Decyzje prezesa Urzędu Ochrony Danych Osobowych (UODO) są źródłem cennych informacji i stanowią dla administratorów i podmiotów przetwarzających swoiste drogowskazy, jak we właściwy sposób przetwarzać dane osobowe. Wśród decyzji prezesa UODO na szczególną uwagę zasługują te, w których dotyka materii naruszeń ochrony danych osobowych.
W 2023 r. prezes UODO wydał m.in. dwie decyzje, które ponownie powinny przypomnieć administratorom o zasadach doboru środków technicznych i organizacyjnych, w celu zapewnienia bezpieczeństwa danych osobowych. Pierwsza decyzja dotyczyła administratora, u którego doszło do zgubienia przez pracownika jednego z sądów niezabezpieczonych pendrive’ów, zawierających niesprecyzowany katalog danych osobowych (decyzja z 19 stycznia 2023 r., sygn., DKN.5131.12.2020).
Druga to decyzja dotycząca niezgłoszonego przez administratora ataku cyberprzestępców typu ransomware, polegającego na zaszyfrowaniu nośników danych, uniemożliwiającego dostęp administratorowi do szerokiego katalogu danych osobowych pracowników i osób świadczących usługi w ramach zawartych umów cywilnoprawnych (decyzja z 31 maja 2023 r., sygn. DKN.5131.8.2021).
Zdarzenia trzeba zgłaszać
Jednym z podstawowych obowiązków administratorów danych osobowych jest ocena, czy zdarzenie stanowi naruszenie ochrony danych osobowych i wymaga zgłoszenia do UODO. W razie wystąpienia zdarzenia skutkującego naruszeniem dostępności, poufności, integralności danych osobowych, administrator powinien dokonać zgłoszenia w terminie 72 godzin od chwili stwierdzenia lub odnotować incydent w wewnętrznym rejestrze.
Pomimo pięciu lat obowiązywania przepisów RODO, administratorzy, niestety, w dalszym ciągu nie dopełniają obowiązku zgłoszenia zdarzenia do UODO, a także w niewłaściwy sposób dokonują oceny zdarzenia, nie kwalifikując go jako wymagającego zawiadomienia organu. Prezes UODO w wydawanych decyzjach punktuje administratorów za nieprawidłowości w dokonanej ocenie zdarzenia – jak chociażby pochopne uznanie przez administratora ataku cyberprzestępców typu ransomware za zdarzenie niewymagające notyfikacji do UODO. Tym samym już sama analiza zdarzenia powinna być dokonana w sposób obiektywny, z uwzględnieniem realnych skutków, jakie zdarzenie niesie ze sobą dla podmiotów danych. Administratorzy powinni mieć zawsze na względzie, iż organ może informacje o zdarzeniu uzyskać od podmiotu danych lub osoby trzeciej.
Po otrzymaniu zgłoszenia naruszenia czy też skargi podmiotu danych w przedmiocie naruszenia prezes UODO podejmuje działania mające na celu zweryfikowanie i ocenę okoliczności zgłoszonego zdarzenia. Jednym z kluczowych elementów tej weryfikacji po stronie organu jest sprawdzenie, czy podmiot przetwarzający dane zastosował odpowiednie zabezpieczenia – środki techniczne, jak i organizacyjne – aby chronić dane osobowe. Oznacza to, że organ kieruje do administratora szczegółowe pytania celem zbadania, czy wprowadzono odpowiednie procedury, instrukcje, szkolenia. Sprawdza też, czy stosowane oprogramowanie, systemy informatyczne i technologie we właściwym stopniu minimalizują ryzyka naruszeń ochrony danych – a więc czy stosowane środki zabezpieczają dane przed nieautoryzowanym dostępem, utratą czy uszkodzeniem.
W dotychczasowych uzasadnieniach decyzji prezesa UODO – dotyczących powołanego powyżej ataku ransomware czy też zgubionych pendrive’ów – organ nadaje odpowiednią wagę analizie ryzyka, testowaniu i mierzeniu stosowanych przez administratorów technicznych i organizacyjnych środków bezpieczeństwa oraz zasadzie rozliczalności.
Zabezpieczenie proporcjonalnie do ryzyka
Organ nadzoru podkreśla, że jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa jest niewystarczające. W toku prowadzonego przez organ nadzoru postępowania konieczne jest udowodnienie, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych (zasada rozliczalności), są odpowiednie do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator zobowiązany jest dokonać oceny, a następnie zastosować takie środki i procedury, które będą odpowiednie do ryzyka związanego z przetwarzaniem danych. Ustawodawca unijny nie narzuca listy wymaganych środków technicznych i organizacyjnych, jakie należy zastosować – jak było jeszcze przed wejściem w życie przepisów RODO –Zobowiązuje do samodzielnego doboru zabezpieczeń w oparciu właśnie o przeprowadzoną analizę zagrożeń.
Innymi słowy, dokonując analizy, organ weryfikuje czy administrator dobrał właściwy katalog środków do zakresu przetwarzanych danych osobowych, a także kategorii osób, których dane są przetwarzane i ryzyk, jakie związane są z przetwarzaniem danych. Weryfikacja ta obejmuje w szczególności wyniki przeprowadzonej przez podmiot analizy.
Jeśli prezes UODO stwierdzi, że zastosowane środki przez administratora były niewystarczające lub nieodpowiednie, może zastosować odpowiednie sankcje finansowe, a także środki naprawcze, które podmiot przetwarzający będzie musiał podjąć w celu doprowadzenia do pożądanego poziomu ochrony danych.
Trzeba współpracować
Jeżeli administrator czy podmiot przetwarzający otrzymają pismo od organu w sprawie naruszenia, istotna jest współpraca z organem nadzoru, która ma dwa aspekty.
Po pierwsze, z uzasadnień decyzji prezesa UODO – m.in. w powołanej sprawie ataku ransomware – wynika, że istotnym elementem dla oceny działania administratora jest współpraca z organem (bądź jej brak) – rozumiana jako odbieranie korespondencji oraz udzielanie odpowiedzi na pytania kierowane do podmiotu. Brak udzielania wyczerpujących wyjaśnień na wezwania organu nadzorczego czy też udzielanie odpowiedzi lakonicznych, niespójnych, nie działa na korzyść uczestnika postępowania. Podobnie jak i nieterminowość oraz sposób ich udzielania (np. przesyłanie dokumentów niepodpisanych przez osoby upoważnione do reprezentacji podmiotu), świadczą na niekorzyść przy ocenie współpracy z prezesem UODO. Tym samym, pism kierowanych przez organ w toku postępowania wyjaśniającego nie należy ignorować, a udzielane odpowiedzi powinny być w miarę możliwości jak najbardziej zupełne.
Warto podjąć próbę naprawy zaniedbania
Po drugie, organ oczekuje w ramach współpracy faktycznego zaangażowaniu podmiotu w działania naprawcze mające na celu usunięcie naruszenia oraz złagodzenie jego ewentualnych negatywnych skutków. W toku postępowania administrator czy podmiot przetwarzający powinni podejmować aktywne działania, jak np. wdrożenie nowych czy zmodyfikowanie stosowanych środków technicznych i organizacyjnych.
Prezes UODO w obu decyzjach nałożył na administratorów danych osobowych kary finansowe za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku. W przypadku decyzji dotyczącej ataku ransomware, prezes UODO nałożył na administratora karę finansową ponad 47 tys. zł, natomiast w sprawie zgubionych, niezabezpieczonych pendrive’ów w kwocie 30 tys. zł.
Przepisy RODO nakładają obowiązek stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu ochrony danych. Analiza ryzyka stanowi kluczowy element w spełnianiu tego obowiązku, a jej brak – bądź wykonanie jej w sposób wadliwy – ma daleko idące konsekwencje, o czym świadczą powołane na wstępie decyzje. Zalet wykonania analizy ryzyka jest jednak więcej. Analiza ryzyka pozwala także skoncentrować środki i zasoby na obszarach o największym ryzyku, co umożliwia osiągnięcie lepszych efektów w zakresie ochrony danych przy jednoczesnym minimalnym obciążeniu zasobów. Umożliwia przygotowanie planu reakcji na różnego rodzaju zagrożenia, a to pozwala na szybką i skuteczną reakcję w przypadku wystąpienia incydentów. Tym samym jest to narzędzie, które jest niedoceniane przez administratorów, a bezwzględnie wymagane przez przepisy RODO i egzekwowane przez organ nadzoru.