Bezpośrednią przyczyną nałożenia sankcji nie było bynajmniej zgubienie nośnika z danymi osobowymi, ale brak odpowiednich środków organizacyjnych i technicznych, które pozwoliłyby skutecznie zabezpieczyć przed wyciekiem danych. Londyńskie lotnisko miało szczęście, że naruszenie przepisów miało miejsce, zanim weszło w życie RODO.
Information Commisionner’s Office (ICO), brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał 3 października br. decyzję nakładającą na Heathrow Airport Limited (operatora lotniska Heathrow; dalej: HAL) karę pieniężną w wysokości 120 tys. funtów (równowartość 600 tys. zł).
Sprawa, którą badało ICO, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników HAL bez zgody i wiedzy przełożonych, a także wbrew procedurom obowiązującym w firmie, zapisał na przenośnym dysku USB dane, do których miał dostęp w ramach wykonywania obowiązków. Niestety, wkrótce zgubił pendrive’a w drodze do pracy. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet, a ta 26 października ub.r. poinformowała HAL o tym, że weszła w jego posiadanie. Nośnik został oddany HAL dzień później, przy czym wcześniej redakcja sporządziła kopię danych. Trzy dni później media poinformowały o zgubionym pendrive’ie i o wycieku danych z HAL. Już następnego dnia ICO zwrócił się do HAL o wyjaśnienia w tej sprawie. Zgubiony nośnik zawierał 76 folderów i ponad 1000 plików i ani nie był zabezpieczony hasłem, ani nie był zaszyfrowany. Przy czym dane osobowe, w tym szczególne kategorie danych, stanowiły jedynie niewielką część informacji (ok. 1 proc.). Na urządzeniu znajdowały się m.in. film szkoleniowy, który zawierał dane 10 osób, w tym imiona, daty urodzin, numery paszportów, a także dane blisko 50 pracowników personelu ochrony lotniczej. Na nośniku znajdowały się również dane o przynależności niektórych osób do związków zawodowych.
Za co ukarano lotnisko
W wyniku postępowania, które zostało wszczęte po otrzymaniu informacji o wycieku danych, ICO stwierdził, że HAL nie podjął kroków w celu zabezpieczenia przetwarzanych przez siebie danych osobowych w odpowiedni sposób, w chwili wystąpienia incydentu operator angielskiego lotniska nie miał też wystarczających środków organizacyjnych i technicznych ochrony danych, choć – co warto podkreślić – w momencie wystąpienia naruszenia w HAL obowiązywały wewnętrzne procedury. Nakazywały one pracownikom m.in. (i) maksymalne ograniczenie używania przenośnych nośników danych, (ii) szczególną ostrożność w używaniu nośników przenośnych w celu minimalizacji ryzyka ich zgubienia, kradzieży etc., a także (iii) szyfrowanie danych wrażliwych zapisywanych na nośnikach przenośnych. Ponadto HAL umieściło w intranecie wytyczne dla pracowników dotyczące: używania przenośnych nośników do przechowywania danych służbowych, wskazujące m.in. na duże ryzyka związane z ich ewentualną utratą oraz na konieczność minimalizacji ich wykorzystywania, oraz bezpieczeństwa w środowisku sieciowym. W szczególności wskazano, że używanie przenośnych nośników danych jest dopuszczalne tylko wtedy, gdy nie ma żadnej alternatywy.
Jednakże pomimo powyższych działań w momencie wystąpienia naruszenia personel HAL powszechnie używał przenośnych nośników typu USB (zarówno prywatnych, jak i służbowych) do przechowywania różnego rodzaju danych HAL. Działo się to wbrew obowiązującym procedurom.
Operator portu miał wiedzę o tych praktykach, jednak pomimo tego nie podejmował działań korygujących niezgodne z procedurami zachowania personelu. Okoliczność ta została uznana przez brytyjski organ nadzoru za przejaw braku odpowiednich środków organizacyjnych ochrony danych w HAL. Dodatkowo, w chwili wystąpienia naruszenia, część wytycznych nie znajdowała się na aktualnej stronie intranetowej HAL (lecz na jej starszej wersji), co w ocenie ICO powodowało, że nie były wystarczająco znane i dostępne pracownikom.
W ocenie ICO HAL nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych. W momencie wystąpienia naruszenia jedynie ok. 2 proc. z 6,5 tys. pracowników firmy było przeszkolonych w zakresie ochrony danych. Grupa ta została wyselekcjonowana przez HAL jako osoby, które w związku z pełnionymi obowiązkami są narażone na największe ryzyko ujawnienia danych osobowych. Przy czym osoba, która zgubiła nośnik USB, nie otrzymała przeszkolenia w tym zakresie.
ICO zwróciło także uwagę, że HAL nie zapewniło również odpowiednich środków technicznych ochrony danych. Nie wdrożyło automatycznych środków uniemożliwiających kopiowanie danych osobowych na niezaszyfrowane nośniki przenośne lub zapewniających ich szyfrowanie lub hasłowanie. HAL nie miało ponadto kontroli nad tym, czy przenośne nośniki używane do przechowywania danych HAL są odpowiednio zabezpieczone. Nie miał także wiedzy na temat liczby używanych przez personel tego typu urządzeń (nie były one również rejestrowane przez operatora lotniska).
Warto podkreślić, że kara została nałożona na administratora nie za to, że doszło do zgubienia pendrive’a, ale przede wszystkim dlatego, że nie wdrożono wystarczających środków, by zapobiec temu incydentowi. Decyzja brytyjskiego organu ma istotne implikacje również dla podobnych naruszeń bezpieczeństwa danych osobowych, które mogą wystąpić obecnie i do których będzie mieć zastosowanie RODO.
Pod rządami RODO
Jakie mogłyby być konsekwencje, gdyby sprawa miała miejsce obecnie? Gdyby omawiany kazus wystąpił po wejściu RODO, zapewne doprowadziłby organ nadzorczy do wniosku, że administrator dopuścił się naruszenia art. 32 ust. 1 unijnego rozporządzenia z uwagi na niewdrożenie odpowiednich środków technicznych i organizacyjnych ochrony danych, w tym poprzez niezapewnienie szyfrowania lub hasłowania danych na nośnikach przenośnych, niewystarczającą liczbę pracowników przeszkolonych w zakresie ochrony informacji, brak wprowadzenia odpowiednich technicznych rozwiązań, np. uniemożliwiających zapisywanie danych osobowych na nośnikach przenośnych, czy też brak odpowiednich działań administratora wobec pracowników pomimo wiedzy administratora o powszechnym nieprzestrzeganiu przez nich procedur.
Warto zwrócić uwagę na to, że naruszenie art. 32 ust. 1 RODO może mieć miejsce również wtedy, gdy organizacja jest stosunkowo dobrze przygotowana od strony formalnej, a więc gdy przyjęła odpowiednie (adekwatne) procedury. Przy czym są one jedynie jednym z elementów w szerokim wachlarzu środków ochrony danych. O ich skuteczności decydować będzie również to, czy personel ma dostęp do obowiązujących norm, zna ich treść oraz jej przestrzega. Istotne jest także to, czy organizacja stosuje tam, gdzie to możliwe i wskazane, środki techniczne mające minimalizować ryzyko ludzkich błędów.
Sankcje mogą być wyższe
Pojawia się przy tym pytanie o potencjalne sankcje, które mogłyby być nałożone na administratora w przypadku stwierdzenia nieprawidłowości, o których mowa powyżej w obecnej sytuacji prawnej. Oczywiście bardzo trudno je oszacować. Można posłużyć się jednak metodą, która choć nie jest doskonała, to dostarczy pewnego wyobrażenia o możliwych konsekwencjach. Skoro ICO nałożyło na HAL karę stanowiącą mniej więcej 1/4 maksymalnej możliwej kwoty kary (maksymalna kara, jaka mogła zostać nałożona, to 500 tys. funtów), to gdyby podobna proporcja została zastosowana przy wymierzaniu kary na podstawie RODO – dziś analogiczna sankcja mogłaby wynieść nie 120 tys. funtów, lecz 2,5 mln euro lub 0,5 proc. całkowitego rocznego światowego obrotu grupy HAL z poprzedniego roku finansowego. Potencjalnie byłoby to więc co najmniej kilkanaście razy więcej!
Dodatkowo, w obecnych warunkach, administrator londyńskiego lotniska mógłby otrzymać karę pieniężną z tytułu niewykonania przewidzianego w RODO obowiązku powiadomienia organu nadzoru o stwierdzeniu naruszenia (takie powiadomienie powinno nastąpić najpóźniej w 72 godziny od stwierdzenia naruszenia przez administratora).
Jak zminimalizować ryzyko
Do środków organizacyjno-technicznych, które mogłyby zminimalizować ryzyka związane z naruszeniami, o których mowa powyżej, a które powinny stosować firmy, można zaliczyć m.in.:
- ciągłą identyfikację potencjalnych zagrożeń ochrony danych;
- przyjęcie określonych procedur i polityk, np. dozwolonego korzystania ze sprzętu i systemów IT, oraz jednoczesne zapewnienie, że personel rzeczywiście ma stały i łatwy dostęp do procedur, np. w intranecie;
- prowadzenie systematycznych szkoleń w zakresie ochrony danych dla maksymalnie dużej grupy pracowników;
- wprowadzenie adekwatnych rozwiązań technicznych, np. pozwalających na kontrolę pobierania danych lub uniemożliwienie kopiowania określonych rodzajów danych;
- wprowadzenie technicznego ograniczenia dostępu do danych osobowych jedynie dla osób, które powinny mieć do nich dostęp i jedynie w zakresie ,w jakim ten dostęp jest im potrzebny, z uwzględnieniem stanowiska pracy (np. z wyłączeniem możliwości kopiowania danych dla pracowników niższego szczebla);
- stałe monitorowanie przestrzegania przez personel wdrożonych w organizacji zasad postępowania w celu bieżącej identyfikacji naruszeń tych zasad;
- podejmowanie aktywnych działań w przypadku stwierdzenia, że personel działa niezgodnie z procedurami (np. dodatkowe szkolenia, środki dyscyplinarne etc.).
Z uwagi na zasadę rozliczalności wska zane jest ponadto odpowiednie ewidencjonowanie zastosowania poszczególnych środków, np. przez dokumento wanie:
- przyjęcia procedur dotyczących ochrony danych, formalne zobowiązanie personelu do ich stosowania oraz zapewnienie personelowi dostępu do ich treści;
- działań mających na celu zapewnienie znajomości procedur przez personel (np. szkolenia, e-learning, testy);
- działań w zakresie monitoringu przestrzegania procedur przez personel (np. w formie audytów kończących się raportami o stwierdzonych nieprawidłowościach i koniecznych działaniach naprawczych);
- działań korygujących, podejmowanych w przypadku stwierdzenia nieprawidłowości, np. dodatkowe szkolenia, jeśli pracownicy nie stosują się do procedur.
Pojedyncze naruszenie bezpieczeństwa danych zazwyczaj jest jedynie objawem poważniejszego i szerszego problemu występującego w organizacji. Ważne jest zatem, aby administratorzy ciągle skupiali się na systemowym i kompleksowym podejściu do ochrony danych. Takie podejście powinno pomóc w lepszym zabezpieczeniu firmy przed niepożądanymi sytuacjami, a także może stać się argumentem obronnym, przemawiającym za niższym wymiarem kary w przypadku, gdy naruszenie jednak wystąpi.
Obecnie, pod rządami RODO, organy nadzoru w poszczególnych krajach UE zwracają m.in. uwagę na to, czy wdrożono odpowiednie środki techniczne i organizacyjne, które dają wystarczającą ochronę danych osobowych.