Informowanie klientów o wycieku ich danych i przykłady naruszeń

Artykuł 34. ust. 1 nakazuje, aby informować osoby o naruszeniu ochrony danych osobowych, gdy może ono powodować wysokie ryzyko dla prywatności:

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

​​​​​​

 

W rozporządzeniu nie wskazano dokładnie, w jakich sytua­cjach trzeba to będzie robić. Podano jedynie, że osoby, których dane dotyczą, należy informować „jasnym i prostym językiem” (art. 34 ust. 2), a informacja powinna co najmniej opisywać możliwe konsekwencje naruszenia ochrony danych osobowych oraz opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

 

Przykłady naruszenia bezpieczeństwa danych

 

Keylogger

W jednej z firm wykryto tzw. keylogger – oprogramowanie, a czasami urządzenie, które zbiera informacje o tym, jakie klawisze były naciskane na klawiaturze. Niekiedy potrafi dużo więcej, np. zapisywać ruchy myszki czy zawartość ekranu. W tym przypadku był to sprzęt wpięty między klawiaturę a komputer, który swoim wyglądem przypominał „przejściówkę” do klawiatury. Użytkownik miał problemy z prawidłowym działaniem klawiatury i poprosił informatyka o pomoc. Ten, próbując naprawić komputer, odkrył podejrzane urządzenie, odpiął je od komputera, zabezpieczył w woreczku foliowym, po czym przekazał informację o zdarzeniu do działu IT, który podjął dalsze działania mające na celu ustalenie sprawców zdarzenia:

  • sprawdzenie nagrań z monitoringu (telewizji przemys­łowej), aby wykryć podejrzane osoby albo ograniczyć krąg podejrzanych osób,
  • zweryfikowanie numerów IP, z jakimi łączył się komputer w ostatnich dniach,
  • sprawdzenie numerów IP, jakie próbowały połączyć się z komputerem,
  • próba uzyskania informacji od dystrybutora, kto kupił podpięte urządzenie (na urządzeniu znajdował się numer seryjny),
  • próba odczytania danych z keyloggera (nieudana),
  • zastawienie pułapki na sprawcę, który być może w najbliższych dniach będzie chciał zabrać urządzenie, aby nie pozostawić śladów.

 

Działania te nie przyniosły pożądanych skutków. Jednocześnie na policję zostało zgłoszone podejrzenie popełnienia przestępstwa. Niestety, nie można było odczytać odcisków palców osób podejrzanych, ponieważ keylogger był dotykany przez wiele osób, w tym m.in. informatyka.

 

Keylogger mógł zapisać hasła dostępu do firmowych systemów informatycznych, a także prywatne hasła użytkowników, dlatego wszystkie służbowe hasła zostały zmienione, użytkownik otrzymał także zalecenie zmiany własnych haseł do prywatnych usług (np. poczty elektronicznej czy serwisów społecznościowych). Komputer został przeskanowany na obecność złośliwego oprogramowania, sprawdzono także, czy nie zostały zmienione istotne dane. Obserwacji została poddana także komunikacja komputera w sieci, tj. sprawdzenie, jakie dane wysyła i odbiera z sieci, na jakich portach nasłuchuje itd.

 

Inspektor ochrony danych osobowych, działając na podstawie udzielonego mu pełnomocnictwa, wysłał zgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego, uznając że jest wysoce prawdopodobne, że naruszenie będzie skutkowało „ryzykiem naruszenia praw lub wolności osób fizycznych”, chociaż to ryzyko jest dość trudno ocenić precyzyjnie, bo nie wiadomo, do jakich danych przestępca uzyskał dostęp.

 

Zagubienie laptopa

Laptopy giną stosunkowo często. Najczęściej jest to kradzież, ale bywa także, że użytkownik zostawi go przez roztargnienie w pociągu czy w restauracji. W każdym przypadku powinien jak najszybciej poinformować o tym zdarzeniu odpowiednią osobę w organizacji. Istotne jest, aby ustalić:

  • jak dane były zabezpieczone na laptopie,
  • jakie dane znajdowały się na laptopie.

 

Jeśli dane na laptopie zaszyfrowano, to należy upewnić się, czy hasło do odszyfrowania nie było zapisane na kartce,
w notesie i czy nie przechowywano go razem z laptopem. Jeśli tak nie było, ryzyko wycieku danych jest prawie żadne,
stratą dla organizacji jest jedynie wartość sprzętu.

 

Jeśli jednak dane nie były zaszyfrowane, to problem jest o wiele większy, bo istnieje ryzyko, że osoba, która weszła w posiadanie laptopa, odczyta dane, a jeśli nawet nie, to może go odsprzedać komuś, kto może to zrobić.

 

Działania, jakie wówczas należy podjąć, to m.in.:

  • ustalić, jakie mogą być potencjalne szkody dla organizacji w związku z utratą laptopa,
  • poinformować osobę odpowiedzialną za komunikację z mediami o zdarzeniu, tak aby była przygotowana na ewentualne pytania, np. dziennikarzy,
  • poinformować o zdarzeniu inspektora ochrony danych i dostarczyć mu wszystkie niezbędne informacje,
  • tak aby mógł wysłać zgłoszenie do organu nadzorczego, a może nawet i poinformować osoby, których dane dotyczą,
  • zmienić hasła do wszystkich systemów, do których dostęp miał użytkownik.
     

Jeśli doszło do kradzieży, warto zgłosić ten fakt na policję. Kradzież lub zgubienie laptopa często stanowi (spóźnioną) lekcję dla przedsiębiorcy, dlatego już wcześniej warto pomyśleć o wdrożeniu szyfrowania, podobnie w przypadku
urządzeń mobilnych, np. firmowych telefonów i tabletów.

 

Włamanie do firmowej witryny

Strona firmowa może służyć wyłącznie informowaniu o przedsiębiorcy i jego ofercie, jednak znacznie częściej wchodzi w interakcję z klientami, zbierając na stronie internetowej dane osobowe. Zdarza się więc, że służy do przetwarzania danych osobowych. Coraz więcej jest także aplikacji udostępnianych przez Internet klientom lub do interakcji z nimi.

 

Witryny internetowe można podzielić na trzy kategorie:

  • własna w całości (firma zarządza w całości sprzętem i oprogramowaniem albo co najmniej oprogramowaniem),
  • własna, ale na cudzym serwerze (hosting),
  • całkowicie zlecona na zewnątrz (outsourcing witryny).

 

W zależności od rodzaju naruszenia i rodzaju witryny postępowanie może się różnić. Przykładowo, jeśli utrzymanie witryny jest zlecone podmiotowi zewnętrznemu, to wiele etapów postępowania będzie musiał wykonać sam, w tym m.in. zebrać dowody, zabezpieczyć witrynę i wdrożyć mechanizmy, które nie pozwolą na powtórzenie się podobnej sytuacji. Zgodnie z zapisami art. 33 ust. 2 będzie musiał zgłosić naruszenie bezpieczeństwa do administratora (zleceniodawcy).

 

W przypadku hostingu potrzebna będzie współpraca obu podmiotów, dlatego że przedsiębiorca nie ma dostępu do wielu informacji, np. dotyczących funkcjonowania systemu operacyjnego. W przypadku witryny w całości zarządzanej przez przedsiębiorcę nie ma takiego problemu, gdyż administruje nią i sam może zebrać wszystkie niezbędne elektroniczne informacje.

 

Zawsze jednak, gdy wystąpi incydent, należy ocenić, co się dokładnie stało oraz jaki to może mieć wpływ na prowadzoną działalność oraz na prawa i wolności osób i od tego uzależniać pozostałe działania.

Rodzaje incydentów mogą być różne, np.:

  • udostępnienie danych (każdy bądź wiele osób może się z nimi zapoznać),
  • kradzież tożsamości użytkownika,
  • nieuprawniona zmiana danych,
  • usunięcie danych,
  • zablokowanie dostępu do danych.

 

Witryna internetowa ma szczególne znaczenie, bo to pub­licznie dostępny element wizerunku firmy. Jeśli dojdzie do włamania, to wieść o tym rozniesie się błyskawicznie w Internecie i – co gorsze – będzie w nim długie lata. Dlatego w przypadku wykrycia włamania do witryny należy jak najszybciej wyłączyć dostęp do niej z Internetu, aby szkody były jak najmniejsze. Należy też uzgodnić komunikację na zewnątrz firmy, aby odpowiednio poinformować otoczenie o tym, co się zdarzyło i kiedy witryna będzie poprawnie funkcjonować.

 

Ciągłość działania

Niekiedy incydent może przerodzić się w sytuację kryzysową, która może nawet grozić bankructwem. Aby straty w takich sytuacjach były jak najmniejsze, wiele firm wdraża procesy zarządzania ciągłością działania (BCM – Business Continuity Management), które pozwalają organizacji przetrwać i funkcjonować na minimalnym niezbędnym poziomie, nawet jeśli wydarzy się najgorsze.

 

RODO odnosi się do takich sytuacji, podkreślając, że w takich sytuacjach administrator lub podmiot przetwarzający muszą zagwarantować zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (art. 33 ust. 1 pkt b i c).

 

Z tej perspektywy istotne jest, aby posiadać co najmniej niektóre zapasowe kopie danych poza siedzibą firmy, bo jeśli będzie ona niedostępna (np. zniszczona), to posiadając takie dane zapasowe, można kupić wyposażenie komputerowe i odtworzyć systemy informatyczne z tych kopii.

 

Wraz z zapasową kopią danych należy mieć też przygotowane:

  • hasła administracyjne (bez nich może się okazać, że nie da się odtworzyć danych),
  • procedury odtwarzania systemów informatycznych (aby wiedzieć, jak odtwarzać dane).
     

Oczywiście, zawsze warto posiadać plany działania i być przygotowanym na najgorsze, ale kopia danych i procedury odtworzenia to minimum wymagane do przetrwania.