosować najlepsze możliwe w danej sytuacji zabezpieczenia, dobierając je do ryzyka, jakie istnieje dla bezpieczeństwa danych,
- odpowiednio reagować, gdy naruszenie już się zdarzy (a zdarzy się na pewno).
Czytaj w LEX: Europejski portfel tożsamości cyfrowej >
Zamiatanie pod dywan nie jest regułą
Firmy, z których dane wyciekły, zachowują się różnie. Niektóre chowają głowę w piasek i liczą, że nikt się nie zorientuje. I problem "przyschnie". Inne reagują wręcz modelowo.
- Nie ma reguły. Są przypadki bagatelizowania sprawy, są przypadki świadomego reagowania na problem. Obecnie coraz częściej mamy do czynienia z odchodzeniem od przysłowiowego zamiatania pod dywan, ale takie próby nadal się niestety zdarzają - mówi mec. Paweł Litwiński.
Jak powinna się modelowo zachować firma? Przede wszystkim zgodnie z przepisami RODO wyciek danych należy odpowiednio zakwalifikować. Administrator musi odpowiedzieć sobie na pytanie, czy ma do czynienia z incydentem, czy z naruszeniem ochrony danych osobowych. - Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Tym samym każdy wyciek danych, bez względu, czy ma charakter umyślny, czy nieumyślny stanowić powinien przedmiot pogłębionej analizy, co do jego kwalifikacji i oceny ryzyka naruszenia praw i wolności osób dotkniętych zdarzeniem - wyjaśnia mec. Martyna Popiołek-Dębska.
Podkreśla, że właściwa ocena jest bardzo ważna. Daje bowiem możliwość administratorowi podjąć prawidłową decyzję, czy zgłosić zdarzenie do prezesa Urzędu Ochrony Danych Osobowych oraz czy istnieje obowiązek powiadomienia o zdarzeniu osób dotkniętych naruszeniem.
Natomiast do UODO powinny obowiązkowo trafić zgłoszenia dotyczące naruszeń w wypadku, których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą. Chodzi np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji poinformował również te osoby. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL czy nr dokumentu.
Zobacz w LEX: Przegląd administracyjnych kar pieniężnych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych >
Ryzyko kradzieży tożsamości i profilowania
UODO uspokaja. Nie każdy wyciek jest jednakowo niebezpieczny dla osób, których dane są objęte takim naruszeniem. Ale jeżeli skala jest duża, wzrasta ryzyko kradzieży tożsamości lub profilowania danej osoby bez jej zgody i wiedzy.
- Jednak nie tylko wycieki danych mogą być groźne w skutkach dla osób, których informacje są przetwarzanie przez administratorów. Już nawet utrata dostępu do danych może wywołać bardzo poważne konsekwencje (np. w wyniku awarii systemów, w których są przetwarzane dane czy ataku ransomware, w wyniku którego dane są zaszyfrowane, ale niekoniecznie doszło do ich wycieku). Wiele podmiotów nie jest w stanie realizować wówczas swoich usług czy świadczeń, co niekiedy może być groźne - zwraca uwagę Karol Witowski.
Czytaj w LEX: Atak hakerski a ochrona danych osobowych >
UODO tłumaczy, że w sytuacji gdy zorientujemy się, że ktoś podszył się pod nas, wykorzystując nasze dane, to mamy do czynienia z przestępstwem, którego ściganiem zajmują się powołane do tego organy ścigania, a więc policja i prokuratura. Tylko te instytucje mają odpowiednie kompetencje i narzędzia do prowadzenia dochodzenia, którego celem jest wykrycie sprawców takich działań.
UODO nie jest organem ściągania. - Dlatego, gdy widzimy, że ktoś podszywa się pod dany podmiot, by wyłudzić dane albo już wziął na nas np. pożyczkę, posługując się naszymi danymi, to powinniśmy jak najszybciej zawiadomić o tym policję, a w firmie pożyczkowej, banku czy u operatora telefonicznego złożyć reklamację w tej sprawie. Do UODO można jednak kierować skargi na konkretnych administratorów danych, a więc istniejące podmioty w związku np. z nieprawidłowym przetwarzaniem przez nich naszych danych czy nierespektowaniem naszych praw wynikających z RODO - dodaje Karol Witkowski.
Czytaj w LEX: Naruszenia ochrony danych osobowych – krok po kroku >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
