14 stycznia 2021 r. odbyło się 44. posiedzenie plenarne, podczas którego Europejska Rada Ochrony Danych (EROD) przyjęła Wytyczne 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych. Wytyczne zostały przekazane do konsultacji publicznych, które potrwają do 2 marca 2021 r.

Uwagi wstępne

Podczas 1. posiedzenia plenarnego EROD zatwierdziła wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych wydane przez Grupę Roboczą Art. 29 (WP250rev.01)[1]. W zamyśle EROD Wytyczne 01/2021 mają uzupełniać ten dokument poprzez opracowanie bardziej praktycznych, bazujących na konkretnych przypadkach wskazówek i zaleceń, które uwzględnią również wnioski krajowych organów nadzoru z dotychczasowej praktyki stosowania RODO. EROD dostrzegła trudności, z jakimi mierzą się administratorzy danych w procesie zarządzania naruszeniami ochrony danych. Potrzeby administratorów dotyczą w szczególności sposobu postępowania w przypadku stwierdzenia naruszenia danych i określenia czynników, które należy uwzględnić w ocenie ryzyka.

Zasadność przyjęcia Wytycznych

Artykuł 33 ust. 1 RODO[2] zobowiązuje administratorów danych, aby bez zbędnej zwłoki, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia ochrony danych osobowych, zgłosili je właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Wskazanie terminu, co więcej – tak krótkiego, jest wyrazem przekonania, że przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych lub wszelkich innych szkód gospodarczych lub społecznych.

Typowe kategorie naruszeń zidentyfikowane i przeanalizowane przez EROD

Przykłady przedstawione w Wytycznych są fikcyjne, ale opierają się na typowych przypadkach naruszeń ochrony danych osobowych, z którymi w swojej praktyce zetknęły się organy nadzorcze. Omówienie tych sytuacji ma na celu wyjaśnienie, czy w konkretnych okolicznościach administrator danych powinien wykonać obowiązki, o których mowa w art. 33 ust. 1 oraz art. 34 RODO, tj. czy naruszenie powinno zostać zgłoszone organowi nadzoru i czy o tym naruszeniu należy poinformować osoby, których dane dotyczą.

Wytyczne analizują poszczególne przypadki według określonych kategorii naruszeń:

  1. Ataki ransomware

W tej kategorii naruszeń złośliwy kod szyfruje dane osobowe, uniemożliwiając ich odczyt, a następnie atakujący zwraca się do administratora danych o zapłatę okupu w zamian za przekazanie kodu deszyfrującego pliki. Ten rodzaj ataku zwykle klasyfikowany jest jako naruszenie dostępności, ale często może łączyć się z naruszeniem poufności. Wytyczne omawiają tę kategorię w modelach:

  • Ransomware z właściwą zapasową kopią danych i bez eksfiltracji (wycieku) danych – w tym modelu uznano, że ryzyko naruszenia praw lub wolności osób fizycznych nie występuje.
    • Ransomware bez właściwej kopii zapasowej – naruszenie powinno zostać zgłoszone organowi nadzoru, natomiast obowiązek poinformowania podmiotów danych należy ocenić z perspektywy długości okresu niedostępności danych i trudności, jakie może to spowodować w organizacji, np. opóźnienie wypłaty wynagrodzeń.
    • Ransomware z kopią zapasową i bez eksfiltracji, do którego doszło w szpitalnych bazach danych – ten przypadek zaklasyfikowano jako wiążący się z wysokim ryzykiem naruszenia praw i wolności osób, których dane dotyczą. Decydujące znaczenie miały takie okoliczności jak szczególne kategorie danych osobowych oraz potencjalnie długi czas przywrócenia danych skutkujący opóźnieniami w opiece nad pacjentami. EROD rozróżniła sytuację podmiotów danych, które były leczone w szpitalu w ostatnich latach, od sytuacji osób leczonych 20 lat przed wystąpieniem naruszenia.
    • Ransomware bez właściwej kopii zapasowej, lecz z eksfiltracją – uznano, że ten przypadek wiąże się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, ponieważ może prowadzić do szkód zarówno materialnych (np. straty finansowe spowodowane wyciekiem danych z kart kredytowych), jak i niemajątkowych (np. kradzież tożsamości lub oszustwo, ponieważ wyciekły dane z dowodów osobistych).
  • Ataki związane z eksfiltracją danych

Ataki te zwykle mają na celu skopiowanie, eksfiltrację i nieuprawnione używanie danych osobowych dla bezprawnych celów. W tej kategorii mieszczą się głównie naruszenia poufności i niekiedy również integralności danych. Wytyczne odnoszą się do poniższych przypadków:

  • Eksfiltracja danych z internetowych formularzy uzupełnianych przez kandydatów do pracy – uznano, że ten przypadek może wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, pomimo że nie obejmował szczególnych kategorii danych osobowych. Decydujące znaczenie ma fakt, że doszło do ujawnienia znacznej ilości danych osobowych pochodzących z formularzy internetowych, a dane te mogą być nadużywane na wiele sposobów (kierowanie niezamówionych komunikatów marketingowych, kradzież tożsamości itp.).
    • Eksfiltracja zaszyfrowanego hasła ze strony internetowej – w tym modelu uznano, że ryzyko naruszenia praw lub wolności osób fizycznych nie występuje. Powiadomienie podmiotów danych nie było obowiązkowe, ale administrator podjął takie działanie i Wytyczne wskazują, że w wielu przypadkach można to uznać za dobrą praktykę.
    • Atak dotyczący danych do logowania w witrynie bankowej – EROD podkreśliła, że administratorzy przetwarzający informacje o tak wrażliwym charakterze jak dane finansowe ponoszą większą odpowiedzialność w zakresie zapewnienia odpowiedniego stopnia bezpieczeństwa danych. Przypadek zaklasyfikowano jako wiążący się z wysokim ryzykiem naruszenia praw i wolności wszystkich osób, których dane dotyczą.
  • Wewnętrzne źródło ryzyka w postaci czynnika ludzkiego

Wytyczne akcentują rolę i powszechność błędu ludzkiego w występowaniu naruszeń ochrony danych osobowych. Tego typu naruszenia mogą mieć charakter zarówno zamierzony, jak i niezamierzony, stąd administratorom danych bardzo trudno jest zidentyfikować luki w zabezpieczeniach i podjąć odpowiednie środki w celu ich uniknięcia. Wytyczne analizują modele eksfiltracji danych biznesowych przez byłego pracownika oraz przypadkowego transferu danych do zaufanej strony trzeciej.

  • Zagubione lub skradzione urządzenia i dokumenty papierowe

Częstym przypadkiem naruszenia jest zgubienie lub kradzież urządzeń przenośnych. Administrator musi wtedy wziąć pod uwagę okoliczności przetwarzania, takie jak rodzaj danych przechowywanych w urządzeniu, a także środki podjęte przed naruszeniem w celu zapewnienia odpowiedniego poziomu bezpieczeństwa. Ocena ryzyka przeprowadzana przy takich naruszeniach może nastręczać trudności, ponieważ urządzenie nie jest już dostępne. Tę kategorię naruszeń zazwyczaj uznaje się za naruszenia poufności. Jeśli jednak nie istnieje żadna kopia zapasowa skradzionej bazy danych, może dojść również do naruszenia dostępności i integralności.

Wytyczne omawiają takie warianty tego naruszenia jak:

  • Kradzież nośnika zawierającego zaszyfrowane lub niezaszyfrowane dane osobowe.
    • Kradzież papierowych dokumentów zawierających szczególne kategorie danych osobowych.
  • Błędy związane z przesyłaniem poczty

Jak wskazują Wytyczne, źródłem ryzyka w tej kategorii przypadków jest błąd ludzki, ale bez intencjonalnego działania i chęci doprowadzenia do naruszenia, gdyż najczęściej jest to wynik nieuwagi. Niewiele działań łagodzących skutki naruszenia może zostać podjętych, więc administratorzy powinni skupić się raczej na zapobieganiu. Możliwe przypadki:

  • Błąd „snail mail” – polega on na tym, że przesyłka nie zostaje skierowana do właściwej osoby, np. klient otrzymuje zamówienie wraz z rachunkiem, na którym widnieją dane osobowe, dotyczącym zamówienia innego klienta.
    • Błędna wysyłka e-maila zawierającego wrażliwe lub zwykłe dane osobowe.
  • Inne przypadki – inżynieria społeczna

Pod tą zbiorczą kategorią przypadków, powiązanych ze sobą wykorzystaniem inżynierii społecznej, kryją się takie zdarzenia jak:

  • Kradzież tożsamości – na żądanie osoby podającej się za klienta firma telekomunikacyjna dokonała zmiany adresu e-mail, na który mają być przesyłane billingi. Zmianę przeprowadzono po potwierdzeniu tożsamości klienta, zgodnie z procedurami obowiązującymi w firmie. Osoba podająca się za klienta dysponowała danymi, których sprawdzenie obejmowała weryfikacja tożsamości. Pośród innych uwag EROD zwróciła szczególną uwagę na to, że statyczne uwierzytelnianie oparte na wiedzy (w ramach którego odpowiedź nie ulega zmianie i informacje nie są znane jedynie klientowi – jak w przypadku hasła) nie jest zalecane.
    • Eksfiltracja e-maili – z wykorzystaniem danych pozyskanych z eksfiltracji e-maili atakujący, udając dostawcę, dokonał zmiany danych konta bankowego na swoje własne, a także wysłał kilka fałszywych faktur, które zawierały nowy numer konta bankowego. EROD uznała, że ten przypadek może się wiązać z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.

Do każdego z przypadków zidentyfikowane zostały:

  • Uprzednie środki i ocena ryzyka – EROD podkreśliła, że większości naruszeń można zapobiec, zapewniając odpowiednie organizacyjne, fizyczne i techniczne środki bezpieczeństwa. Wśród przykładów wskazano dysponowanie kopią zapasową danych, a także wdrożenie programu edukacji, szkolenia i podnoszenia świadomości pracowników (SETA).
    • Środki mające na celu zaradzenie naruszeniu i obowiązki, które należy wykonać w związku z wystąpieniem naruszenia.

Z kolei do każdej kategorii naruszeń zaproponowano organizacyjne i techniczne środki, które mają służyć zapobieganiu naruszenia lub łagodzeniu jego skutków.

Komentarz

EROD stwierdza w Wytycznych, że naruszenia ochrony danych osobowych są problemami samymi w sobie, ale należy je postrzegać również jako symptomy podatnych na zagrożenia, niekiedy przestarzałych systemów bezpieczeństwa danych. Najlepszą praktyką jest zapobieganie naruszeniom, ale gdy już dojdzie do ich wystąpienia, administrator danych powinien podjąć starania, aby zebrać jak najwięcej informacji mówiących o słabości tego systemu.

Ta wiedza powinna następnie zostać wykorzystana w projektowaniu odpowiednich środków technicznych i organizacyjnych. Zadaniem administratora jest zapewnienie stopnia bezpieczeństwa danych przetwarzanych w swojej organizacji odpowiadającemu zidentyfikowanym rodzajom ryzyka naruszenia praw lub wolności osób fizycznych, których dane są przetwarzane. Nie ulega wątpliwości, że nie jest to zadanie łatwe, a z pewnością jest koszto- i czasochłonne, a co więcej – musi być powtarzane z biegiem czasu, wraz ze zmianami o charakterze nie tylko wewnętrznym (np. zmiana procesu przetwarzania danych osobowych w organizacji), lecz także zewnętrznym (np. zmiana stanu wiedzy technicznej).

Dokumenty takie jak Wytyczne należy docenić nie tylko dlatego, że wskazują na uznane przez EROD za wartościowe środki, które mają służyć zapobieganiu naruszenia lub łagodzeniu jego skutków, lecz także dlatego, że pomagają administratorom usprawnić proces zarządzania naruszeniami ochrony danych. Administratorzy muszą mieć świadomość, że celem Wytycznych jest jedynie zapewnienie pomocy w ocenie naruszeń, do których dojdzie w ich organizacji, a jakakolwiek zmiana w okolicznościach omówionych przypadków może skutkować innym wynikiem oceny ryzyka. Tekst Wytycznych, jaki zostanie ustalony w ostatecznym brzmieniu, po zakończeniu konsultacji, z pewnością będzie ważną pomocą w budowaniu efektywnego systemu ochrony danych osobowych w organizacji, ale – z powyższych względów – pomoc ta będzie miała nieco ograniczone zastosowanie.

[1] Zob. https://edpb.europa.eu/our-work-tools/our-documents/guideline/personal-data-breach-notifications_pl (dostęp: 1.02.2020).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).