Zgubienie pamięci USB z danymi osobowymi

Brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał w październiku br. decyzję nakładającą na operatora lotniska Heathrow karę pieniężną w wysokości równowartości 600 tys. zł.

Sprawa, którą badał brytyjski organ, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników w drodze do pracy zgubił pendrive’a. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet.

W ocenie organu operator lotniska nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych. Osoba, która zgubiła nośnik USB, nie otrzymała przeszkolenia w tym zakresie.

Kara została nałożona na administratora nie za to, że doszło do zgubienia pendrive’a, ale przede wszystkim dlatego, że nie wdrożono wystarczających środków, by zapobiec temu incydentowi.

Podobno aż 87 proc. pracowników zdarzyło się przynajmniej raz zgubić pamięć USB, na której zapisane były firmowe dane. Czym jest zagubienie nośnika z danymi osobowymi w świetle przepisów RODO. Czy należy w takiej sytuacji podjąć jakieś działania a jeśli tak to jakie spróbuję dzisiaj odpowiedzieć na te pytania.

Przypadkowe lub niezgodne z prawem utracenie danych osobowych RODO definiuje jako naruszenie bezpieczeństwa danych osobowych.

„Utratę” danych osobowych należy rozumieć jako sytuację, w której dane mogą nadal istnieć, ale administrator utracił kontrolę nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu. Czyli sytuacja, w której na przykład pracownik firmy gubi nośnik z danymi oznacza utracenie tych danych przez administratora, z czym związne są określone skutki prawne.

Zgubienie nośnika z danymi osobowymi może mieć szereg negatywnych skutków dla osób fizycznych, prowadząc do szkód fizycznych, materialnych i niematerialnych. RODO objaśnia, że może to obejmować utratę kontroli nad swoimi danymi osobowymi, ograniczenie przysługujących praw, dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe, nieupoważnione odwrócenie pseudonimizacji, naruszenie dobrego imienia oraz utratę poufności danych osobowych chronionych tajemnicą zawodową.

Jak widać katalog negatywnych konsekwencji jest bardzo szeroki a rodzaj i dolegliwość szkód dla podmiotu danych będzie też uzależniona od rodzaju ujawnionych danych osobowych a także zakresu tych danych. W każdym przypadku, gdy zagubiony nośnik danych zawierał dane wrażliwe lub szczególnie poufne dotyczące sytuacji osobistej czy majątkowej podmiotu danych, ryzyko poważnych szkód dla podmiotu danych może być bardzo wysokie..

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Ryzyko naruszenia praw i wolności dla każdego stwierdzonego naruszenia musi być oszacowane i udokumentowane przez administratora danych. Zgodnie bowiem z ogólną zasadą rozliczalności to administrator danych musi być w stanie wykazać przestrzeganie przepisów RODO również w zakresie właściwej identyfikacji naruszeń bezpieczeństwa danych osobowych.

W przypadku utraty nośnika danych USB z niezaszyfrowanymi danymi osobowymi często nie da się ustalić, czy osoby nieupoważnione uzyskały dostęp do tych danych. Mimo że administrator danych może nie być wstanie stwierdzić, czy doszło do naruszenia poufności, taki przypadek wymaga zgłoszenia, ponieważ istnieje wystarczający stopień pewności co do tego, że doszło do naruszenia dostępności. Administrator „stwierdza” naruszenie w chwili, gdy zdaje sobie sprawę z utraty nośnika danych USB.

Warunki, w których nie jest wymagane zgłoszenie

Jeżeli odczyt danych osobowych jest co do zasady niemożliwy dla osób nieupoważnionych i jeśli istnieje kopia lub kopia zapasowa tych danych, wówczas nie ma obowiązku zgłaszania organowi nadzorczemu naruszenia poufności odpowiednio zaszyfrowanych danych osobowych. Wynika to z faktu, że prawdopodobieństwo, aby naruszenie takie stwarzało ryzyko dla praw i wolności osób fizycznych jest niskie. Oznacza to, że nie trzeba również zawiadamiać osoby fizycznej, ponieważ najprawdopodobniej nie występuje wysokie ryzyko.

Jednak każdy przypadek naruszenia bezpieczeństwa danych osobowych należy badać ad casum i oceniać jego charakter, a także ryzyko naruszenia praw i wolności podmiotów danych. Dopiero w następstwie takiej oceny i przeprowadzonej analizy w zakresie ryzyka, otrzymamy odpowiedź czy dane naruszenie należy zgłosić organemu nadzorczemu jak również osobie, której dane zostały naruszone.

Pamiętaj, że błędy zdarzają się każdemu, a błąd ludzki to najczęstsza przyczyna naruszeń bezpieczeństwa danych osobowych. Co może lub powinien uczynić administrator w świetle danych, że ponad 80% pracowników zgubiło chociaż raz nośnik z danymi firmowymi. Najbezpieczniej oczywiście byłoby zakazać kopiowania danych osobowych na niezbezpieczone nośniki danych i wynoszenia ich przez pracowników poza firmę, jednak nie zawsze jest to możliwe.

Przede wszystkim należy wdrożyć wewnętrzne procedury. Powinny one nakazywać pracownikom m.in. maksymalne ograniczenie używania przenośnych nośników danych, szczególną ostrożność w używaniu nośników przenośnych w celu minimalizacji ryzyka ich zgubienia, kradzieży etc., a także szyfrowanie danych zapisywanych na nośnikach przenośnych.

Kolejną bardzo istotną kwestią jest szkolenie pracowników, zapoznawanie ich z zasadami bezpiecznego przetwarzania danych, uświadamianie konsekwencji niestosowania procedur to jedno z podstawowych zadań administratora w celu zapewnienia zgodności przetwarzania z wymaganiami prawa.

Operator brytyjskiego lotniska otrzymał karę właśnie nie tyle za brak procedur co za niezapoznanie z nimi swojego personelu w tym niezapewnienie szkolenia w zakresie ochrony danych osobowych. 

Jeśli jeszcze nie przeszkoliłeś swojego personelu zrób to jak najszybciej. Przysłowie, że człowiek jest najsłabszym ogniwem systemu bezpieczeństwa, zbyt często sprawdza się w życiu, aby ryzykować. Pamiętaj, że w świetle prawa takie błędy jak zgubienie pendriv’a z danymi osobowymi musisz zgłaszać do urzędu.

Potrzebujesz pomocy w przeszkoleniu pracowników. Możesz skontaktować się z naszą kancelarią. Profesjonalnie i przystępnie zorganizujemy odpowiednie szkolenie dla twojej firmy i zapoznamy twój personel  z zasadami bezpiecznego przetwarzania danych osobowych.

 

 

Kara za brak zgody na SMSy marketingowe

Urząd Komunikacji Elektronicznej nałożył na Orange Polska kary pieniężne w łącznej wysokości 9,1 mln zł za wysyłanie SMS-ów marketingowych bez posiadania zgody klientów.

Zgoda na marketing bezpośredni

Jak to możliwe, że w dobie RODO, w kilka miesięcy po rozpoczęciu stosowania rozporządzenia, kara za nieuprawnione SMSy nałożona na tak duży podmiot. Co ciekawsze w tym przypadku organem, który nałożył karę jest Prezes UKE a nie UODO, gdyż operator naruszył przepisy prawa telekomunikacyjnego, które stosuje się do ochrony praw i wolności osób fizycznych  w odniesieniu do świadczenia usług łączności elektronicznej.

Przepisy prawa telekomunikacyjnego zakazują przesyłania treści marketingowych za pośrednictwem telekomunikacyjnych urządzeń końcowych bez uprzedniej zgody abonenta lub użytkownika końcowego. Przesyłanie SMSów marketingowych powinno odbywać się na podstawie uprzedniej zgody.

Administrator musi udowodnić  zgodę

Orange Polska nie wykazała, że posiadała utrwalone zgody udzielone przez swoich abonentów i użytkowników końcowych na otrzymywanie wiadomości o charakterze marketingowym, przy użyciu automatycznych systemów wywołujących.

Niewykluczone, że osoby, do których były wysyłane SMSy wyraziły nawet zgody na przetwarzanie ich danych osobowych w celach marketingowych, ale, co kluczowe, w niniejszej sprawie Orange nie udowodniła tego.

Na gruncie RODO również zasadą jest, iż w przypadku, gdy przetwarzanie odbywa się na podstawie zgody administrator musi być w stanie wykazać, że osoba, której dane dotyczą, skutecznie wyraziła zgodę.

Administrator powinien wdrożyć środki organizacyjne lub techniczne umożliwiające udowodnienie otrzymania zgody od podmiotu danych, w szczególności w sposób pozwalający na utrwalenie faktu otrzymania zgody.

Kupowanie baz marketingowych

Pamiętaj, że ta sama zasada dotyczy sytuacji, gdy kupujesz bazy danych od podmiotów trzecich. Jeśli dane mają być wykorzystywane w celach marketingowych najczęściej podstawą przetwarzania będzie zgoda podmiotu danych. Jako odbiorca danych musisz pamiętać, aby weryfikować czy osoby, których dane są Ci udostępniane, wyraziły odpowiednie zgody. Co ważniejsze, czy w momencie sporu, kontroli urzędu, skragi będziesz w stanie wykazać, iż dysponujesz odpowiednim dowodem uzyskania zgód.

Wydawałoby się oczywista rzecz, a jednak na ostatnim przykładzie Orange widzimy, iż praktyka rynkowa nie spełnia tych oczywistych wymagań. A idę o zakład, że przykład Orange jest jednym z wielu na rynku.

Zastanawiasz się, czy Twoje działania marketingowe są prawidłowe, czy  w przypadku kontroli tego czy innego urzędu nie narażasz się na ryzyko nałożenia kar zawsze możesz skorzystać z pomocy a także usług naszej Kancelarii by oszacować ryzyko prawne związane z przetwarzaniem danych osobowych.

 

Ściszonym głosem do pacjenta

Czy poszanowanie godności pacjenta ma coś wspólnego z RODO, czy RODO nakazuje szanować godność pacjenta czy może tylko chronić dane osobowe tego pacjenta. Czy są to różne czy zbieżne zagadnienia.

Prawo do poszanowania godności i intymności pacjenta wynika z przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Natomiast prawo do ochrony danych osobowych wynika z przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Prawa te mogą się krzyżówać i w przypadku, gdy zostaną naruszone prawa pacjenta w związku z przetwarzaniem jego danych osobowych prawie zawsze zostanie też naruszone prawo do poszanowania godności i intymności pacjenta.

Poszanowanie godności pacjenta oraz przetwarzanie danych pacjentów zgodne z wymogami prawa to kwestia fundamentalna w sektorze zdrowia. Podmioty udzielające świadczeń zdrowotnych mające dostęp do najbardziej wrażliwych danych, bo dotyczących stanu zdrowia powinny dochować najwyższej staranności, aby przetwarzać dane pacjentów zgodnie z przepisami prawa. Czytaj więcej