Jak minął trzeci rok z RODO? Podsumowanie TOP 5 od CompNet!
Przypadająca 25 maja 2021 roku trzecia rocznica wejścia w życie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), jest dobrą okazją na podsumowanie kolejnego roku z RODO. Ochrona danych osobowych w firmie czy instytucji publicznej jest procesem, a nie jednorazowym aktem. Nie wystarczy raz wprowadzić procedury, raz przeszkolić pracowników, raz wykonać audyt. Żeby zapewnić bezpieczeństwo danych i zgodność
z przepisami w sposób ciągły, należy podejmować działania zwiększające świadomość pracowników, szkolić ich, monitorować aktualność zapisów wprowadzonych polityk ochrony danych czy wykonywać cząstkowe audyty poszczególnych procesów przetwarzania danych. Jest to szczególnie ważne, gdyż nie wiemy w jakiej rzeczywistości obudzimy się jutro. Szybkość dokonujących się zmian i podejmowanych decyzji mających wpływ na ochronę danych osobowych pokazał 2020 rok.
1. Rok pod znakiem Covid-19 i pracy zdalnej
W 2020 roku pandemia Covid-19 była dość poważnym wyzwaniem dla całego systemu ochrony danych osobowych. Tym bardziej, że przepisy RODO nie zostały w żaden sposób zawieszone. Wręcz przeciwnie: przepisy ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi nakazują uwzględniać konieczność ochrony danych osobowych przy zapobieganiu oraz zwalczaniu zakażeń oraz chorób zakaźnych u ludzi.
Wyzwaniem dla pracodawców było kierowanie pracowników, praktycznie z dnia na dzień, do pracy zdalnej lub pracy rotacyjnej (hybrydowej) ze względu na zapewnienie ich bezpieczeństwa. Ale jak zapewnić bezpieczeństwo IT dla całej organizacji? Świetny zestaw porad zawarliśmy już 18 marca 2020 na naszym blogu. Dla naszych klientów przygotowaliśmy również wzór polecenia pracy zdalnej, które nie tylko mówiło o tym, że pracownik jest kierowany na home office, ale też zawierało zestaw podstawowych zasad ochrony danych osobowych w miejscu pracy zdalnej. Bezpieczeństwo pracy zdalnej było też przedmiotem rozważań na konferencji pt. „Realna ochrona danych osobowych w zdalnej rzeczywistości” zorganizowanej przez Urząd Ochrony Danych Osobowych w ramach XV Dnia Ochrony Danych Osobowych.
Często otrzymywaliśmy też pytanie: czy pracodawca musi przekazywać dane osobowe pracowników do Sanepidu? Jeżeli tak, to na jakich zasadach? Obowiązek przekazania do Sanepidu informacji o pracownikach zakażonych koronawirusem oraz listy osób z bezpośredniego kontaktu z zakażonym pracownikiem wynika z ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi:
– art. 32 ust. 2 pkt 4, który określa, iż Sanepid uzyskuje dane i informacje o zakażeniach z różnych źródeł, a więc może również je pozyskiwać z poszczególnych zakładów pracy,
– art. 32a ust. 1 pkt 1 i 2, który określa, iż Sanepid może żądać informacji o osobach zakażonych oraz
o osobach, które miały styczność z osobą zakażoną,
– art. 32a ust. 2, który określa, jakich danych może żądać Sanepid: dane wskazane w piśmie, które otrzymuje pracodawca muszą się mieścić w katalogu danych określonych w ustawie.
Ww. podstawa prawna uprawniająca Sanepid do pozyskania od pracodawcy danych osób zakażonych oraz osób z kontaktu, powinna być wskazana przez Sanepid już w stosownym wniosku do zakładu pracy. Warto wskazać, że dane przesyłane do Sanepidu drogą elektroniczną muszą być udostępniane w bezpieczny sposób np. w zaszyfrowanym pliku, a z Sanepidem można ustalić 1 stałe hasło obowiązujące przy odszyfrowywaniu pliku.
2. Bezpieczeństwo systemów i sieci IT
Bezpieczeństwo infrastruktury IT należy uznać za niezwykle istotne, ponieważ nawet najmniejsza firma przetwarza dane osobowe. Dodając do siebie poszczególne firmy w sektorze prywatnym oraz niezliczoną ilość instytucji publicznych, w Polsce przetwarzamy ogromną ilość danych osobowych. RODO zobowiązuje administratorów danych do zapewnienia poufności, dostępności, integralności i rozliczalności bezpieczeństwa przetwarzanych danych (art. 5 RODO). Żeby zminimalizować ryzyko naruszenia ochrony danych osobowych administratorzy i podmioty przetwarzające są zobowiązane wdrożyć odpowiednie środki techniczne i organizacyjne uwzględniające ryzyko wiążące się z przetwarzaniem poszczególnych rodzajów danych osobowych (art. 32 RODO). Jak można zabezpieczyć swoje urządzenia, informacje, pieniądze i nerwy pisaliśmy w ramach lutowych czwartków z cyberbezpieczeństwem.
Ponadto kary administracyjne nakładane przez Prezesa Urzędu Ochrony Danych Osobowych na podmioty, u których doszło do naruszenia ochrony danych osobowych, wyznaczają kierunek działań dla administratorów danych i wskazują obszary, które warto poddać audytowi, w celu zweryfikowania poprawności stosowania organizacyjnych i technicznych środków zabezpieczeń. Przykładem niech będzie kara ponad 1 mln zł dla ID Finance Poland za brak reakcji na sygnał o lukach w zabezpieczeniach. Co robić, aby uniknąć takich kar? Jednym z działań rekomendowanych przez naszych Inspektorów ochrony danych jest regularne badanie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów IT poprzez np. audyty bezpieczeństwa sieci polegające na badaniu podatności sieci komputerowej na próby ataków pod kątem luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych oraz konfiguracji. Zapraszam do lektury całego artykułu na naszym blogu.
Naruszenia związane z niedostatecznym zapewnieniem bezpieczeństwa sieci IT mają miejsce nie tylko w sektorze prywatnym. Mijający, 3 rok obowiązywania RODO, skutkował również nałożeniem maksymalnej kary na podmiot publiczny w wysokości 100 tys. zł. Krajowa Szkoła Sądownictwa i Prokuratury w kwietniu 2020 roku zawiadomiła Organ Nadzorczy o naruszeniu ochrony danych osobowych, w związku z powiadomieniem przez Komendę Główną Policji o pojawieniu się w Internecie danych osobowych związanych z domeną kssip.gov.pl. Nieznane osoby uzyskały nieupoważniony dostęp do kopii bazy danych witryny szkoleniowej KSSiP powstałej w trakcie testowej migracji do nowej platformy szkoleniowej. Naruszenie dotyczyło danych osobowych ponad 50 tys. osób, użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na platformie szkoleniowej KSSiP. Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. Jak można było uniknąć naruszenia, a tym samym kary? Przeczytaj o tym na naszym blogu.
3. Szkolenia i budowanie świadomości pracowników
Powszechnie uważa się, że najsłabszym ogniwem mechanizmów zabezpieczających przewarzane dane osobowe jest człowiek. Często mimo szkoleń, wiedza na temat RODO czy cyberbezpieczeństwa jest niewystarczająca. Dlatego RODO kładzie nacisk na to, aby oprócz środków stricte technicznych, podejmować działania zwiększające świadomość pracowników oraz szkolić personel uczestniczący w procesach przetwarzania danych osobowych. Z naszej praktyki wynika, że większość naruszeń to wynik błędu pracownika. Do ostatniego, głośnego wycieku danych funkcjonariuszy publicznych różnych grup zawodowych mogło dojść w wyniku błędu pracownika. Jeżeli jeszcze naruszenie wiąże się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, których dane przetwarzamy, organ nadzorczy może nałożyć karę na administratora. Żeby uniknąć takich sytuacji warto zorganizować dla personelu szkolenie ze szczególnym uwzględnieniem takich zagadnień, jak: zagrożenia bezpieczeństwa informacji i danych osobowych, skutki naruszenia zasad bezpieczeństwa, w tym odpowiedzialność prawna, stosowanie środków zapewniających bezpieczeństwo, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.
4. Naruszenia ochrony danych osobowych
28 stycznia 2021 roku świętowaliśmy XV Dzień Ochrony Danych Osobowych. Z tej okazji mój kolega przygotował ciekawy artykuł dotyczący postępowania w sytuacji naruszenia ochrony danych osobowych. Każdy Administrator Danych Osobowych ma obowiązek powiadomić organ nadzorczy o naruszeniu ochrony danych osobowych w terminie 72 godzin od stwierdzenia wystąpienia incydentu, z wyjątkiem sytuacji, gdy stwierdzono, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Jaki jest warunek, żeby móc odpowiednio zareagować na sytuację naruszenia? Bardzo ważne jest, aby osoba, która wykryła naruszenie (np. pracownik lub osoba, której naruszenie dotyczy), poinformowała Administratora danych lub Inspektora ochrony danych (jeżeli został wyznaczony w Organizacji). Zgadzam się z tym, że nie jest to przyjemne, jednak jak pokazują ostatnie decyzje Prezesa Urzędu Ochrony Danych Osobowych, o wiele gorsze jest zamiecenie naruszenia pod dywan.
Jedna z ostatnich kar dotyczyła właśnie naruszenia przepisu art. 33 ust. 1 rozporządzenia 2016/679 (dalej RODO), polegającego na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Na spółkę ENEA S.A. została nałożona kara pieniężna w wysokości ponad 136 tys. zł. Organ nadzorczy został powiadomiony o naruszeniu nie przez administratora danych (ENEA S.A.), tylko przez osobę, która stała się nieuprawnionym adresatem danych osobowych. Urząd Ochrony Danych Osobowych w opublikowanej decyzji administracyjnej wskazał, że administracyjna kara pieniężna “Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce jak i innym administratorom danych na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie”. Dlatego można ukuć nowe hasło: „Jak naruszamy, to zgłaszamy!”
Podsumowując: w okresie ostatniego roku (od 25 maja 2020) Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjne kary pieniężne na 15 administratorów danych na łączną kwotę 4.912.197,20 zł za naruszenia ochrony danych osobowych lub brak współpracy z organem nadzorczym.
5. Wyrok polskiego sądu w sprawie pierwszego zadośćuczynienia za naruszenie ochrony danych osobowych
W myśl art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Zapis „szkoda majątkowa lub niemajątkowa” oznacza możliwość domagania się odszkodowania lub zadośćuczynienia za doznaną krzywdę. Dla uzyskania odszkodowania/zadośćuczynienia konieczne będzie skierowanie sprawy do właściwego sądu okręgowego. Jednak ciężar dowodowy będzie spoczywał na podmiocie, który przetwarzał dane osobowe, a więc to administrator danych będzie musiał udowodnić przed sądem, że w sposób prawidłowy i zgodny z przepisami przetwarzał dane osobowe.
W Polsce pierwsze zadośćuczynienie zostało zasądzone dnia 6 sierpnia 2020 roku przez Sąd Okręgowy w Warszawie (sygn. akt XXV C 2596/19). Wyrokiem sądu została zasądzona kwota 1.500 zł za przekazanie osobie trzeciej danych osobowych (personalnych) powódki w zbyt szerokim zakresie, w wyniku czego pozwany naruszył prawo powódki do prywatności i doprowadził do powstania po jej stronie szkody niemajątkowej (krzywdy). Treść całego wyroku z uzasadnieniem można znaleźć na Portalu Orzeczeń Sądu Okręgowego w Warszawie.
Jak widzimy, zapewnienie zgodności z przepisami o ochronie danych osobowych jest niezwykle ważne. Może też rodzić szereg konsekwencji, nie tylko dla administratora danych, ale przede wszystkim dla osób fizycznych, których dane codziennie przetwarzamy w swoim miejscu pracy. Dlatego ochrona danych osobowych jest nieustannym procesem. Wprowadzone do stosowania polityki ochrony danych oraz pozostałe wewnętrzne procedury powinny być poddawane przeglądom oraz w miarę potrzeby uzupełniane i aktualizowane. Szkolenia pracowników powinny odbywać się cyklicznie oraz uwzględniać praktyczne aspekty przetwarzania danych osobowych u danego administratora. Niezbędne jest również przeprowadzanie okresowych audytów zgodności z RODO oraz audytów powiązanych, mających wpływ na szeroko rozumiane bezpieczeństwo np. audytów bezpieczeństwa sieci, audytów oprogramowania czy audytów cyberbezpieczeństwa.
Autor: Monika Kowalik, Dyrektor Projektu, CompNet Sp. z o.o.