Zgubienie pamięci USB z danymi osobowymi

Brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał w październiku br. decyzję nakładającą na operatora lotniska Heathrow karę pieniężną w wysokości równowartości 600 tys. zł.

Sprawa, którą badał brytyjski organ, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników w drodze do pracy zgubił pendrive’a. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet.

W ocenie organu operator lotniska nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych. Osoba, która zgubiła nośnik USB, nie otrzymała przeszkolenia w tym zakresie.

Kara została nałożona na administratora nie za to, że doszło do zgubienia pendrive’a, ale przede wszystkim dlatego, że nie wdrożono wystarczających środków, by zapobiec temu incydentowi.

Podobno aż 87 proc. pracowników zdarzyło się przynajmniej raz zgubić pamięć USB, na której zapisane były firmowe dane. Czym jest zagubienie nośnika z danymi osobowymi w świetle przepisów RODO. Czy należy w takiej sytuacji podjąć jakieś działania a jeśli tak to jakie spróbuję dzisiaj odpowiedzieć na te pytania.

Przypadkowe lub niezgodne z prawem utracenie danych osobowych RODO definiuje jako naruszenie bezpieczeństwa danych osobowych.

„Utratę” danych osobowych należy rozumieć jako sytuację, w której dane mogą nadal istnieć, ale administrator utracił kontrolę nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu. Czyli sytuacja, w której na przykład pracownik firmy gubi nośnik z danymi oznacza utracenie tych danych przez administratora, z czym związne są określone skutki prawne.

Zgubienie nośnika z danymi osobowymi może mieć szereg negatywnych skutków dla osób fizycznych, prowadząc do szkód fizycznych, materialnych i niematerialnych. RODO objaśnia, że może to obejmować utratę kontroli nad swoimi danymi osobowymi, ograniczenie przysługujących praw, dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe, nieupoważnione odwrócenie pseudonimizacji, naruszenie dobrego imienia oraz utratę poufności danych osobowych chronionych tajemnicą zawodową.

Jak widać katalog negatywnych konsekwencji jest bardzo szeroki a rodzaj i dolegliwość szkód dla podmiotu danych będzie też uzależniona od rodzaju ujawnionych danych osobowych a także zakresu tych danych. W każdym przypadku, gdy zagubiony nośnik danych zawierał dane wrażliwe lub szczególnie poufne dotyczące sytuacji osobistej czy majątkowej podmiotu danych, ryzyko poważnych szkód dla podmiotu danych może być bardzo wysokie..

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Ryzyko naruszenia praw i wolności dla każdego stwierdzonego naruszenia musi być oszacowane i udokumentowane przez administratora danych. Zgodnie bowiem z ogólną zasadą rozliczalności to administrator danych musi być w stanie wykazać przestrzeganie przepisów RODO również w zakresie właściwej identyfikacji naruszeń bezpieczeństwa danych osobowych.

W przypadku utraty nośnika danych USB z niezaszyfrowanymi danymi osobowymi często nie da się ustalić, czy osoby nieupoważnione uzyskały dostęp do tych danych. Mimo że administrator danych może nie być wstanie stwierdzić, czy doszło do naruszenia poufności, taki przypadek wymaga zgłoszenia, ponieważ istnieje wystarczający stopień pewności co do tego, że doszło do naruszenia dostępności. Administrator „stwierdza” naruszenie w chwili, gdy zdaje sobie sprawę z utraty nośnika danych USB.

Warunki, w których nie jest wymagane zgłoszenie

Jeżeli odczyt danych osobowych jest co do zasady niemożliwy dla osób nieupoważnionych i jeśli istnieje kopia lub kopia zapasowa tych danych, wówczas nie ma obowiązku zgłaszania organowi nadzorczemu naruszenia poufności odpowiednio zaszyfrowanych danych osobowych. Wynika to z faktu, że prawdopodobieństwo, aby naruszenie takie stwarzało ryzyko dla praw i wolności osób fizycznych jest niskie. Oznacza to, że nie trzeba również zawiadamiać osoby fizycznej, ponieważ najprawdopodobniej nie występuje wysokie ryzyko.

Jednak każdy przypadek naruszenia bezpieczeństwa danych osobowych należy badać ad casum i oceniać jego charakter, a także ryzyko naruszenia praw i wolności podmiotów danych. Dopiero w następstwie takiej oceny i przeprowadzonej analizy w zakresie ryzyka, otrzymamy odpowiedź czy dane naruszenie należy zgłosić organemu nadzorczemu jak również osobie, której dane zostały naruszone.

Pamiętaj, że błędy zdarzają się każdemu, a błąd ludzki to najczęstsza przyczyna naruszeń bezpieczeństwa danych osobowych. Co może lub powinien uczynić administrator w świetle danych, że ponad 80% pracowników zgubiło chociaż raz nośnik z danymi firmowymi. Najbezpieczniej oczywiście byłoby zakazać kopiowania danych osobowych na niezbezpieczone nośniki danych i wynoszenia ich przez pracowników poza firmę, jednak nie zawsze jest to możliwe.

Przede wszystkim należy wdrożyć wewnętrzne procedury. Powinny one nakazywać pracownikom m.in. maksymalne ograniczenie używania przenośnych nośników danych, szczególną ostrożność w używaniu nośników przenośnych w celu minimalizacji ryzyka ich zgubienia, kradzieży etc., a także szyfrowanie danych zapisywanych na nośnikach przenośnych.

Kolejną bardzo istotną kwestią jest szkolenie pracowników, zapoznawanie ich z zasadami bezpiecznego przetwarzania danych, uświadamianie konsekwencji niestosowania procedur to jedno z podstawowych zadań administratora w celu zapewnienia zgodności przetwarzania z wymaganiami prawa.

Operator brytyjskiego lotniska otrzymał karę właśnie nie tyle za brak procedur co za niezapoznanie z nimi swojego personelu w tym niezapewnienie szkolenia w zakresie ochrony danych osobowych. 

Jeśli jeszcze nie przeszkoliłeś swojego personelu zrób to jak najszybciej. Przysłowie, że człowiek jest najsłabszym ogniwem systemu bezpieczeństwa, zbyt często sprawdza się w życiu, aby ryzykować. Pamiętaj, że w świetle prawa takie błędy jak zgubienie pendriv’a z danymi osobowymi musisz zgłaszać do urzędu.

Potrzebujesz pomocy w przeszkoleniu pracowników. Możesz skontaktować się z naszą kancelarią. Profesjonalnie i przystępnie zorganizujemy odpowiednie szkolenie dla twojej firmy i zapoznamy twój personel  z zasadami bezpiecznego przetwarzania danych osobowych.

 

 

Ochrona danych osobowych w czym rzecz

Temat ochrony danych osobowych to specyficzny temat, albo traktowany z należytą powagą, na równi z innymi tematami, które podmiot musi w swojej organizacji uporządkować, albo temat zapomniany, zakurzony, wyparty.

Dlaczego tak się dzieje. W dużej mierze jak to w życiu bywa przyczyną tego drugiego podejścia jest brak świadomości i zrozumienia tematu czym ta ochrona danych osobowych jest, czy faktycznie nas dotyczy a jeśli już to dlaczego chronić ją w taki dziwny sposób tworzyć polityki i dokumentacje.

Prawdę mówiąc jako prawnik praktykujący w tej dziedzinie prawa nie dziwię się tym różnym podejściom, bo już wszystko przerabiałam więc wiem jak to wygląda, jednak jest to na tyle ciekawy temat, że chciałbym nieco bardziej szczegółowo go omówić.

Pierwsze podejście oparte na nieznajomości tematu. Podejście to dotyczy większości podmiotów. Wyjątkiem będą duże organizacje, przetwarzające tysiące danych osobowych, mające dostęp do wyspecjalizowanych prawników, którzy zgodnie z prawem zabezpieczają ten obszar. Reszta znajduje się w uśpieniu lub w letargu. Nikt za bardzo nie wie o co tak naprawdę z tymi danymi chodzi poza tym, że trzeba je chronić. Jednak poświęcanie na to czasu, pieniędzy, tworzenie dokumentacji, wprowadzanie polityk czy wyznaczanie odpowiednich osób uważane jest za grubą przesadę i wypierane jest z katalogu obowiązków do wykonania.

Dlaczego się temu nie dziwię. Obserwuję też nastawienie moich znajomych prawników, którzy również niechętnie podchodzą do tematu i źródło niechęci jest to samo. Ba z informacji płynących z GIODO wynika, że grupa zawodowa jaką są prawnicy bardzo słabo wypada, jeśli chodzi o zabezpieczenie obszaru danych osobowych. Często słyszę od swoich kolegów, że to taki dziwny temat, jakaś abstrakcja, w którą nikomu za bardzo nie chce się wnikać. Ba to samo nastawienie widoczne jest bardzo często u większości klientów. Niekiedy nawet na blogu słyszę komentarze, że to są  takie ogólniki.

Były GIODO w odpowiedzi na podobne argumenty powiedział kiedyś, że prawo ochrony danych osobowych jest prawem kontekstowym i w każdym przypadku ważny jest kontekst stosowania przepisów o ochronie danych osobowych. Sama ustawa o ochronie danych osobowych jest ustawą ogólną to znaczy regulującą zasady przetwarzania, prawa i obowiązki dotyczące tego przetwarzania dotyczące wszystkich możliwych sposobów przetwarzania. Oznacza to, że ta ustawa o ochronie danych osobowych obowiązuje w firmie handlowej, usługowej, branży internetowej, bankowości, spółdzielniach, ochronie zdrowia, oświacie itd.

Jednak należy pamiętać, że pomimo stosowania tych samych przepisów wyniki w każdej branży będą inne, gdyż każda branża na swój właściwy dla siebie sposób przetwarza dane, w oparciu o różne podstawy, w różnych celach. Inaczej przetwarzanie wygląda w szpitalu a inaczej w banku, inny jest cel przetwarzania danych przez urzędy a inny przez portale internetowe. Oznacza to, że w każdym indywidualnym przypadku należy dokonać subsumpcji – przyporządkowania danego stanu faktycznego pod ogólną normę prawa ochrony danych osobowych, co nie zawsze jest takie łatwe.

W świetle powyższych rozważań, gdy widzę wzory dokumentacji przetwarzania danych osobowych dla firm, szkół, instytucji razem to wiem, że zakup takiego wzoru nic pomoże. Będzie to ogólny wzór, bez zakwalifikowania go do konkretnych stanów faktycznych a dokonanie takiej kwalifikacji jest rzeczą najtrudniejszą. Aby wzór spełnił swoją rolę a pieniądze wydane nie były stracone może to być wyłącznie wzór dedykowany danej branży.

Opisałam powyżej tylko jeden aspekt niezrozumienia tematu ochrony danych osobowych, co oczywiście ma wpływ na niechętne podejście do zagadnień. Jest to temat dotyczący braku świadomości prawnego aspektu ochrony danych osobowych. O niechęci do porządkowania spraw ochrony danych osobowych, która ma swoje głębsze korzenie, bo tkwiące w niezrozumieniu samego sensu takiej ochrony oraz w sposób przewidziany prawem napiszę następnym razem.

Szkolenie ABI

Na jednym ze szkoleń podczas prezentowania nowych uprawnień i obowiązków dla ABI, jedna z uczestniczących ABI zadała proste ale kluczowe pytanie “kto będzie nas wspierał czy może w GIODO zostanie stworzona jakaś komórka doradzająca ABIm”.

Są bowiem osoby pełniące funkcję ABI, które takiego wsparcia potrzebują, które słuchając o tych rozlicznych nowych obowiązkach trochę czują się przerażone.

Ustawa podnosząc rangę ABI wyposaża go w niezależność, precyzuje katalog zadań. Oczywistym jest, iż tylko osoba, która posiada solidną wiedzę w zakresie ochrony danych osobowych będzie w stanie sprostać wymaganiom Ustawy.

Z drugiej strony ustawa nie precyzuje jakichkolwiek wymagań formalnych co do kompetencji ABI pozostawiając ocenę w tym zakresie w gestii administratora danych. Jednakże nawet administrator danych może mieć nie lada zagwozdkę w weryfikacji eksperckiej wiedzy kandydatów na ABI.

Inne też kryteria oceny należy stosować wobec firmy, która zawodowo zajmuje się świadczeniem usług ABI a inne wobec osoby, która ma wykonywać zadania jako ABI wewnętrzny.

Ze strony ustawodawcy mamy jeden zapis, który mówi, iż to administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania zadań. Jednakże przepis ten w mojej ocenie oznacza tylko tyle lub aż tyle, że na ADO spoczywa obowiązek zapewnienia ABI niezależnego pełnienia tej funkcji i zapewnienie środków oraz organizacyjnej odrębności ma temu służyć. Na temat jednak kompetencji ABI i kryteriów ich oceny ustawa milczy.

Oznacza to, że administrator danych samodzielnie musi dokonać oceny wiedzy i fachowości kandydata na ABI. Łatwiejsze to będzie w stosunku do osób, firm, które zawodowo  świadczą tego rodzaju usługi i mają udokumentowane doświadczenie.

W przypadku wewnętrznych ABI kryteria oceny mogą być podobne jednakże jak sądzę w przypadku tej grupy pomoc ze strony ADO powinna być większa w zakresie zapewnienia odpowiednich szkoleń czy wsparcia eksperckiego. Bowiem na biuro GIODO w tym zakresie raczej bym nie liczyła biorąc pod uwagę fakt, iż to GIODO liczy na pomoc ABI w sprawdzaniu przedsiębiorców.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

Rejestracja ABI – nowelizacja ustawy o ochronie danych osobowych z dniem 1 stycznia 2015 r.

Nowelizacja ustawy o ochronie danych osobowych (OchrDanOsobU) wejdzie  w życie już lada chwila, bo z dniem 1 stycznia 2015 r. Długo oczekiwana nowelizacja, której przedmiotem jest w głównej mierze uregulowanie statusu administratora bezpieczeństwa informacji (ABI) stanie się faktem.

Jednak już w przeddzień wejścia w życie nowych przepisów nie brakuje głosów krytycznych czy wątpliwości rzucających pewien cień na nową regulację. Wszyscy są zgodni, że stanowi ona istotne novum w krajowym prawie ochrony danych osobowych. Bezsprzecznie nowelizacja podnosi rangę ABI przez wyznaczenie katalogu jego zadań, podległość bezpośrednio kierownikowi jednostki organizacyjnej, obowiązek zapewnienia ABI środków niezbędnych do realizacji jego zadań.

Mnożą się wątpliwości odnośnie wprowadzanych nowelą instytucji. Jakie skutki w odniesieniu do wcześniej zgłoszonych zbiorów danych będzie miało wyznaczenie ABI i zgłoszenie tego faktu do GIODO, czy zbiory wcześniej zgłoszone podlegają aktualizacji a może tylko wykreśleniu.

Jaka będzie praktyka GIODO w zakresie prawa zlecenia ABI przeprowadzenia kontroli i przedstawienia organowi sprawozdania z tej kontroli.

Jaki status ma ABI w okresie przejściowym tj. do 30 czerwca 2015 r. Jakie zadania musi a jakie może w tym okresie wykonywać. To najważniejsze, ale niestety nie jedyne zagadnienia wzbudzające najwięcej emocji i kontrowersji.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

ABI po nowemu…

Z dniem 1 stycznia 2015 r. wejdą w życie przepisy zmieniające ustawę o ochronie danych osobowych. Zmiany będą dość istotne i dotyczyć będą między innymi pozycji administratora bezpieczeństwa informacji (ABI). Ustawa w dotychczasowym brzmieniu nie reguluje szczegółowo kompetencji ABI. Niemniej jednak praktyka wypracowała określony dla tej funkcji zakres obowiązków.

Faktem jest też, że wiele firm decyduje się na zlecenie zadań ABI firmie zewnętrznej.

Ustawa w brzmieniu dotychczasowym lakonicznie reguluję pozycję ABI ograniczając się do stwierdzenia, że administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony. Z kolei nowe przepisy szczegółowo wymieniają zakres zadań należący do kompetencji ABI.

Zadania ABI

Do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie danych osobowych. ABI będzie zobowiązany do sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowywania i aktualizowania dokumentacji, zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Powołanie ABI

Administrator danych osobowych może, ale nie musi wyznaczyć ABI. W przypadku niepowołania ABI jego zadania wykonuje jednak sam, co oznacza, że ponosi również odpowiedzialność za wszelkie uchybienia w zakresie przetwarzania danych osobowych.

Powołanie ABI jest dla wielu firm kuszące. Sfera zapewnienia zgodności przetwarzania danych osobowych z przepisami jest przez przedsiębiorców mało znana.  Chętnie, więc wyznaczają ABI poza swoją organizacją zawierając stosowną umowę cywilno-prawną. W umowie takiej  regulowane są prawa i obowiązki stron. Wobec braku dotychczas katalogu ustawowych zadań, strony same w umowie precyzowały ich zakres.

 Nowe przepisy w dalszym ciągu, w zakresie powołania ABI, pozostawiają swobodę wyboru administratorowi danych. Administrator danych jednak, jest obowiązany zgłosić do rejestracji GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania.

W świetle nowych przepisów ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Zwolnienie z obowiązku rejestracji

Dla administratorów danych, którzy powołają i zgłoszą ABI ustawa przewiduje bonus w postaci zwolnienia ich z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Reasumując, wprowadzane zmiany takie jak określenie kompetencji ABI, a tym samym zakresu jego odpowiedzialności, zwolnienie z obowiązku rejestracji zbiorów,  wprowadzenie rejestru ABI należy zaliczyć do plusów noweli.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie, postanowiłam stworzyć profesjonalny Poradnik, który w sposób kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik jest dostępny odpłatnie, po zapisaniu się na listę subskrybentów bloga i złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji. Więcej informacji o poradniku znajdziesz tutaj.

Zbiór danych osobowych czy zbiory danych osobowych

Większość administaratorów danych osobowych ma niemało problemów ze zrozumieniem kwestii związanych z ochroną danych osobowych w zakresie obowiązków, które na nich ciążą.

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Wydawałoby się, że pojęcie to nie powinno przysprzarzać problemów z jego zrozumieniem a jednak praktyka pokazuje, iż jest inaczej.

Zbiór danych to w świetle prawa zestaw danych o chrakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Zbiorami będą zarówno takie, które są przetwarzane tradycyjnie, manualnie (teczki, kartotetki) jak i te zautomatyzowane przetwarzane w systemach informatycznych (profesjonalne bazy danych).

Wydawałoby się, że sprawa jest prosta i każdy uporządkowany zestaw danych osobowych, przetwarzany w sposób tradycyjny  czy zautomatyzowany jest w miarę łatwy do identyfikacji jako zbiór. Jednak sprawa tylko z pozoru jest łatwa. Często bywa tak, że przedsiębiorcy tworzą wiele różnych zbiorów, które identyfikują jako jeden zbiór.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych, nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

Dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

W praktyce pojawiają sie takie właśnie trudności w rozstrzyganiu czy w konkretnym przypadku mamy do czynienia z jednym zbiorem, w skład którego wchodzi wiele podzbiorów czy też z wielością zbiorów.