Sytuacja niestety nadal dość częsta w realiach polskich małych, a nawet średnich przedsiębiorstw – nagle okazuje się, że pracownik zgłosił nam problem z komputerem – zaszyfrowany dysk, ewentualnie kradzież laptopa/tabletu/telefonu, względnie zagubienie laptopa/przenośnego nośnika danych z danymi firmowymi, ewentualnie dostajemy informację od kontrahenta, że dostał nie swoją fakturę/umowę/dokument (ciekaw jest kto dostał jego dokumenty ☹) lub zaobserwował, że w mailu który od nas otrzymał widzi wszystkich innych adresatów tej seryjnej wiadomości lub doszło do udostępnienia w internecie naszych zasobów firmowych (np. katalogu z danymi), a więc mamy typowe naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) i potencjalne problemy z Prezesem Urzędu Ochrony Danych Osobowych (choć zapewne nie tylko☹).
W praktyce w przypadkach wymienionych pierwszym, niejako naturalnym odruchem jest pomysł zbagatelizowania problemu i próba przeczekania – a nuż rozejdzie się po kościach. No może poza zaszyfrowaniem systemów bo wtedy nagle okazuje się, że np. firma nie może realizować podstawowej działalności biznesowej – owszem można przywrócić dane/systemy z kopii zapasowych, ale nie oszukujmy się – jak wielu małych przedsiębiorców faktycznie dba o odpowiednie/regularne wykonywanie i zabezpieczenie kopii – niestety niewielu. W skrajnych przypadkach nawet proste automatyczne systemy wykonywania kopii typu NAS na niewiele się zdadzą jeżeli również NAS został zaszyfrowany. Co ciekawe często w takiej sytuacji okazuje się, że nasz Pan/Pani informatyk to tak naprawdę jedynie hobbysta komputerowy posiadający średnią wiedzę informatyczną, ot taki „fachowiec”, który ogranicza się do instalacji systemu, antywirusa, zarządzania stroną www., ewentualnie wymianą zepsutego nośnika danych …
Oczywiście w takiej sytuacji wielu przedsiębiorców zaciska zęby i płaci okup za odszyfrowanie danych, niemniej jednak nie mogą mieć pewności co do tego czy dane zostaną faktycznie odszyfrowane oraz czy przestępcy nie wykonali ich kopii … Część zarządzających firmami po szybkim reaserchu internetowym, względnie konsultacji z prawnikami, zdaje sobie sprawę, że powyższe „przygody” na ogół stanowią jednak naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) i zaczynają zastanawiać co w tej sytuacji należałoby zrobić (szczególnie zaczynają się zastanawiać jak pracownicy/kontrahenci wyrażają niezadowolenie i obawy związane z zaistniałą sytuacją, a prawnicy określą potencjalne sankcje). Nagle zaczynają zdawać sobie sprawę, że jak sprawa dotrze do Prezesa Urzędu Ochrony Danych Osobowych (skarga) lub sądu (pozew), to zaniedbania w zakresie RODO w firmie mogą grozić nieciekawymi konsekwencjami, a jeżeli poważny kontrahent (np. większa firma) poweźmie wiadomość o nieodpowiednim poziomie zabezpieczeń powierzonych nam danych osobowych to może się skończyć utratą kontraktu (tak, znamy z praktyki takie sytuacje – to się naprawę zdarza – można stracić kontrakt przez niewdrożenie zasad określonych RODO w firmie).
No dobrze mleko się rozlało mamy problem, ale czy powinniśmy się poddać i czekać aż kat opuści topór ? Nie, zdecydowanie nie, szybka i fachowa ocena wagi naruszenia oraz podjęcie działań naprawczych i wdrożeniowych pozwoli ograniczyć potencjalne ryzyka biznesowe, a w części przypadków nawet uniknąć ryzyka postępowań wyjaśniających/administracyjnych ze strony organu nadzorczego (Prezesa UODO) lub zakończyć postępowania na etapie udzielenia wyjaśnień. Trzeba jednak pamiętać aby działania te podjąć niezwłocznie, poczynając od analizy rodzaju naruszenia, jego skali i wagi oraz zidentyfikować przyczynę/źródło naruszenia – nie zawsze bowiem naruszenie miało miejsce bezpośrednio w naszej organizacji często zdarza się, że zawinił nasz podwykonawca (biuro księgowe, dostawca rozwiązań chmurowych, dostawca aplikacji, nasz informatyk na kontrakcie B2B itp.), co niestety nie wyłącza naszej odpowiedzialności. W takim przypadku okazuje się bardzo istotną kwestia dokonanej przez nas weryfikacji zgodności kontrahenta przed powierzeniem mu przetwarzania w naszym imieniu danych osobowych, jak również systematyczne weryfikowanie zgodności w toku realizacji usługi, a szczególnie możliwość udokumentowania dokonywania tych weryfikacji. To z kolei pokazuje, że nie zawsze cena usługi powinna być podatkowym kryterium wyboru dostawcy/partnera, Co z tego że partner zaoferował usługę/aplikację, która posiada biznesowo wymagane funkcjonalności i ładnie wygląda, jest przyjazna w obsłudze, jeżeli dane wprowadzone do aplikacji są przechowywane np. poza EOG np. na Białorusi lub w Indiach bez odpowiednich zabezpieczeń i gwarancji formalnych, a za wybór właściwego dostawcy/partnera odpowiadamy przecież my …
Oczywiście, w sytuacji idealnej mamy wdrożone zasady RODO, procedury działają, pracownicy są przeszkoleni i nie otwierają podejrzanych wiadomości instalując jednocześnie szkodliwe oprogramowanie, a jak zdarzy się błąd ludzki typu pomyłka pola UDW i DW w mailu to nie chowają głowy w piasek tylko raportują to niezwłocznie przełożonym, a ci odpowiednio do wagi naruszenia w terminie do 72 godzin podejmują decyzję jak dalej postępować, ale czy w Twojej firmie tak właśnie jest ? Jeżeli nie to najwyższy czas nadrobić zaległości, nawet jeżeli już masz do czynienia z naruszeniem to jest jeszcze czas na zminimalizowanie jego skutków i warto zwrócić się w tej kwestii do ekspertów mających długoletnie praktyczne doświadczenie, w tym nabyte podczas postępowań przed organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych, a wcześniej GIODO), na samodzielne wypracowanie rozwiązań/zarządzanie zaistniałym naruszeniem i jego odpowiednią obsługą może nie być już czasu, a niefachowe działanie zamiast zminimalizować skutki i konsekwencje naruszenia mogą je jeszcze zwiększyć ….
Andrzej Grzeszczuk
Inspektor ochrony danych
Ekspert akredytowany przez PARP – Phare 2002 Program: Dostęp do innowacyjnych usług doradczych, Działanie: Ochrona danych osobowych
Kontakt:
Tel. 509 720 666