Prawie 13 tys. incydentów zgłosili w ubiegłym roku UODO administratorzy. Coraz częściej hakerzy szyfrują przejęte informacje, żądając zapłaty za ich przywrócenie.
Od momentu wejścia w życie RODO administratorzy danych są zobowiązani w ciągu 72 godzin po stwierdzeniu naruszenia zgłosić je prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by incydent wiązał się z ryzykiem naruszenia praw lub wolności. Ubiegły rok przyniósł rekordową liczbę takich zgłoszeń. Było ich prawie 13 tys., podczas gdy rok wcześniej 7,5 tys. (patrz: grafika).
- W porównaniu z poprzednimi latami odnotowano zwiększoną liczbę naruszeń polegających na zaszyfrowaniu danych osobowych w wyniku działania złośliwego oprogramowania typu ransomware - zwraca uwagę Adam Sanocki, rzecznik prasowy UODO.
Wzrost liczby naruszeń potwierdzają również wyniki badania przeprowadzonego przez Związek Firm Ochrony Danych Osobowych. Na 349 administratorów, którzy są obsługiwani przez ekspertów zrzeszonych w związku, odnotowano 309 incydentów. Oznacza to, że na jedną organizację przypadało 0,89 incydentu. Rok wcześniej średnia ta wyniosła 0,65.
Źródeł zdecydowanej większości incydentów należy szukać wewnątrz organizacji. Jak wynika z badania ZFODO, wskazano je w ponad 83 proc. przypadków.
- Nie jest zaskakujące, że przyczyną naruszeń nadal jest głównie człowiek i że powstają one nieumyślnie, ale już fakt, że mamy dwukrotny wzrost przyczyn nieosobowych (z 4,04 proc. do 8,74 proc.), jest zaskoczeniem. Zarysowała nam się nowa podkategoria, czyli styk na linii człowiek-technologia, jak np. błędy sztucznej inteligencji. Jest to nowy trend, który udało nam się uchwycić, i przypuszczamy, że tego typu zdarzeń będzie coraz więcej. Raport pokazuje potrzebę profesjonalizacji, pracy od podstaw, a przede wszystkim konsekwencji we wdrażaniu zabezpieczeń - mówi Tomasz Osiej, wiceprezes ZFODO oraz prezes zarządu firmy doradczej Omni Modo.
Czynnik ludzki
Według raportu najwięcej incydentów zauważono w branży handlu (w tym elektronicznego). To 25 proc. wszystkich odnotowanych naruszeń.
- Wydaje mi się, że wpływ na to mogła mieć pandemia i dużo większa sprzedaż online. Sprzedaż była często prowadzona przez firmy, które do tej pory nie miały swoich sklepów internetowych. Przedłużający się okres obostrzeń związanych z COVID-19, zamknięte całe branże - to wszystko sprawiło, że wiele przedsiębiorstw do tej pory sprzedających tylko offline, weszło w segment online, a to mogło wiązać się z problemami wieku dziecięcego, czyli choćby nieco mniejszym doświadczeniem przy obsłudze zamówień internetowych i wynikających z tego pomyłek. Wystarczy błędnie przesłane zamówienie czy faktura i incydent gotowy - przypuszcza Michał Sztąberek, prezes firmy Secure.
Na drugim miejscu pod względem liczby incydentów uplasował się sektor zdrowia i opieki społecznej (13 proc.), na trzecim przemysł i produkcja (10 proc.), a na czwartym finanse i ubezpieczenia (9 proc.).
Jak wynika z badania większość naruszeń nie powodowała dużego ryzyka dla osób, których bezpieczeństwo danych ucierpiało. Świadczyć o tym może fakt, że tylko o co czwartym incydencie poinformowano bezpośrednio zainteresowanych. RODO wymaga takiego powiadomienia tylko wtedy, jeśli w grę wchodzi możliwość naruszenia praw lub wolności osób fizycznych.
Skargi z błędami
Jak wynika ze statystyk UODO, znów wzrosła liczba kierowanych do niego skarg. W ub.r. wpłynęło ich 8,3 tys., podczas gdy w 2020 r. - 6,4 tys. Rekordowy wciąż jednak pozostaje 2019 r. kiedy złożono 9,3 tys. skarg.
Spora część z nich nie kończy się jednak wszczęciem postępowania ze względu na błędy formalne. Brakuje podpisu (skargę do UODO trzeba podpisać własnoręcznie bądź z użyciem podpisu elektronicznego), nie wszystkie zawierają konkretne żądania, co również jest wymagane prawem. Część osób sądzi, że taką skargę można złożyć e-mailem, ale to niewłaściwa droga.
- W sektorach zdrowia, zatrudnienia i szkolnictwa skargi najczęściej odnoszą się do kwestii dotyczących przetwarzania lub udostępnienia danych osobowych bez podstawy prawnej. Zauważalny jest też duży wzrost skarg do UODO, których przedmiot jest związany z obecną sytuacją epidemiologiczną. Chodzi m.in. o przetwarzanie danych osobowych dotyczących statusu zaszczepienia - wskazuje Adam Sanocki.
W sektorze prywatnym skargi najczęściej dotyczyły nieprawidłowości w procesie przetwarzania danych osobowych w celach marketingowych i udostępnienia danych osobowych podmiotom nieuprawnionym. Spora część była związana z przetwarzaniem wizerunku utrwalonego za pomocą monitoringu. Często wpływały także skargi związane z wyciekiem danych. Poszkodowani oczekiwali zabezpieczenia ich przed konsekwencjami tego naruszenia (np. zaciągnięciem na ich nazwisko kredytu). Problem w tym, że prezes UODO nie jest w stanie tego zrobić.
W przypadku sektora finansowego do najczęściej zgłaszanych nieprawidłowości wciąż należy przetwarzanie danych osobowych przez banki w związku z zapytaniami kredytowymi, które nie zakończyły się zawarciem umowy. Wyjątkowo liczne są również skargi na odmowę wykasowania danych przez firmy windykacyjne, które skupują wierzytelności. ©℗