Decyzje prezesa Urz\u0119du Ochrony Danych Osobowych (UODO) s\u0105 \u017ar\u00f3d\u0142em cennych informacji i stanowi\u0105 dla administrator\u00f3w i podmiot\u00f3w przetwarzaj\u0105cych swoiste drogowskazy, jak we w\u0142a\u015bciwy spos\u00f3b przetwarza\u0107 dane osobowe. W\u015br\u00f3d decyzji prezesa UODO na szczeg\u00f3ln\u0105 uwag\u0119 zas\u0142uguj\u0105 te, w kt\u00f3rych dotyka materii narusze\u0144 ochrony danych osobowych.<\/p>\n
W 2023 r. prezes UODO wyda\u0142 m.in. dwie decyzje, kt\u00f3re ponownie powinny przypomnie\u0107 administratorom o zasadach doboru \u015brodk\u00f3w technicznych i organizacyjnych, w celu zapewnienia bezpiecze\u0144stwa danych osobowych. Pierwsza decyzja dotyczy\u0142a administratora, u kt\u00f3rego dosz\u0142o do zgubienia przez pracownika jednego z s\u0105d\u00f3w niezabezpieczonych pendrive\u2019\u00f3w, zawieraj\u0105cych niesprecyzowany katalog danych osobowych (decyzja z 19 stycznia 2023 r., sygn., DKN.5131.12.2020).<\/p>\n
Druga to decyzja dotycz\u0105ca niezg\u0142oszonego przez administratora ataku cyberprzest\u0119pc\u00f3w typu ransomware, polegaj\u0105cego na zaszyfrowaniu no\u015bnik\u00f3w danych, uniemo\u017cliwiaj\u0105cego dost\u0119p administratorowi do szerokiego katalogu danych osobowych pracownik\u00f3w i os\u00f3b \u015bwiadcz\u0105cych us\u0142ugi w ramach zawartych um\u00f3w cywilnoprawnych (decyzja z 31 maja 2023 r., sygn. DKN.5131.8.2021).<\/p>\n
Zdarzenia trzeba zg\u0142asza\u0107<\/strong><\/p>\n Jednym z podstawowych obowi\u0105zk\u00f3w administrator\u00f3w danych osobowych jest ocena, czy zdarzenie stanowi naruszenie ochrony danych osobowych i wymaga zg\u0142oszenia do UODO. W razie wyst\u0105pienia zdarzenia skutkuj\u0105cego naruszeniem dost\u0119pno\u015bci, poufno\u015bci, integralno\u015bci danych osobowych, administrator powinien dokona\u0107 zg\u0142oszenia w terminie 72 godzin od chwili stwierdzenia lub odnotowa\u0107 incydent w wewn\u0119trznym rejestrze.<\/p>\n Pomimo pi\u0119ciu lat obowi\u0105zywania przepis\u00f3w RODO, administratorzy, niestety, w dalszym ci\u0105gu nie dope\u0142niaj\u0105 obowi\u0105zku zg\u0142oszenia zdarzenia do UODO, a tak\u017ce w niew\u0142a\u015bciwy spos\u00f3b dokonuj\u0105 oceny zdarzenia, nie kwalifikuj\u0105c go jako wymagaj\u0105cego zawiadomienia organu. Prezes UODO w wydawanych decyzjach punktuje administrator\u00f3w za nieprawid\u0142owo\u015bci w dokonanej ocenie zdarzenia \u2013 jak chocia\u017cby pochopne uznanie przez administratora ataku cyberprzest\u0119pc\u00f3w typu ransomware za zdarzenie niewymagaj\u0105ce notyfikacji do UODO. Tym samym ju\u017c sama analiza zdarzenia powinna by\u0107 dokonana w spos\u00f3b obiektywny, z uwzgl\u0119dnieniem realnych skutk\u00f3w, jakie zdarzenie niesie ze sob\u0105 dla podmiot\u00f3w danych. Administratorzy powinni mie\u0107 zawsze na wzgl\u0119dzie, i\u017c organ mo\u017ce informacje o zdarzeniu uzyska\u0107 od podmiotu danych lub osoby trzeciej.<\/p>\n Po otrzymaniu zg\u0142oszenia naruszenia czy te\u017c skargi podmiotu danych w przedmiocie naruszenia prezes UODO podejmuje dzia\u0142ania maj\u0105ce na celu zweryfikowanie i ocen\u0119 okoliczno\u015bci zg\u0142oszonego zdarzenia. Jednym z kluczowych element\u00f3w tej weryfikacji po stronie organu jest sprawdzenie, czy podmiot przetwarzaj\u0105cy dane zastosowa\u0142 odpowiednie zabezpieczenia \u2013 \u015brodki techniczne, jak i organizacyjne \u2013 aby chroni\u0107 dane osobowe. Oznacza to, \u017ce organ kieruje do administratora szczeg\u00f3\u0142owe pytania celem zbadania, czy wprowadzono odpowiednie procedury, instrukcje, szkolenia. Sprawdza te\u017c, czy stosowane oprogramowanie, systemy informatyczne i technologie we w\u0142a\u015bciwym stopniu minimalizuj\u0105 ryzyka narusze\u0144 ochrony danych – a wi\u0119c czy stosowane \u015brodki zabezpieczaj\u0105 dane przed nieautoryzowanym dost\u0119pem, utrat\u0105 czy uszkodzeniem.<\/p>\n W dotychczasowych uzasadnieniach decyzji prezesa UODO \u2013 dotycz\u0105cych powo\u0142anego powy\u017cej ataku ransomware czy te\u017c zgubionych pendrive\u2019\u00f3w \u2013 organ nadaje odpowiedni\u0105 wag\u0119 analizie ryzyka, testowaniu i mierzeniu stosowanych przez administrator\u00f3w technicznych i organizacyjnych \u015brodk\u00f3w bezpiecze\u0144stwa oraz zasadzie rozliczalno\u015bci.<\/p>\n Zabezpieczenie proporcjonalnie do ryzyka<\/strong><\/p>\n Organ nadzoru podkre\u015bla, \u017ce jednorazowe wdro\u017cenie organizacyjnych i technicznych \u015brodk\u00f3w bezpiecze\u0144stwa jest niewystarczaj\u0105ce. W toku prowadzonego przez organ nadzoru post\u0119powania konieczne jest udowodnienie, \u017ce wprowadzone rozwi\u0105zania, maj\u0105ce na celu zapewnienie bezpiecze\u0144stwa danych osobowych (zasada rozliczalno\u015bci), s\u0105 odpowiednie do poziomu ryzyka, jak r\u00f3wnie\u017c uwzgl\u0119dniaj\u0105 charakter danej organizacji oraz wykorzystywanych mechanizm\u00f3w przetwarzania danych osobowych. Administrator zobowi\u0105zany jest dokona\u0107 oceny, a nast\u0119pnie zastosowa\u0107 takie \u015brodki i procedury, kt\u00f3re b\u0119d\u0105 odpowiednie do ryzyka zwi\u0105zanego z przetwarzaniem danych. Ustawodawca unijny nie narzuca listy wymaganych \u015brodk\u00f3w technicznych i organizacyjnych, jakie nale\u017cy zastosowa\u0107 \u2013 jak by\u0142o jeszcze przed wej\u015bciem w \u017cycie przepis\u00f3w RODO \u2013Zobowi\u0105zuje do samodzielnego doboru zabezpiecze\u0144 w oparciu w\u0142a\u015bnie o przeprowadzon\u0105 analiz\u0119 zagro\u017ce\u0144.<\/p>\n Innymi s\u0142owy, dokonuj\u0105c analizy, organ weryfikuje czy administrator dobra\u0142 w\u0142a\u015bciwy katalog \u015brodk\u00f3w do zakresu przetwarzanych danych osobowych, a tak\u017ce kategorii os\u00f3b, kt\u00f3rych dane s\u0105 przetwarzane i ryzyk, jakie zwi\u0105zane s\u0105 z przetwarzaniem danych. Weryfikacja ta obejmuje w szczeg\u00f3lno\u015bci wyniki przeprowadzonej przez podmiot analizy.<\/p>\n Je\u015bli prezes UODO stwierdzi, \u017ce zastosowane \u015brodki przez administratora by\u0142y niewystarczaj\u0105ce lub nieodpowiednie, mo\u017ce zastosowa\u0107 odpowiednie sankcje finansowe, a tak\u017ce \u015brodki naprawcze, kt\u00f3re podmiot przetwarzaj\u0105cy b\u0119dzie musia\u0142 podj\u0105\u0107 w celu doprowadzenia do po\u017c\u0105danego poziomu ochrony danych.<\/p>\n Trzeba wsp\u00f3\u0142pracowa\u0107<\/strong><\/p>\n Je\u017celi administrator czy podmiot przetwarzaj\u0105cy otrzymaj\u0105 pismo od organu w sprawie naruszenia, istotna jest wsp\u00f3\u0142praca z organem nadzoru, kt\u00f3ra ma dwa aspekty.<\/p>\n Po pierwsze, z uzasadnie\u0144 decyzji prezesa UODO \u2013 m.in. w powo\u0142anej sprawie ataku ransomware \u2013 wynika, \u017ce istotnym elementem dla oceny dzia\u0142ania administratora jest wsp\u00f3\u0142praca z organem (b\u0105d\u017a jej brak) – rozumiana jako odbieranie korespondencji oraz udzielanie odpowiedzi na pytania kierowane do podmiotu. Brak udzielania wyczerpuj\u0105cych wyja\u015bnie\u0144 na wezwania organu nadzorczego czy te\u017c udzielanie odpowiedzi lakonicznych, niesp\u00f3jnych, nie dzia\u0142a na korzy\u015b\u0107 uczestnika post\u0119powania. Podobnie jak i nieterminowo\u015b\u0107 oraz spos\u00f3b ich udzielania (np. przesy\u0142anie dokument\u00f3w niepodpisanych przez osoby upowa\u017cnione do reprezentacji podmiotu), \u015bwiadcz\u0105 na niekorzy\u015b\u0107 przy ocenie wsp\u00f3\u0142pracy z prezesem UODO. Tym samym, pism kierowanych przez organ w toku post\u0119powania wyja\u015bniaj\u0105cego nie nale\u017cy ignorowa\u0107, a udzielane odpowiedzi powinny by\u0107 w miar\u0119 mo\u017cliwo\u015bci jak najbardziej zupe\u0142ne.<\/p>\n Warto podj\u0105\u0107 pr\u00f3b\u0119 naprawy zaniedbania<\/strong><\/p>\n Po drugie, organ oczekuje w ramach wsp\u00f3\u0142pracy faktycznego zaanga\u017cowaniu podmiotu w dzia\u0142ania naprawcze maj\u0105ce na celu usuni\u0119cie naruszenia oraz z\u0142agodzenie jego ewentualnych negatywnych skutk\u00f3w. W toku post\u0119powania administrator czy podmiot przetwarzaj\u0105cy powinni podejmowa\u0107 aktywne dzia\u0142ania, jak np. wdro\u017cenie nowych czy zmodyfikowanie stosowanych \u015brodk\u00f3w technicznych i organizacyjnych.<\/p>\n Prezes UODO w obu decyzjach na\u0142o\u017cy\u0142 na administrator\u00f3w danych osobowych kary finansowe za niewdro\u017cenie odpowiednich \u015brodk\u00f3w technicznych i organizacyjnych zapewniaj\u0105cych stopie\u0144 bezpiecze\u0144stwa odpowiadaj\u0105cy ryzyku. W przypadku decyzji dotycz\u0105cej ataku ransomware, prezes UODO na\u0142o\u017cy\u0142 na administratora kar\u0119 finansow\u0105 ponad 47 tys. z\u0142, natomiast w sprawie zgubionych, niezabezpieczonych pendrive\u2019\u00f3w w kwocie 30 tys. z\u0142.<\/p>\n Przepisy RODO nak\u0142adaj\u0105 obowi\u0105zek stosowania odpowiednich \u015brodk\u00f3w technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu ochrony danych. Analiza ryzyka stanowi kluczowy element w spe\u0142nianiu tego obowi\u0105zku, a jej brak – b\u0105d\u017a wykonanie jej w spos\u00f3b wadliwy – ma daleko id\u0105ce konsekwencje, o czym \u015bwiadcz\u0105 powo\u0142ane na wst\u0119pie decyzje. Zalet wykonania analizy ryzyka jest jednak wi\u0119cej. Analiza ryzyka pozwala tak\u017ce skoncentrowa\u0107 \u015brodki i zasoby na obszarach o najwi\u0119kszym ryzyku, co umo\u017cliwia osi\u0105gni\u0119cie lepszych efekt\u00f3w w zakresie ochrony danych przy jednoczesnym minimalnym obci\u0105\u017ceniu zasob\u00f3w. Umo\u017cliwia przygotowanie planu reakcji na r\u00f3\u017cnego rodzaju zagro\u017cenia, a to pozwala na szybk\u0105 i skuteczn\u0105 reakcj\u0119 w przypadku wyst\u0105pienia incydent\u00f3w. Tym samym jest to narz\u0119dzie, kt\u00f3re jest niedoceniane przez administrator\u00f3w, a bezwzgl\u0119dnie wymagane przez przepisy RODO i egzekwowane przez organ nadzoru.<\/p>\n