Nie wystarczy ustalenie procedur wewnętrznych dostosowujących ochronę danych osobowych do wymogów RODO, trzeba też bezwzględnie wymagać od pracowników urzędu, by stosowali przyjęte rozwiązania. Ewentualne zaniedbania mogą się zakończyć nałożeniem kary przez UODO - pisze Tomasz Osiej, radca prawny specjalizujący się w tematyce ochrony danych osobowych, Kancelaria Osiej i Partnerzy, portal Gdpr.pl.
2 listopada 2022 r. prezes Urzędu Ochrony Danych Osobowych (dalej: prezes UODO) nałożył na wójta gminy Dobrzyniewo Duże administracyjną karę pieniężną w wysokości 8 tys. zł (decyzja nr DKN.5131.8.2022) w związku z naruszeniem przepisów
RODO (rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; ogólne rozporządzenie o ochronie danych; Dz.Urz. UE z 2016 r. L119, s. 1). Decyzja odbiła się szerokim echem w mediach, a tym, co zwróciło powszechną uwagę, było to, że choć laptop został ukradziony pracownikowi urzędu, który wyniósł go do domu, to konsekwencje finansowe za utratę danych poniósł wójt. Przyjrzyjmy się zatem bliżej, w jakich okolicznościach doszło do ukarania wójta i na co nadzór chciał zwrócić uwagę, uzasadniając swoją decyzję i określając czynniki, jakie wziął pod uwagę przy określaniu wysokości kary.
Przyczyna ukarania
Incydent polegał na tym, że pracownik urzędu gminy wyniósł poza urząd komputer przenośny, na którym znajdowały się pliki zawierające dane osobowe. Robił to od lat, jednak w lutym br. doszło do włamania do jego mieszkania, podczas którego skradziono służbowy laptop. Sprzęt był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła. Jednak dysk twardy laptopa nie został zaszyfrowany, a – co ważne – było to niezgodne z wewnętrznymi procedurami, które urząd gminy sam wprowadził w maju 2018 r. Zgodnie z obowiązkiem wynikającym z
RODO wójt zgłosił naruszenie do Urzędu Ochrony Danych Osobowych, oceniając je wcześniej jako skutkujące wysokim ryzykiem naruszenia praw osób, których dane dotyczą. W trakcie postępowania prowadzonego przez UODO okazało się, że administrator (wójt gminy) miał pełną świadomość zagrożeń związanych z utratą sprzętu komputerowego wynoszonego poza budynek urzędu. W analizie ryzyka przewidział on takie zdarzenie. Co więcej: ocenił to ryzyko jako nieakceptowalne i wskazał m.in. szyfrowanie dysków twardych jako zabezpieczenie ograniczające te ryzyko. Skradziony laptop nie był jednak w ten sposób zabezpieczony. Brak wdrożenia środka bezpieczeństwa w postaci szyfrowania dysku stanowiło zignorowanie zasad ustalonych przez samego administratora. W dokumentacji wewnętrznej bowiem wskazano, że: „W przypadku przechowywania na komputerze przenośnym danych osobowych lub stanowiących tajemnicę Pracodawcy, użytkownik zobowiązany jest do ich przechowywania na dysku szyfrowanym”. Jak się okazało, wdrożenie nastąpiło dopiero po wystąpieniu naruszenia, które zostało zgłoszone do Urzędu Ochrony Danych Osobowych, a w zasadzie po zainteresowaniu się tym aspektem przez UODO. Wójt, usprawiedliwiając brak wdrożenia przyjętych zabezpieczeń, wskazał na „szereg prac przygotowujących urząd do nowego roku kalendarzowego”, po zakończeniu których zamierzano zaszyfrować twardy dysk przedmiotowego komputera. Mówiąc krótko: był dokument, był plan, nie było wdrożenia.
Działanie, a w zasadzie bezczynność wójta pomimo świadomości zagrożeń wynikających z braku szyfrowania dysku twardego, zostało jednoznacznie ocenione przez prezesa UODO jako wyraz zlekceważenia
przepisów o ochronie danych osobowych. Przyjęcie dobrych rozwiązań i zaniechanie ich wdrożenia to bardzo poważny błąd po stronie wójta.
►Co robić w przypadku, gdy dojdzie do naruszenia bezpieczeństwa danych?
Aby odpowiedzieć na to pytanie, należy na początku zdefiniować, kiedy mamy do czynienia z naruszeniem? Zgodnie z art. 4 pkt 12 RODO naruszenie ochrony
danych osobowych definiuje się jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
A zatem z naruszeniem mamy do czynienia, gdy nastąpi:
- naruszenie poufności, które polega na ujawnieniu lub udostępnieniu danych osobie nieuprawnionej (np. mającej dostęp do niezaszyfrowanego komputera);
- naruszenie integralności, które sprowadza się do zmiany treści danych osobowych, czyli ich modyfikowania, w sposób nieautoryzowany;
- naruszenie dostępności, które wiąże się z trwałą utratą dostępu do danych lub ich zniszczeniem (kradzież laptopa przy jednoczesnym braku kopii zapasowej).
Jeśli okaże się, że mamy do czynienia z naruszeniem, następnym krokiem powinno być przeprowadzenie szczegółowej analizy zdarzenia (co uczynił wójt w opisanym przypadku). Taka analiza odpowiada na pytanie: czy incydent może prowadzić do ryzyka naruszenia praw i wolności osób fizycznych, innymi słowy: jak może tym osobom ewentualnie zaszkodzić i jakie skutki ze sobą niesie. Dodatkowo należy określić, na ile jest to prawdopodobne zagrożenie, czy może już się spełniło. Różny stopień ryzyka to różne działania, do jakich administrator (lub podmiot przetwarzający) jest zobowiązany. I tak, jeśli ryzyko jest niskie, nie ma obowiązku zawiadamiania UODO o naruszeniu. Jeżeli jednak ryzyko oceniono jako wysokie, trzeba zawiadomić również osoby, których dane dotyczą, czyli ewentualnych poszkodowanych incydentem. W takim zawiadomieniu należy:
- opisać prostym językiem charakter naruszenia,
- podać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został wyznaczony) lub innego punktu kontaktowego, w którym osoba zainteresowana będzie mogła uzyskać więcej informacji,
- opisać możliwe konsekwencje naruszenia ochrony danych osobowych,
- wyjaśnić, jakie środki administrator zastosował lub proponuje zastosować, aby zminimalizować negatywne skutki naruszenia i zapobiec podobnym incydentom w przyszłości.
Jeśli natomiast ryzyko zostanie ocenione jako średnie, to pociąga to za sobą tylko obowiązek zgłoszenia do UODO.
Zgłoszenie naruszenia
Jeśli z analizy wyniknie, że naruszenie wymaga zgłoszenia do organu nadzorczego (ryzyko jest co najmniej średnie), administrator danych osobowych powinien je zgłosić bez zbędnej zwłoki (w zasadzie w ciągu 72 godzin od stwierdzenia naruszenia). Jeśli zgłoszenie jest przekazywane po upływie tego czasu, wówczas należy do niego dołączyć wyjaśnienie przyczyn opóźnienia. Jeśli występujemy jako podmiot przetwarzający
dane osobowe i stwierdzimy u siebie przypadek naruszenia ochrony danych osobowych, mamy obowiązek bez zbędnej zwłoki powiadomić o tym administratora, w którego imieniu przetwarzamy dane.
Zawiadomienie o naruszeniu ochrony danych osobowych musi w swojej treści zawierać takie informacje jak:
- opis charakteru naruszenia – wyjaśnienie, jakich kategorii danych (np. PESEL, adres zamieszkania, numer telefonu) oraz jakich kategorii osób (pracownik, klient, kontrahent) dotyczy naruszenie;
- dane kontaktowe, imię, nazwisko inspektora ochrony danych (jeśli został wyznaczony) lub innej osoby do kontaktu w związku z naruszeniem;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych (np. próba wyłudzenia kredytu na skradzione dane osobowe);
- środki, jakie administrator zastosował lub zastosuje, aby zminimalizować negatywne skutki naruszenia i aby zapobiec podobnym incydentom w przyszłości.
Zgłoszenia można dokonać na cztery sposoby, tj.:
- elektronicznie – poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl,
- elektronicznie – poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP Urzędu Ochrony Danych Osobowych,
- elektronicznie – poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
- tradycyjną pocztą – wysyłając wypełniony formularz na adres Urzędu Ochrony Danych Osobowych.
Jak temu zaradzić
Jakie działania może podjąć zatem włodarz gminy, aby uniknąć sytuacji, w jakiej znalazł się ukarany wójt? Na szczęście nie zawsze wymaga to wyrafinowanych działań po stronie administratora.
► Krok 1. Identyfikacja zagrożeń i szacowanie ryzyka. Pierwszym zadaniem jest uświadomienie sobie istniejących niebezpieczeństw, a następnie oszacowanie poziomu ryzyka związanego z wystąpieniem takiego zdarzenia, np. poprzez określenie poziomu dotkliwości skutków zdarzenia oraz prawdopodobieństwa jego wystąpienia. Ale to nie wszystko. Ukarany wójt zdawał sobie sprawę, z czym może się wiązać utrata sprzętu komputerowego wynoszonego poza budynek urzędu gminy. W sposób prawidłowy ocenił zagrożenia z tym związane oraz zaplanował działania w celu przeciwdziałania potencjalnym skutkom naruszenia i zapobieżenia utracie poufności danych osobowych znajdujących się na takim urządzeniu. Zawiodło jednak wdrożenie planu, a następnie weryfikacja.
► Krok 2. Dobranie i wprowadzenie adekwatnych do oszacowanych poziomów ryzyka środków. Określenie „właściwych” środków nie jest oczywiście proste, bo RODO nie daje jednoznacznych wytycznych, pozostawiając wybór administratorom (nie narzuca konkretnych rozwiązań, jak czyniła to poprzednia ustawa o ochronie danych osobowych). Można jednak pokusić się o wskazanie podstawowych i najpopularniejszych środków technicznych i organizacyjnych, które powinien stosować każdy administrator danych. Wynika to z praktyki, decyzji urzędów nadzoru, wytycznych i różnych norm bezpieczeństwa. Lista nie jest wyczerpująca, ale może być bardzo przydatna w codziennej praktyce. Mowa tutaj o takich zabezpieczeniach technicznych, jak:
- szyfrowanie danych w trakcie ich przechowywania i przesyłania,
- stosowanie „silnych” haseł ograniczających dostęp do danych na urządzeniach służących do przetwarzania danych (np. laptopach) – w tym stosowanie uwierzytelniania dwuskładnikowego,
- anonimizacja danych,
- pseudonimizacja danych.
Z kolei podstawowe zabezpieczenia organizacyjne to:
- polityki i procedury określające zasady przetwarzania danych w sposób bezpieczny, wyznaczający strefy bezpieczne,
- procedury dozwolonego użytku sprzętu służącego do przetwarzania danych osobowych,
- zamykanie pomieszczeń, w których przetwarzane są dane osobowe,
- kontrola dostępu interesantów do pomieszczeń służbowych,
- polityka haseł określająca zasady posługiwania się nimi (np. zakaz zapisywania haseł i przechowywania w widocznych miejscach) czy tworzenia bezpiecznych haseł,
- zakaz wynoszenia nieszyfrowanych laptopów służbowych i dokumentów służbowych poza wyznaczone strefy,
- zakaz lub określenie zasad wykorzystywania prywatnych urządzeń w pracy,
- zasady pracy zdalnej,
- szkolenia i ciągłe podnoszenie świadomości,
- prowadzenie regularnej kontroli wdrożonych zabezpieczeń.
Podpowiedzi dotyczących tego, jak odpowiednio zabezpieczyć dane, warto szukać na stronach Urzędu Ochrony Danych Osobowych, warto też śledzić rozwiązania zalecane przez inne europejskie organy nadzoru. Cennym źródłem informacji mogą być też normy bezpieczeństwa, ale najważniejsze pozostają konsekwencja działań i ich regularna weryfikacja połączona ze zdrowym rozsądkiem.
► Krok 3. Monitorowanie i i kontrolowanie stosowania zaplanowanych środków. Należy bezwzględnie wymagać stosowania przyjętych rozwiązań. Bo, jak pokazuje przykład wójta wspomnianej na wstępie gminy, nałożona przez prezesa UODO kara bardziej dotyczyła braku skuteczności wdrożenia i tolerowania takiego stanu od 2018 r. niż samego incydentu. ©℗
Inne decyzje wobec jednostek administracji publicznej
To nie pierwszy przypadek, w którym jednostka administracji publicznej została ukarana przez prezesa UODO za naruszenia bezpieczeństwa danych osobowych. Naruszenia dotyczyły nie tylko braku zabezpieczeń o charakterze technicznym, lecz także zaniedbań organizacyjnych. I tak m.in.:
► karę 10 000 zł nałożono na prezesa Sądu Rejonowego w Zgierzu, w którym doszło do kradzieży niezaszyfrowanego pendrive’a (decyzja prezesa UODO z 13 lipca 2021 r. nr DKN.5131.22.2021);
► karę 40 000 zł nałożono na burmistrza Aleksandrowa Kujawskiego m.in. w związku z brakiem zawarcia umowy powierzenia z podmiotami, którym były udostępniane dane, brakiem procedur wewnętrznych dotyczących okresów retencji danych, brakiem odpowiednich środków technicznych i organizacyjnych w związku z przechowywaniem nagrań sesji Rady Miejskiej wyłącznie na serwerach YouTube'a (decyzja prezesa UODO z 18 października 2019 r. nr ZSPU.421.3.2019). ©℗