Dołącz do czytelników
Brak wyników

Zgodnie z prawem: ochrona danych osobowych

10 czerwca 2021

NR 86 (Czerwiec 2021)

RODO w praktyce szkolnej. Naruszenia danych osobowych

18

Jedną z najbardziej istotnych zmian po wejściu w życie rozporządzenia dotyczącego ochrony danych osobowych jest obowiązek zgłaszania Prezesowi Urzędu Ochrony Danych Osobowych niektórych przypadków naruszenia ochrony danych. Obowiązek ten jest uzależniony od prawdopodobieństwa wystąpienia negatywnych skutków związanych z ryzykiem naruszenia praw lub wolności osób fizycznych. Ponadto, jeśli prawdopodobieństwo jest wysokie, niezbędne jest także powiadomienie osób, których dotyczy naruszenie.

Analiza ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością dokonania zgłoszenia oraz zawiadomienia osób, których dotyczy naruszenie, nie jest łatwa. Ponadto przyznanie się do błędów lub nieprawidłowości wywołuje dodatkową frustrację oraz strach przed nałożeniem kary, gdyż zawiadomienie może skutkować interwencją organu nadzorczego (Urzędu Ochrony Danych Osobowych) – zgodnie z jego zadaniami i uprawnieniami określonymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO). Ewentualna kontrola mogłaby doprowadzić do ujawnienia braku albo nieadekwatności istniejących środków bezpieczeństwa.
Warto jednak pamiętać, że umiejętność przyznania się do błędu nie jest oznaką słabości, tylko okazją do poprawy i rozwoju. Przede wszystkim jednak odpowiednia reakcja na naruszenie ochrony danych osobowych pomoże uchronić osoby, których dane zostały naruszone, przed możliwymi negatywnymi skutkami zdarzenia.

POLECAMY

Kategorie naruszeń danych osobowych

Jak wynika z podanej w RODO definicji, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Pojęcie zniszczenia odnosi się do sytuacji, gdy dane osobowe przestają istnieć w jakiejkolwiek postaci pozwalającej na ich odczyt. Z kolei utracenie wiąże się z brakiem możliwości sprawowania kontroli nad danymi, najczęściej w postaci braku możliwości dostępu do nich.
Można wyróżnić trzy kategorie naruszeń ochrony danych osobowych:

  • naruszenie dotyczące poufności danych, 
  • naruszenie dotyczące dostępności do danych,
  • naruszenie dotyczące integralności danych.

Nie zawsze dane zdarzenie można jednoznacznie zakwalifikować do danej kategorii. Może się np. okazać, że w wyniku naruszenia doszło do nieuprawnionego ujawnienia danych, czyli naruszenia poufności, a w efekcie także do utracenia ich dostępności i integralności. Przykładem może być zdalne włamanie do komputera, kradzież danych, a następnie ich zniszczenie lub zmiana.

Naruszenie poufności

Z naruszeniem poufności danych osobowych będziemy mieli do czynienia wówczas, gdy powierzone nam dane osobowe w wyniku złamania zasad bezpieczeństwa zostaną w nieuprawniony sposób ujawnione lub udostępnione. Przykładem takiego naruszenia jest przesyłanie wiadomości e-mail z danymi osobowymi do niewłaściwych adresatów. Jeżeli dane nie zostaną zaszyfrowane, dojdzie do utraty poufności, którą niewątpliwie należy zgłosić organowi nadzorczemu. Jeżeli jednak dane będą skutecznie zabezpieczone hasłem dostępu, można założyć, że nie dojdzie do ich ujawnienia i w związku z tym do zagrożenia związanego z naruszeniem praw i wolności podmiotów danych. Taki incydent należy opisać w wewnętrznej dokumentacji i wdrożyć działania zapobiegające ich ponownemu wystąpieniu.
W związku z powyższym przykładem warto przytoczyć decyzję, którą wydał Prezes Urzędu Ochrony Danych Osobowych pod koniec ubiegłego roku. Naruszenie polegało na wysłaniu pocztą elektroniczną, przez agenta ubezpieczeniowego będącego podmiotem przetwarzającym dla TUiR WARTA S.A., polisy ubezpieczeniowej zawierającej dane osobowe do nieuprawnionego adresata. W wyniku tego działania doszło do naruszenia poufności danych dwóch osób w zakresie imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy. 
O naruszeniu ochrony danych osobowych organ nadzorczy został poinformowany przez nieuprawnionego adresata, który zawiadomił o tym fakcie także firmę ubezpieczeniową. Pomimo dużej wagi danych, które zostały w sposób nieuprawniony ujawnione, firma uznała, że incydentu nie należy zgłaszać do organu nadzorczego, ponieważ osoba ubezpieczona sama podała błędny adres poczty e-mail, a ponadto z przekazanej informacji wynikało, że adresat wiadomości jest świadomy przepisów i wagi informacji, jakie otrzymał, i zobowiązał się do ich usunięcia.
Jednak zdaniem Prezesa Urzędu Ochrony Danych Osobowych zakres danych, których poufność została naruszona, przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych, a fakt niezgłoszenia incydentu do organu i niepoinformowania osób, których dane zostały w nieuprawniony sposób udostępnione, zasługuje na karę pieniężną w wysokości 85 588 zł. Firma ubezpieczeniowa uniknęłaby kary, gdyby zweryfikowała adres poczty elektronicznej podany przez klienta lub przesłała dane osobowe w postaci zaszyfrowanego pliku. 
Z naruszeniem poufności danych osobowych będziemy mieli do czynienia także wtedy, gdy nastąpi utrata (kradzież, zgubienie) elektronicznych nośników danych, np. komputera, dysku twardego, karty pamięci czy pendrive’a. Jeżeli wskazane nośniki będą odpowiednio zabezpieczone unikalnymi hasłami dostępu, ryzyko naruszenia poufności danych będzie minimalne, więc zgłoszenie do organu nadzorczego nie wydaje się zasadne. 
Nie trzeba będzie także dokonywać zgłoszenia, gdy waga lub zakres ujawnionych danych nie będą na tyle duże, by stanowić zagrożenie dla osób fizycznych. Jeżeli nauczyciel zgubi niezabezpieczony pendrive, na którym są tylko imiona i nazwiska kandydatów przyjętych i nieprzyjętych do szkoły, dyrektor może ograniczyć się do odnotowania incydentu w dokumentacji wewnętrznej, wszak są to dane podlegające upublicznieniu. Jeżeli jednak obok nazwisk pojawią się adresy, należy dokonać zgłoszenia do organu nadzorczego i zawiadomić o naruszeniu rodziców uczniów.
Do naruszenia poufności może też dojść w wyniku złego zabezpieczenia systemów informatycznych. O ile komputery, które są na wyposażeniu szkoły, poddawane są okresowym przeglądom zabezpieczeń, o tyle sprzęt prywatny, którego nauczyciele używają podczas zdalnego nauczania, pozostaje najczęściej poza kontrolą dyrektora i nie zawsze wyposażony jest we właściwe oprogramowanie. Dlatego uświadomienie nauczycieli w kwestii ryzyka związanego z przetwarzaniem danych w sieci i przedstawienie sposobów na bezpieczne prowadzenie lekcji z wykorzystaniem internetu było nadrzędnym zadaniem dyrektora przed wprowadzeniem nauczania na odległość. 

Naruszenie dostępności danych lub ich integralności 

Naruszenie dostępności danych osobowych polega na czasowej bądź trwałej utracie kontroli nad danymi, pozbawieniu dostępu lub zniszczeniu danych osobowych. Można do nich zaliczyć zgubienie lub kradzież nośnika z danymi osobowymi, przypadkowe lub celowe usunięcie danych, awarię sprzętu komputerowego, działanie złośliwego oprogramowania powodujące utratę danych albo brak możliwości zalogowania do systemu zawierającego dane osobowe, co może być wynikiem utraty hasła dostępu. Dostępność w powyższych przypadkach nie zostanie utracona, jeśli administrator danych będzie dysponował kopiami bezpieczeństwa.
Niebezpieczeństwo naruszenia dostępności danych związane jest także z otwieraniem niebezpiecznych załączników do wiadomości, które mogą zawierać szkodliwe oprogramowanie destabilizujące działanie komputera i w konsekwencji zagrażające utratą zgromadzonych w nim informacji.
Należy wiedzieć, że nie każda czasowa niedostępność danych jest naruszeniem. Będzie nim tylko wtedy, gdy brak dostępności będzie się wiązał z ryzykiem dla praw lub wolności osób fizycznych. Czasowy brak dostępu nauczyciela do dziennika elektronicznego, wynikający np. z prac konserwacyjnych, nie będzie stanowił naruszenia bezpieczeństwa. Jeżeli jednak brak dostępu do systemu SIOEO spowoduje niezgłoszenie uczniów w dopuszczalnym terminie do egzaminu zewnętrznego, będziemy mieli wysokie ryzyko dla praw lub wolności uczniów i takie zdarzenie należy potraktować jako naruszenie wymagające zgłoszenia do organu nadzorczego. Tylko szybkie rozwiązanie problemu pozwoli potraktować zdarzenie w kategoriach incydentu wewnętrznego, bez konieczności zgłaszania go i powiadamiania o nim uczniów i ich rodziców.
Przypadki zainfekowania systemów informatycznych złośliwym oprogramowaniem mogą także skutkować naruszeniem integralności danych, jeśli dojdzie do nieautoryzowanej zmiany ich treści.
Aby uniknąć naruszenia danych osobowych zgromadzonych w systemach informatycznych, należy dobrać skuteczne zabezpieczenia oraz cyklicznie je testować, w szczególności w zakresie podatności i błędów, a także możliwych skutków działania zagrożeń na zasoby. W przypadku nieakceptowanego poziomu ryzyka należy podjąć działania zaradcze.

Postępowanie w przypadku naruszenia 

Administrator danych, którego w szkole reprezentuje dyrektor, musi być dobrze przygotowany na niezwłoczne wdrożenie odpowiednich działań po uzyskaniu informacji o naruszeniu. Zgodnie bowiem z motywem 85 RODO, brak właściwej i jednocześnie szybkiej reakcji może skutkować m.in. powstaniem uszczerbku fizyc...

Artykuł dostępny dla Prenumeratorów.

Kup dostęp

Przypisy