5 lat RODO. Najczęstsze naruszenia i profilaktyka

W maju bieżącego roku mija 5 lat, odkąd w Polsce zaczęło obowiązywać RODO.

Jak firmy radzą sobie z jego stosowaniem?

Pięcioletni okres pozwala na dokonanie przeglądu najczęściej występujących naruszeń RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)) oraz wskazanie sposobów na ich unikanie.

Rodzaje naruszeń

Do naruszenia danych osobowych dochodzi, gdy mamy do czynienia z niezamierzonym, niezgodnym z prawem lub nieuprawnionym zniszczeniem, utratą, ujawnieniem lub dostępem do danych osobowych. Ze sprawozdania Prezesa urzędu Ochrony Danych Osobowych („PUODO”) w 2021 r. opublikowanego przez PUODO wynika, że do najczęstszych rodzajów naruszeń należały:

•  udostępnienie danych niewłaściwej osobie;
• nieprawidłowe zaadresowanie lub zapakowanie korespondencji;
• nieprawidłowa anonimizacja danych lub niezamierzona ich publikacja;
• zagubienie korespondencji przez operatora pocztowego (w tym kuriera) lub otwarcie korespondencji przed zwróceniem jej do nadawcy;
• nieuprawniony dostęp do danych;
• zagubienie, kradzież lub pozostawienie dokumentacji w niezabezpieczonej lokalizacji;
• zagubienie lub kradzież nośnika danych;
• wykorzystanie złośliwego oprogramowania ingerującego w poufność, integralność lub dostępność danych osobowych.

Analiza sprawozdań PUODO od początku jego działania, tj. od maja 2018 roku wskazuje, że gros naruszeń stanowią niezmiennie te same, wymienione wyżej naruszenia, a jedynie skala poszczególnych naruszeń była w poszczególnych latach zmienna.

Naruszyciele i ich błędy

Podmioty, które dopuszczają się naruszeń działają zarówno w sektorze publicznym, jak i prywatnym. To osoby fizyczne, jednostki organizacyjne, jednostki samorządu terytorialnego, a także jednostki Skarbu Państwa, co oznacza, że wymogi wynikające z RODO, pomimo kilku lat obowiązywania rozporządzenia, nie zostały należycie wdrożone i problem ten dotyczy bardzo szerokiego grona podmiotów przetwarzających dane.

Do naruszeń dochodzi przede wszystkim w drodze bezumownego powierzania danych (pierwsze z wymienionych naruszeń) oraz niezapewniania odpowiednich środków zabezpieczeń przez administratora lub osoby działające na jego rzecz (pozostałe naruszenia).

Zarządzanie naruszeniami

Poza wymienionymi naruszeniami w przetwarzaniu danych administratorzy dopuszczali się szeregu uchybień w procesie reagowania na uchybienie i usuwania naruszeń, co pokazuje, że sposób zarządzania naruszeniami także pozostawia wiele do życzenia. Procedura reakcji na wystąpienie incydentu bezpieczeństwa powinna być wdrażana niezwłocznie. Aby miało to miejsce, samo naruszenie, niezależnie od jego wagi i zasięgu, powinno zostać zdiagnozowane. Aby tego dokonać, niezbędny jest stały monitoring procesu przetwarzania danych (także w podmiotach, którym pod powierzono przetwarzanie danych), a także odpowiednie zasoby merytoryczne u osób prowadzących nadzór. Bez cyklicznego uzupełniania wiedzy kadr i aktualizacji mechanizmów ochrony właściwa reakcja na naruszenie jest mało prawdopodobna.

Do obowiązków administratora danych należy zapewnienie pełnej transparentności w zakresie zarządzania naruszeniami, a tym dokumentowanie naruszeń ochrony danych osobowych, ich skutków oraz podjętych działań zaradczych, zgłaszanie określonych przypadków naruszenia organowi nadzorczemu oraz zawiadamianie o naruszeniu osób, których dane dotyczą.

Ze sprawozdań PUODO wynika, że niejednokrotnie podmioty przetwarzające nie zgłaszały naruszeń oraz nie powiadamiały o naruszeniu osób, których dotyczą dane. Najczęstszym powodem było nieuzasadnione zaniżenie poziomu ryzyka związanego z naruszeniem i przyjęcie, że naruszenie ochrony danych osobowych nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, np. w efekcie ujawnienia danych jedynie kilku osób lub niewielkiego zakresu ujawnionych danych. Decyzje wydane przez PUODO wskazują, że nie było to właściwe zapatrywanie.

Uniknięcie kary

Zasadniczymi sposobami na uniknięcie kar jest zgodność przetwarzania z przepisami, a gdy już dojdzie do naruszenia, podjęcie właściwej procedury i współpraca z organem nadzorczym.

Kluczowe jest w tym względzie stałe doskonalenie kadr pod kątem właściwej oceny ryzyka związanego z procesowaniem przetwarzania danych i naruszeniem ich ochrony, głównie z tej przyczyny, że już sama możliwość (ryzyko) wystąpienia negatywnych konsekwencji naruszenia ochrony powoduje odpowiedzialność administratora (cywilną i administracyjną).

Bardzo istotne jest, aby zarówno na etapie żądania wyjaśnień przez organ, w trakcie kontroli, a także po wszczęciu postępowania administracyjnego współpracować z organem nadzorczym. Praktyki opisane w sprawozdaniu PUODO za 2021 r. pokazują, że brak udzielenia wyjaśnień, czy też udzielanie ich w sposób niejasny i niepełny prowadzi do zaostrzenia sankcji. W 17 postępowaniach związanych z niezapewnieniem dostępu do informacji niezbędnych do realizacji zadań PUODO, wszczętych i zakończonych w 2021 r. kary pieniężne nałożono w 7 z nich, czyli niemal połowie.

Sposobem na zmniejszenie, choć nie uniknięcie kary, może być ponadto naprawa niezgodnych z prawem działań już w trakcie kontroli czy przed zakończeniem postępowania administracyjnego.

Zapobieganie naruszeniom

Sprawozdania PUODO za kolejne lata jasno wskazują, że niewystarczające było przeprowadzenie analizy ryzyka naruszenia ochrony danych osobowych jednorazowo w okresie wdrożenia RODO, ale konieczne jest prowadzenie stałego monitoringu zarówno przyjętych zasad przetwarzania danych, jak i incydentów.

Wymóg ten dotyczy wszystkich kategorii podmiotów, a jak wskazują decyzje wydane przez PUODO i podtrzymane przez sądy administracyjne, zarówno podmiotów działających lokalnie, jak i o ogólnopolskim zasięgu działania.

Z omawianego sprawozdania PUODO wynika, że poza wdrożeniem polityk bezpieczeństwa, dokonanym co do zasady przez większość podmiotów przetwarzających dane jeszcze w 2018 r., ryzyko incydentu skutecznie zmniejszają m.in. następujące działania:

•  odpowiednia polityka ustalania haseł,
•  szyfrowanie plików i nośników danych,
•  stosowanie dwuetapowego uwierzytelnienia,
•  kontrola przepływu danych na nośniki,
•  monitoring bezpieczeństwa systemów informatycznych,
•  minimalizacja zakresu przetwarzanych danych z uwagi na cel przetwarzania (zasada minimalizacji danych),
• przestrzeganie ograniczeń w dostępie do danych i właściwa polityka udzielania dostępu.

Podsumowanie

Powyżej przedstawiono zasadnicze zagadnienia związane z obowiązkami i zagrożeniami wynikającymi z RODO. Okazuje się, że jednorazowe wdrożenie z początku 2018 roku nie jest wystarczające, aby trwale uniknąć ryzyka nałożenia sankcji administracyjnych i odpowiedzialności cywilnoprawnej. Kary nakładane przez PUODO potrafią być wielomilionowe. Niezbędne jest więc stałe doskonalenie narzędzi ochrony danych i monitoring ich skuteczności.

W przypadku zainteresowania wprowadzeniem właściwych rozwiązań w tym względzie, zachęcamy do skorzystania z profesjonalnego wsparcia prawnego.