14 stycznia 2021 r. odbyło się 44. posiedzenie plenarne, podczas którego Europejska Rada Ochrony Danych (EROD) przyjęła Wytyczne 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych. Wytyczne zostały przekazane do konsultacji publicznych, które potrwają do 2 marca 2021 r.
Uwagi wstępne
Podczas 1. posiedzenia plenarnego EROD zatwierdziła wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych wydane przez Grupę Roboczą Art. 29 (WP250rev.01)[1]. W zamyśle EROD Wytyczne 01/2021 mają uzupełniać ten dokument poprzez opracowanie bardziej praktycznych, bazujących na konkretnych przypadkach wskazówek i zaleceń, które uwzględnią również wnioski krajowych organów nadzoru z dotychczasowej praktyki stosowania RODO. EROD dostrzegła trudności, z jakimi mierzą się administratorzy danych w procesie zarządzania naruszeniami ochrony danych. Potrzeby administratorów dotyczą w szczególności sposobu postępowania w przypadku stwierdzenia naruszenia danych i określenia czynników, które należy uwzględnić w ocenie ryzyka.
Zasadność przyjęcia Wytycznych
Artykuł 33 ust. 1 RODO[2] zobowiązuje administratorów danych, aby bez zbędnej zwłoki, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia ochrony danych osobowych, zgłosili je właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Wskazanie terminu, co więcej – tak krótkiego, jest wyrazem przekonania, że przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych lub wszelkich innych szkód gospodarczych lub społecznych.
Typowe kategorie naruszeń zidentyfikowane i przeanalizowane przez EROD
Przykłady przedstawione w Wytycznych są fikcyjne, ale opierają się na typowych przypadkach naruszeń ochrony danych osobowych, z którymi w swojej praktyce zetknęły się organy nadzorcze. Omówienie tych sytuacji ma na celu wyjaśnienie, czy w konkretnych okolicznościach administrator danych powinien wykonać obowiązki, o których mowa w art. 33 ust. 1 oraz art. 34 RODO, tj. czy naruszenie powinno zostać zgłoszone organowi nadzoru i czy o tym naruszeniu należy poinformować osoby, których dane dotyczą.
Wytyczne analizują poszczególne przypadki według określonych kategorii naruszeń:
W tej kategorii naruszeń złośliwy kod szyfruje dane osobowe, uniemożliwiając ich odczyt, a następnie atakujący zwraca się do administratora danych o zapłatę okupu w zamian za przekazanie kodu deszyfrującego pliki. Ten rodzaj ataku zwykle klasyfikowany jest jako naruszenie dostępności, ale często może łączyć się z naruszeniem poufności. Wytyczne omawiają tę kategorię w modelach:
Ataki te zwykle mają na celu skopiowanie, eksfiltrację i nieuprawnione używanie danych osobowych dla bezprawnych celów. W tej kategorii mieszczą się głównie naruszenia poufności i niekiedy również integralności danych. Wytyczne odnoszą się do poniższych przypadków:
Wytyczne akcentują rolę i powszechność błędu ludzkiego w występowaniu naruszeń ochrony danych osobowych. Tego typu naruszenia mogą mieć charakter zarówno zamierzony, jak i niezamierzony, stąd administratorom danych bardzo trudno jest zidentyfikować luki w zabezpieczeniach i podjąć odpowiednie środki w celu ich uniknięcia. Wytyczne analizują modele eksfiltracji danych biznesowych przez byłego pracownika oraz przypadkowego transferu danych do zaufanej strony trzeciej.
Częstym przypadkiem naruszenia jest zgubienie lub kradzież urządzeń przenośnych. Administrator musi wtedy wziąć pod uwagę okoliczności przetwarzania, takie jak rodzaj danych przechowywanych w urządzeniu, a także środki podjęte przed naruszeniem w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. Ocena ryzyka przeprowadzana przy takich naruszeniach może nastręczać trudności, ponieważ urządzenie nie jest już dostępne. Tę kategorię naruszeń zazwyczaj uznaje się za naruszenia poufności. Jeśli jednak nie istnieje żadna kopia zapasowa skradzionej bazy danych, może dojść również do naruszenia dostępności i integralności.
Wytyczne omawiają takie warianty tego naruszenia jak:
Jak wskazują Wytyczne, źródłem ryzyka w tej kategorii przypadków jest błąd ludzki, ale bez intencjonalnego działania i chęci doprowadzenia do naruszenia, gdyż najczęściej jest to wynik nieuwagi. Niewiele działań łagodzących skutki naruszenia może zostać podjętych, więc administratorzy powinni skupić się raczej na zapobieganiu. Możliwe przypadki:
Pod tą zbiorczą kategorią przypadków, powiązanych ze sobą wykorzystaniem inżynierii społecznej, kryją się takie zdarzenia jak:
Do każdego z przypadków zidentyfikowane zostały:
Z kolei do każdej kategorii naruszeń zaproponowano organizacyjne i techniczne środki, które mają służyć zapobieganiu naruszenia lub łagodzeniu jego skutków.
Komentarz
EROD stwierdza w Wytycznych, że naruszenia ochrony danych osobowych są problemami samymi w sobie, ale należy je postrzegać również jako symptomy podatnych na zagrożenia, niekiedy przestarzałych systemów bezpieczeństwa danych. Najlepszą praktyką jest zapobieganie naruszeniom, ale gdy już dojdzie do ich wystąpienia, administrator danych powinien podjąć starania, aby zebrać jak najwięcej informacji mówiących o słabości tego systemu.
Ta wiedza powinna następnie zostać wykorzystana w projektowaniu odpowiednich środków technicznych i organizacyjnych. Zadaniem administratora jest zapewnienie stopnia bezpieczeństwa danych przetwarzanych w swojej organizacji odpowiadającemu zidentyfikowanym rodzajom ryzyka naruszenia praw lub wolności osób fizycznych, których dane są przetwarzane. Nie ulega wątpliwości, że nie jest to zadanie łatwe, a z pewnością jest koszto- i czasochłonne, a co więcej – musi być powtarzane z biegiem czasu, wraz ze zmianami o charakterze nie tylko wewnętrznym (np. zmiana procesu przetwarzania danych osobowych w organizacji), lecz także zewnętrznym (np. zmiana stanu wiedzy technicznej).
Dokumenty takie jak Wytyczne należy docenić nie tylko dlatego, że wskazują na uznane przez EROD za wartościowe środki, które mają służyć zapobieganiu naruszenia lub łagodzeniu jego skutków, lecz także dlatego, że pomagają administratorom usprawnić proces zarządzania naruszeniami ochrony danych. Administratorzy muszą mieć świadomość, że celem Wytycznych jest jedynie zapewnienie pomocy w ocenie naruszeń, do których dojdzie w ich organizacji, a jakakolwiek zmiana w okolicznościach omówionych przypadków może skutkować innym wynikiem oceny ryzyka. Tekst Wytycznych, jaki zostanie ustalony w ostatecznym brzmieniu, po zakończeniu konsultacji, z pewnością będzie ważną pomocą w budowaniu efektywnego systemu ochrony danych osobowych w organizacji, ale – z powyższych względów – pomoc ta będzie miała nieco ograniczone zastosowanie.
[1] Zob. https://edpb.europa.eu/our-work-tools/our-documents/guideline/personal-data-breach-notifications_pl (dostęp: 1.02.2020).
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).