Naruszenie – i co dalej?
Takie pytanie pada często w rozmowie z Inspektorem Ochrony Danych w sytuacji, gdy w Organizacji dochodzi do sytuacji wykraczającej poza standardowe procedury – incydentu, który może istotnie wpłynąć na bezpieczeństwo przetwarzanych danych osobowych. W takich momentach kluczowe staje się rzeczowe podejście, właściwa ocena sytuacji oraz świadomość, że każda decyzja – zarówno podjęta, jak i zaniechana – rodzi konkretne skutki prawne i wizerunkowe.
Co zrobić w przypadku wystąpienia naruszenia?
W pierwszym ruchu skontaktuj się ze swoim Inspektorem Ochrony Danych i szczegółowo opisz zaistniałą sytuację. Równocześnie należy bezzwłocznie powiadomić Administratora Danych Osobowych, a jeśli incydent dotyczy systemów informatycznych – również Administratora Systemów Informatycznych (ASI). Nie odkładaj tych działań na później, ponieważ może okazać się, że zaistniałe naruszenie będzie podlegać obowiązkowi zgłoszenia do polskiego organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO). Zgłoszenia należy dokonać niezwłocznie. Termin na przekazanie informacji do PUODO nie może przekroczyć 72 godzin od momentu stwierdzenia naruszenia.
W jaki sposób zatem ustalić, czy naruszenie to faktycznie naruszenie i jak się przed nim bronić na przyszłość?
Źródłem odpowiedzi na te pytania powinna być za każdym razem rzetelnie przeprowadzona przez administratora ocena wagi naruszenia. Ale jest to działanie już po wystąpieniu naruszenia.
Czy Administrator danych może zrobić coś co może uchronić Organizację przed wystąpieniem naruszenia ochrony danych lub incydentu bezpieczeństwa?
Tak, a jednym ze sposobów jest rzetelne wykonanie analizy ryzyka. Zgodnie z art. 32 RODO administrator danych jest zobowiązany do oceny ryzyka związanego z przetwarzaniem danych osobowych i doboru adekwatnych środków technicznych oraz organizacyjnych. Właściwa ocena ryzyka ma kluczowe znaczenie, ponieważ pozwala nie tylko ograniczyć skutki ewentualnych incydentów, ale także wykazać przed organem nadzorczym, że organizacja działała w sposób świadomy i proporcjonalny do zagrożeń.
Przypomniał o tym ostatnio Prezes UODO w jednej ze swoich decyzji.
-
Sprawa Gminnego Ośrodka Pomocy Społecznej w Aleksandrowie,
akt: DKN.5131.30.2022, źródło: (https://bip.uodo.gov.pl/pl/138/3793)
Zgodnie z ustaleniami faktycznymi poczynionymi przez Prezesa UODO, Gminny Ośrodek Pomocy Społecznej w Aleksandrowie (dalej: GOPS) w 2022 roku padł ofiarą ataku hakerskiego. W efekcie stracił dostęp do danych osobowych 1500 swoich klientów.
Jakich nieprawidłowości dopatrzył się PUODO w czasie postępowania wyjaśniającego w tej sprawie?
– opóźnienie w zgłoszeniu zaistniałego naruszenia do PUODO;
– brak wystarczających zabezpieczeń technicznych i organizacyjnych dla przetwarzanych danych;
– nierzetelnie przeprowadzona analiza ryzyka – GOPS jako administrator danych osobowych co prawda uwzględnił w analizie ryzyka takie zagrożenie jak atak hakerski (atak ransomware), niemniej zostało ono zbagatelizowane. Zabrakło środków technicznych i organizacyjnych do zminimalizowania skutków wystąpienia takiego ryzyka;
– dodatkowo, jak ustalił PUODO, na serwerze GOPS wykorzystywano system operacyjny, który stracił wsparcie producenta dwa lata przed naruszeniem. Zabezpieczeniem przed atakiem ransomware miało być tworzenie kopii zapasowej, która była zapisywana tylko w jednym miejscu i w dodatku na dysku sieciowym. W przypadku ataku hakerskiego takiego jak ransomware – dysk sieciowy również ulega zaszyfrowaniu.
Skutek: Administracyjna kara pieniężna nałożona na GOPS w wysokości 5.000 zł oraz na Wójta Aleksandrowa w wysokości 10.000 zł.
Co jednak istotne, w/w decyzja to nie pierwsze i nie ostatnie tego typu rozstrzygnięcie Prezesa UODO. Poniżej omówię kolejną decyzję, w której PUODO podkreślił, jak wielkie znaczenie dla procesu ochrony danych osobowych ma prawidłowo przeprowadzona analiza ryzyka: -
Sprawa Uniwersyteckiego Dziecięcego Szpitala Klinicznego im. L. Zamenhofa w Białymstoku,
akt: DKN.5131.48.2022, źródło: (https://uodo.gov.pl/pl/138/3803)
Zgodnie z ustaleniami faktycznymi Prezesa UODO, w Szpitalu zaistniał incydent bezpieczeństwa, który polegał na przełamaniu zabezpieczeń infrastruktury informatycznej Szpitala i zainfekowaniu jej złośliwym oprogramowaniem ransomware. W wyniku ataku został zablokowany dostęp do systemów informatycznych, co skutkowało naruszeniem poufności i dostępności danych osobowych ok. 2000 pracowników, w tym możliwością uzyskania do nich nieuprawnionego dostępu.
Jakich nieprawidłowości dopatrzył się PUODO w czasie postępowania wyjaśniającego w tej sprawie?
– Przede wszystkim nieprawidłowo przeprowadzonej analizy ryzyka, czyli:
– Szpital nie wskazał, jakie procesy przetwarzania poddawał analizie, ani nie powiązał tych procesów z rozpoznanymi zagrożeniami, co jest istotą analizy ryzyka;
– opis proponowanych przez Szpital działań mających na celu postępowanie z ryzykiem był niespójny z obowiązującą dokumentacją, jak i nie przystawał do faktycznie zastosowanych w Szpitalu środków organizacyjnych i technicznych;
– Szpital nie wdrożył stosownej procedury w zakresie wykonywania i dokumentowania testów odtworzeniowych, nie zastosował również odpowiednich zabezpieczeń tworzonych kopii zapasowych.
Jaki wniosek płynie z wyżej opisanych przypadków?
Prawidłowo przeprowadzona i regularnie aktualizowana pod kątem zidentyfikowanych ryzyk i funkcjonujących u administratora zabezpieczeń analiza ryzyka stanowi klucz do zapewnienia bezpieczeństwa całej Organizacji, w szczególności w razie wystąpienia naruszenia ochrony danych osobowych. Świadczy także o przewidywalności administratora w zakresie mogących wystąpić zagrożeń i świadomości co do zabezpieczeń, jakie należy zastosować, aby wspomniane zagrożenia przyniosły jak najmniej dotkliwe skutki dla działania Organizacji.
Ale możecie zapytać – jak zrobić to właściwie?
To prostsze niż się wydaje. Właśnie po to jesteśmy – zespół ekspertów firmy CompNet.
Wspieramy Organizacje na każdym etapie: od przeprowadzenia i aktualizacji analizy ryzyka, przez przygotowanie procedur reagowania na incydenty, aż po kompleksowe doradztwo w zakresie ochrony danych osobowych, w tym audyty bezpieczeństwa sieci.
Zgłoś się do nas! Wiemy jak skutecznie i optymalnie Wam pomóc: https://www.comp-net.pl/kontakt/
Nie czekaj do pierwszego incydentu
- skontaktuj się z nami!
Autor: Michał Małas | Ekspert ds. ochrony danych osobowych w CompNet sp. z o. o.