Warszawski magistrat zaliczył niedawno poważną wpadkę – omyłkowo przesłał nieuprawnionym osobom numery ksiąg wieczystych z rejestrów cen nieruchomości i poinformował o tym w swoim Biuletynie Informacji Publicznej. Sprawa ta skłania do omówienia problemów związanych z bezpieczeństwem danych osobowych w sektorze publicznym i poszukania odpowiedzi na pytanie, jak zapobiec takim przypadkom oraz jak prawidłowo reagować, gdy już się wydarzą.

W takich przypadkach, jak przypomniany wyżej, RODO posługuje się terminem „naruszenie ochrony danych osobowych”. Potocznie używa się określenia incydent bezpieczeństwa (nim się też to posłużyły władze stolicy). Incydentem nie jest jednak naruszenie jakiegokolwiek wymogu RODO, np. niespełnienie obowiązku informacyjnego, ale wyłącznie naruszenie reguł bezpieczeństwa (jednego z trzech jego atrybutów, tj. poufności, integralności i dostępności danych) prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Incydent bezpieczeństwa
Należy rozumieć jako następujące zależności:
  • nie każde zdarzenie związane z bezpieczeństwem (np. otrzymanie e-maila w ramach kampanii phishingowej) jest incydentem bezpieczeństwa;
  • nie każde naruszenie reguł bezpieczeństwa (np. błędna konfiguracja mechanizmów autoryzacji) prowadzi do incydentu bezpieczeństwa (np. błąd został zauważony i skorygowany, a jednocześnie brak informacji o wykorzystaniu tej luki bezpieczeństwa), ale taka sytuacja może rodzić odpowiedzialność na gruncie RODO za niewdrożenie zasady privacy by design, jeżeli wskazana okoliczność zostanie ujawniona, np. przy okazji kontroli;
  • nie każdy incydent bezpieczeństwa rodzi ryzyko naruszenia praw lub wolności (np. gdy naruszenie dostępności danych nie rodzi negatywnych konsekwencji dla praw lub wolności osób, których to dotyczy).
Oczywiście każdy administrator danych musi identyfikować i oceniać oraz dokumentować przypadki możliwego naruszenia bezpieczeństwa. W przypadku stwierdzenia, że doszło do naruszenia, musi przeprowadzić i udokumentować ocenę ryzyka naruszenia praw lub wolności. W zależności od oceny ryzyka otworzy się droga do obowiązku:
  • zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (gdy może wystąpić ryzyko naruszenia praw lub wolności) bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia;
  • zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (gdy może wystąpić wysokie ryzyko) bez zbędnej zwłoki.
W przedmiotowej sprawie administrator ocenił, że sytuacja może rodzić wysokie ryzyko naruszenia praw lub wolności i zdecydował się na publiczny komunikat w stołecznym BIP. Nie wysłał informacji bezpośrednio do osób, których dotyczy naruszenie, uznając zapewne, że wymagałoby „niewspółmiernie dużego wysiłku”. Taki sposób informowania jest zgodny z art. 34 ust. 3 lit. c RODO, co nie oznacza, że nie będzie to oceniane przez Urząd Ochrony Danych Osobowych. Biorąc pod uwagę bardzo rygorystyczne podejście urzędu, czego przykładem jest szeroko omawiana sprawa Bisnode, [ramka] nie można wykluczyć zakwestionowania tego sposobu informowania o naruszeniu w omawianej sprawie.
Sprawa Bisnode
UODO nałożył na spółkę 943 tys. zł kary w związku ze stwierdzeniem naruszenia obowiązku informacyjnego, polegającego na niepodaniu informacji zawartych w art. 14 ust. 1 i 2 RODO wszystkim osobom fizycznym, których dane osobowe spółka przetwarzała, prowadzącym aktualnie lub w przeszłości jednoosobową działalność gospodarczą, oraz osobom fizycznym, które zawiesiły wykonywanie tej działalności (decyzja UODO z 15 marca 2019 r., nr ZSPR.421.3.2018).
Spółka tłumaczyła, że wysłanie listów do wszystkich osób kosztowałoby ją 30 mln zł. Byłby to więc „niewspółmiernie wysoki wysiłek”, a taki – zgodnie z RODO – wyłącza spełnienie obowiązku informacyjnego. UODO do tej argumentacji się nie przychylił. Sprawa trafiła do Wojewódzkiego Sądu Administracyjnego, który uznał, iż wysoki koszt wysyłki informacji pocztą tradycyjną nie może przesądzać o tym, że zachodzi przesłanka „niewspółmiernie dużego wysiłku”. ©℗
Działania zaradcze i naprawcze
Co należy zrobić, gdy do wycieku danych już doszło? Administrator powinien podjąć działania, by zminimalizować ich ewentualne negatywne skutki. Stołeczni urzędnicy, jak czytamy w BIP, po odkryciu błędu od razu wysłali do nieuprawnionych odbiorców prośbę, by usunęli wykazy. Odbiorców niefortunnych wiadomości zobowiązano też do zachowania poufności wszelkich danych, z którymi mogli się zapoznać, oraz nieudostępniania danych nikomu innemu. Pouczono ich też o konsekwencjach prawnych ewentualnego nieuprawnionego przetwarzania i wykorzystania danych. W zasadzie pierwsze dwa punkty komunikatu wprowadzają w błąd. Nie ma bowiem na gruncie RODO, czy ogólnie polskiego prawa, mechanizmu jednostronnego zobowiązania do zachowania poufności danych osobowych czy wymuszenia złożenia takiego zapewnienia. Być może wskazane osoby dobrowolnie zobowiązały się do podjęcia określonych działań, choć w komunikacie stołecznego ratusza brakuje zapewnienia, że faktycznie informacje dotyczące ksiąg wieczystych, które omyłkowo otrzymały, usunęły one ze swoich komputerów. Co istotne, RODO wcale nie wymaga, aby administrator danych takie oświadczenie uzyskał, ale niewątpliwie wpływa to na ocenę ryzyka związanego z naruszeniem – jest w jakimś sensie okolicznością łagodzącą w ocenie sytuacji związanej z wyciekiem danych. Nie ma to jednak przesądzającego znaczenia, co podkreśla UODO w swoim poradniku dotyczącym incydentów: „Można przyjąć inne prawdopodobieństwo w sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi (np. innemu klientowi administratora, który poinformował o pomyłce bądź oświadczył, że nie wykorzystał przekazanych omyłkowo informacji do celów prywatnych i/lub niezgodnych z prawem), nie daje to jednak żadnej gwarancji, że intencje takiej osoby obecnie bądź w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące” (Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, s. 17 i 18).
Kwestią otwartą jest, czy ujawnienie (w BIP) adresów nieruchomości, których dotyczy wyciek (oczywiście pośrednio – chodzi o dane ich właścicieli), nie jest problem samym w sobie. Czysto hipotetycznie można sobie wyobrazić, że nieuprawniony odbiorca bardzo dużej liczby numerów ksiąg wieczystych może nie mieć motywacji, aby z tych numerów skorzystać. Sytuację tę może zmienić jednak informacja, że wśród tych numerów znajdzie się nieruchomość, która go interesuje.
To trzeba zweryfikować
Zanim sprawa trafi do UODO, urząd może sam zweryfikować okoliczności zdarzenia i sprawdzić:
  • jak i dlaczego doszło do naruszenia ochrony danych osobowych,
  • kiedy i jak stwierdzono naruszenie,
  • czy wdrożono odpowiednie procedury związane z obsługą incydentów.
Następnie należy sprawdzić, jakie działania podjęto po wystąpieniu samego zdarzenia, czyli:
  • jak przeprowadzono ocenę ryzyka,
  • czy bez zbędnej zwłoki poinformowano o zdarzeniu UODO (w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia),
  • czy komunikat zamieszczony w BIP o incydencie bezpieczeństwa był napisany jasnym i prostym językiem i opisywał charakter naruszenia ochrony danych osobowych,
  • czy administrator prawidłowo dokonał poinformowania osób, których dotyczy naruszenie przez stronę BIP.
WAŻNE Urząd nie ma uprawnienia, by zobowiązać osobę, do której omyłkowo trafiły informacje z jego rejestrów, do zachowania poufności danych osobowych czy wymuszenia na niej złożenia takiego zapewnienia.
UODO w trakcie kontroli może sprawdzać, czy i jakie środki organizacyjne i techniczne wdrożono, aby zapobiec wyciekowi danych. Przykładowa weryfikacja może polegać na odpowiedzi na konkretne pytania (urząd może ją przeprowadzić samodzielnie, by poznać mechanizmy powstania błędu i być przygotowanym na kontrole UODO).
1. Jak administrator danych zarządza dostępem do systemów informatycznych (i danych tam przetwarzanych), czyli:
☛kto ma do nich dostęp,
☛kto decyduje o nadaniu i odebraniu dostępu,
☛kto decyduje o poziomie uprawnień poszczególnych pracowników,
☛czy zapewniono zasadę need to know (możliwie minimalnego zakresu dostępu) oraz least privilege (najniższy poziom uprawnień niezbędny do realizacji określonych działań),
☛kto i w jakich warunkach może pobierać duże ilości danych?
2. Czy wyeksportowanie nadmiarowych danych wynikało z błędu człowieka, np. na etapie konfigurowania systemu, m.in.: naruszenia zasady minimalizacji i privacy by default, zdefiniowania zakresu dostępu i uprawnień), czy z awarii systemu?
3. Jakie zasady wdrożono w ramach korespondencji kierowanej na zewnętrz urzędu, czyli np.:
☛jak udostępniano dokumenty,
☛jakie dane mogły być udostępniane w drodze e-mailowej i jak je zabezpieczano,
☛czy hasłowano załączniki,
☛czy była możliwość udostępnienia danych w inny niż e-mailowy sposób, np. przez ePUAP,
☛czy i jak weryfikowano tożsamość odbiorców,
☛czy pracownicy byli zobowiązani do weryfikowania treść załącznika przed jego przesłaniem?
Odpowiedzi negatywne powinny skłaniać do wdrożenia zabezpieczeń, które mogą znacząco obniżyć prawdopodobieństwo wystąpienia samego incydentu lub poziomu jego negatywnych skutków, nawet w przypadku awarii systemu.
Podstawa prawna
art. 14 ust. 1 i 2, art. 34 ust. 3 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; RODO (Dz.Urz. UE z 2016 r. L 119, s. 1; ost.zm. Dz.Urz. UE z 2018 r. L 127, s. 2)