W ciągu ubiegłego roku zgłoszono do Urzędu Ochrony Danych Osobowych 6039 naruszeń ochrony danych osobowych. Chodzi zarówno o poważne wycieki, jak i o przypadkowe rozesłanie e-maila z odkrytymi adresami innych odbiorców. Ta liczba może wydawać się duża, ale perspektywa zmienia się, gdy porównamy ją do danych z rekordowej pod tym względem Holandii. W ciągu roku, w dużo jednak mniejszym kraju, zgłoszono prawie 41 tys. naruszeń.

Liczby te niewiele jednak mówią o ryzyku wystąpienia incydentów związanych z danymi. Pewien obraz daje natomiast raport przygotowany przez Związek Firm Ochrony Danych Osobowych. To organizacja zrzeszająca profesjonalne firmy doradcze, które działają zgodnie z wypracowanymi standardami. Przez rok analizowała ona dane z 277 firm prywatnych i jednostek administracji publicznej obsługiwanych przez swoich członków. W tym czasie odnotowała 127 incydentów związanych z danymi. Oznacza to, że średnio na jednego administratora przypadało 0,46 incydentu. Zdaniem ekspertów realne zagrożenie jest jednak większe.

– Statystyka pokazuje, że w przybliżeniu powinniśmy być gotowi na jeden incydent w ciągu dwóch lat. To niewiele. Dane te mogą być mylące z dwóch powodów. Po pierwsze, w branżach B2B jest stosunkowo mało incydentów, co znacząco zaniża statystyki. Po drugie, poziom raportowania w organizacjach wciąż pozostawia wiele do życzenia. Wszyscy uczymy się skutecznie odróżniać sprawy błahe, niewymagające raportowania, niewyrządzające nikomu szkody, od tych naprawdę poważnych i generujących ryzyka – ocenia Przemysław Zegarek, szef ZFODO i prezes zarządu kancelarii Lex Artis.

Błąd ludzki

Z raportu ZFODO wynika, że zdecydowana większość incydentów, bo aż 89 proc., wynikała z błędu ludzkiego. Jego przykładem może być głośna kradzież laptopa, na którym przechowywano szczegółowe dane osobowe kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego. Pracownik nie powinien ich kopiować na komputer, który wynosił z uczelni, ale to zrobił. Tylko 11 proc. incydentów wynikało z przyczyn nieosobowych, takich jak awaria systemu. Te same proporcje występowały w podziale na przyczyny nieumyślne czy umyślne. Aż 89 proc. naruszeń było skutkiem błędu (np. źle zaadresowane e-maile, niekorzystanie z opcji kopii ukrytej, wysyłka korespondencji tradycyjnej z danymi innej osoby). Tylko 11 proc. incydentów wynikało z celowego działania (kradzieże laptopów czy innych nośników danych lub wyłudzenia informacji).

– Przeważająca większość incydentów nie stanowiła wyniku umyślnego działania osób odpowiedzialnych za ich wystąpienie. Incydenty były spowodowane przede wszystkim konsekwencją niedbalstwa lub lekkomyślności, które wynikały z nadmiaru obowiązków służbowych bądź niedoskonałości procedur – zwraca uwagę adwokat Konrad Wysocki z JDS Consulting.

Dane z raportu ZFODO potwierdzają spostrzeżenia UODO wynikające z analizy zgłoszeń dotyczących naruszeń.

– Najczęściej występujące to ujawnienie danych niewłaściwej osobie, w wyniku błędu ludzkiego, np. zgubienie dokumentacji, błędne wpisanie adresu korespondencyjnego bądź adresu e-mail – mówi Adam Sanocki, rzecznik prasowy UODO.

Największe zainteresowanie mediów wzbudzają spektakularne kradzieże danych, takie jak np. ze sklepu internetowego Morele.net (prezes UODO nałożył w związku z tym wyciekiem karę 2,8 mln zł). Z raportu wynika jednak, że należą one do rzadkości. Tylko 9 proc. naruszeń związanych było z działalnością podmiotów zewnętrznych (hakerów czy byłych pracowników), 71 proc. miało źródło wewnętrzne, a w 20 proc. winien był procesor danych.

Co wycieka?

Z raportu wynika, że najgorzej chronione są imię i nazwisko (44 proc. naruszeń) oraz adres e-mail (20 proc.).

– Widać wyraźnie, że bardziej chronimy twarde dane kadrowe (10 proc. naruszeń) i finansowe (17 proc. naruszeń). Na imię i nazwisko w połączeniu z adresem e-mail musimy zwracać większą uwagę, bo wyciek tych danych także potrafi być bolesny z punktu widzenia osoby, której dane wyciekły – zaznacza radca prawny Tomasz Osiej, wiceprezes ZFODO i prezes zarządu firmy doradczej Omni Modo.

Ciekawe są dane dotyczące informowania o naruszeniach. Okazuje się, że 59 proc. z nich nie zgłoszono prezesowi UODO. Artykuł 33 RODO nakazuje poinformowanie organu ochrony danych o takich incydentach, chyba że „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Ocena często bywa problematyczna. Co powinno decydować?

– Zgłoszenia raczej będzie trzeba dokonać, jeśli zgubimy niezaszyfrowany pendrive z danymi osobowymi, kiedy staniemy się ofiarą ataku ransomware, nie mając kopii zapasowej danych lub gdy dojdzie do ujawnienia osobie nieuprawnionej danych, które są objęte tajemnicą zawodową – podpowiada Mikołaj Otmianowski, radca prawny i wiceprezes firmy DAPR.

– Myślę natomiast, że odstąpić od zgłoszenia można, gdy utrata kopii danych nie pozwoli na dostęp do nich osobie nieuprawnionej (dlatego tak ważne jest szyfrowanie wszelkich dysków) lub kiedy trafią one do podmiotu nieuprawnionego, ale zaufanego, który wiemy, że je usunie i nie wykorzysta przeciwko osobie. Pamiętajmy jednak, że każdą sytuację trzeba ocenić indywidualnie – dodaje.

Po pierwszym roku stosowania unijnego rozporządzenia UODO miał wątpliwości, czy zgłaszano mu wszystkie istotne naruszenia. Takich zgłoszeń było wówczas 4,5 tys. Teraz jest ich już więcej (ponad 6 tys.).

– Prezes UODO podjął wiele działań, których celem było uświadomienie administratorom, jak istotne jest prowadzenie rejestru naruszeń, ocena ryzyka, zgłoszenie ich do organu nadzorczego oraz poinformowanie osób, których dane dotyczą. Dlatego skalę zgłoszonych naruszeń należy ocenić pozytywnie z uwagi na rosnącą świadomość administratorów – mówi Adam Sanocki, rzecznik prasowy UODO.

Nie tylko w internecie

Z raportu ZFODO wynika, że częściej niż UODO informowani są o incydencie sami zainteresowani, do których danych ktoś mógł mieć dostęp. Tym skończyło się 76 proc. naruszeń. Problemem jest to, że część firm jako jedyny sposób przekazania takich informacji wybiera publikację na swej stronie internetowej. Z oczywistych względów nie wszyscy zainteresowani do nich dotrą.

– Otwartą kwestią pozostaje sposób informowania, czy bezpośrednio (która to droga ma pierwszeństwo), czy na stronach internetowych i ogłoszeniach w mediach. Punktem odniesienia jest zasada rozliczalności, królująca we wszystkich procedurach informacyjnych, czy i jak możemy udowodnić, że dana operacja (skuteczne poinformowanie) miała miejsce – tłumaczy Tomasz Osiej.

– W przypadku niewspółmiernie dużego wysiłku (art. 34 ust. 3 lit. c RODO) mamy przyzwolenie na wydanie publicznego komunikatu, jednak patrząc w kontekście uzasadnienia wyroku w sprawie Bisnode (pierwszej firmy ukaranej finansowo przez UODO), niekoniecznie koszty i wysiłek organizacyjny będą decydowały o tym, co jest takim niewspółmiernie dużym wysiłkiem. Kontekst tego musi być szerszy. Taka forma komunikacji jest więc wyjątkiem od zasady bezpośredniego przekazywania informacji – dodaje.