Przeprowadzenie analizy ryzyka, to jedno z podstawowych wymagań, które zobowiązani są realizować zarówno administratorzy danych jak i podmioty przetwarzające dane osobowe. Ale samo przeprowadzenie analizy ryzyka nie powinno nas zadowalać. Nie wystarczy ustalić jak największej ilości potencjalnych zagrożeń dla bezpieczeństwa przetwarzanych danych osobowych i dokonać oceny ich możliwego wpływu na bezpieczeństwo danych, gdyby ryzyko się zmaterializowało. Naruszenie ochrony danych osobowych niesie ze sobą negatywne skutki nie tylko dla samej organizacji, ale przede wszystkim dla osób, których dane osobowe uległy naruszeniu. Dlatego tak ważne jest, aby:

1. zidentyfikować wszystkie zasoby za pomocą, których administrator przetwarza dane osobowe np. komputery, systemy informatyczne, pomieszczenia, dokumentację papierową czy personel;
2. zidentyfikować wszystkie już stosowane zabezpieczenia techniczne i organizacyjne;
3. zidentyfikować zagrożenia dla bezpieczeństwa danych osobowych oraz ocenić możliwość ich wystąpienia w organizacji;
4. ocenić, czy dotychczas stosowane zabezpieczenia są wystarczające i skuteczne, a w przypadku uzyskania oceny o ich nieskuteczności lub powzięcia informacji o tym, że jednak nie są adekwatne dla danego zasobu – zaplanować działania mające na celu zmniejszenie ryzyka wystąpienia naruszenia ochrony danych osobowych;
5. a potem „Take action!” – podejmij działania zgodne z wynikami przeprowadzonej analizy ryzyka.

O tym jak ważne jest to działanie przekonał się wójt gminy Dobrzyniewo Duże. UODO nałożył na niego administracyjną karę pieniężną w wysokości 8 tys. zł za niezapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych. 

Zgodnie z informacjami przekazanymi przez UODO, administrator zgłosił do urzędu naruszenie ochrony danych osobowych polegające na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Do kradzieży doszło poza urzędem gminy, gdyż użytkujący laptop pracownik przechowywał go w domu.

Z ustaleń UODO wynika, że w gminie Dobrzyniewo Duże administrator prowadził odpowiednią dokumentację od momentu rozpoczęcia stosowania RODO, dokonywał analizy ryzyka i miał świadomość konieczności zastosowania odpowiednich środków organizacyjnych i technicznych zapewniających bezpieczeństwo przetwarzania danych osobowych przetwarzanych przy użyciu przenośnego sprzętu komputerowego. Administrator miał świadomość ryzyk związanych z utratą sprzętu komputerowego wynoszonego poza jego organizację. Ryzyko to ocenił jako nieakceptowalne i określił, w ramach sposobu postępowania z ryzykiem, zabezpieczenia, jakie należy wdrożyć w celu jego ograniczenia. Wśród wymienionych zabezpieczeń mających obniżyć poziom ryzyka wskazano m.in. na szyfrowanie. Jednak jak wykazało postępowanie skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła, a przyjęte w procedurach zabezpieczenia nie zostały zastosowane, przynajmniej na tym komputerze. Dopiero po incydencie w urzędzie gminy podjęto działania mające na celu uniknięcie podobnych zdarzeń w przyszłości poprzez szyfrowanie dysków twardych komputerów przenośnych.

Przy nakładaniu administracyjnej kary pieniężnej organ nadzorczy uwzględnił m.in. fakt, że skradziony komputer został odnaleziony, a przeprowadzona przez administratora analiza wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany. Tym samym, pomimo że administrator utracił kontrolę nad danymi osobowymi, a nieuprawniona osoba uzyskała do nich bezprawny dostęp, nie było podstaw do uznania, że na dzień wydania przedmiotowej decyzji administracyjnej, osoby, których dane dotyczą poniosły jakąkolwiek szkodę na skutek tego naruszenia.

Widzimy zatem, że prawidłowe prowadzenie analizy ryzyka to nie tylko wytworzenie dokumentacji całej analizy, określenie środków, jakie wdrożymy, aby dane były bezpiecznie przetwarzane, a istniejące ryzyka zminimalizowane. Ważne jest, aby faktycznie zrealizować działania naprawcze wynikające z analizy ryzyka i z wyprzedzeniem wprowadzić odpowiednie zabezpieczenia, które wyeliminują ryzyko wystąpienia konkretnego zdarzenia lub obniżą ryzyko do poziomu akceptowalnego, albo realnie ograniczą negatywne skutki dla osób fizycznych, których dane przetwarzamy, gdyby doszło do naruszenia. 

Jak wskazuje organ nadzorczy, gdyby Wójt Gminy zastosował się do wyników własnej analizy ryzyka i określonego  w niej sposobu postępowania z ryzykiem oraz do postanowień przyjętego przez siebie Regulaminu, to mogłoby nie dojść do naruszenia ochrony danych osobowych i utraty poufności danych 51 osób. Oceny tej nie zmienia fakt odnalezienia skradzionego urządzenia przenośnego oraz fakt, że zgodnie z wyjaśnieniami Wójta Gminy „Analiza logów systemu C wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany (brak informacji o logowaniu do systemu)”. W momencie bowiem stwierdzenia naruszenia ochrony danych osobowych ryzyko naruszenia praw lub wolności osób fizycznych było wysokie z uwagi w szczególności na zakres danych osobowych przetwarzanych przy użyciu skradzionego komputera przenośnego (imię i nazwisko, adres zamieszkania lub pobytu oraz nr PESEL) i brak wdrożenia na nim adekwatnych środków bezpieczeństwa w celu zapewnienia ochrony tym danym, tj. zabezpieczenia kryptograficznego w postaci zaszyfrowanych dysków twardych.

Musimy pamiętać jeszcze o jednej ważnej rzeczy: administrator danych musi na bieżąco sprawdzać skuteczność już funkcjonujących zabezpieczeń. Stosowanie zabezpieczeń musi mieć charakter ciągłego procesu, a nie jednorazowego wdrożenia. Pozwala to identyfikować nowe podatności, zagrożenia, słabości bądź luki w zabezpieczeniach, które być może nie były znane w momencie uruchamiania danych rozwiązań, na bieżąco na nie reagować, a tym samym unikać wystąpienia incydentów bądź naruszeń ochrony danych osobowych.

Zapraszam do skorzystania z pomocy ekspertów CompNet w ocenie procesów przetwarzania danych osobowych pod kątem ryzyka naruszenia praw lub wolności osób fizycznych.

Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.

Autor: Monika Kowalik, Specjalista ds. ochrony danych osobowych oraz ochrony informacji w CompNet Sp. z o.o.