Prezes Urzędu Ochrony Danych Osobowych otrzymał jakiś czas temu zgłoszenie dotyczące naruszenia ochrony danych osobowych w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie. Sprawa naruszenia (dokładnie wycieku danych) dotyczy kradzieży służbowego laptopa jednego z pracowników Uczelni. Urząd Ochrony Danych Osobowych oczywiście przeprowadzi czynności kontrolne. Na czym polegało to naruszenie? Jak pracodawcy powinni prawidłowo reagować na wyciek danych i jak mu przeciwdziałać?

Wyciek danych w związku z kradzieżą:

Dyski komputerów pracowników to dla wielu pracodawców (a więc de facto administratorów danych osobowych) elektroniczne skrzynki pełne tajemnic 😊 To też wielkie zagrożenie wycieku danych osobowych i warto mieć tego świadomość! 

Ostatnimi czasy przekonała się o tym Szkoła Główna Gospodarstwa Wiejskiego w Warszawie. Służbowy komputer pracownika Uczelni został skradziony. Co istotne i mrożące krew w żyłach RODO-znawców to fakt, że na dysku tego komputera znajdowały się dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach na studia w SGGW. Były to dane identyfikacyjne takie jak: imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu,  ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, czy wyniki uzyskane na egzaminie maturalnym.

Obecnie w SGGW prowadzona jest kontrola Urzędu Ochrony Danych Osobowych.

Niezbędne działania po wycieku danych:

Wszystko zależy od tego, czy dana organizacja posiada wdrożone procedury działania po wycieku danych. Jeśli jednak administrator nie wprowadził w swojej organizacji dodatkowej obostrzonej (w porównaniu do regulacji RODO) procedury postępowania w przypadku naruszenia, z listą obowiązkowych zgłoszeń krok po kroku przychodzi RODO.

Działać należy stosunkowo szybko. Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, kradzież lub sfałszowanie tożsamości, strata finansowa, aż po naruszenie dobrego imienia, czy poufności danych osobowych chronionych tajemnicą zawodową. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator ma obowiązek zgłosić je organowi nadzorczemu  i to bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki. Powyższy obowiązek wynika wprost z art. 33 RODO.

Zgłoszenie musi co najmniej:

• opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

•  zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Bez cienia wątpliwości wyciek danych, jaki miał miejsce w SGGW mógł spowodował ryzyko naruszenia praw i wolności osób których dane zostały wykradzione. Naruszenie bowiem dotyczy nie tylko imion i nazwisk czy wyników w nauce, lecz także numerów PESEL oraz numerów i serii dowodów osobistych. Z taką bazą danych przestępcy mogą już wiele złego „zdziałać”.

Powiadomienie organu to jednak nie koniec obowiązków administratora w obliczu naruszenia. Zgodnie z art. 34 RODO Administrator bez zbędnej zwłoki informuje także osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych. Czy jednak zawsze?

Otóż administrator powiadamia osoby których danych dotyczą zawsze, jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z uwzględnieniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania.

W naszym dzisiejszym przykładzie naruszenia wskazać należy, że SGGW poinformowało UODO o naruszeniu. Ponadto, na oficjalnej stronie internetowej Uczelni pojawiły się komunikaty zarówno po wykryciu naruszenia jak i sukcesywnie informujące o stanie sprawy. SGGW poinformowała także w najnowszym komunikacie w tej sprawie, iż zatrzymano trzech obywateli Gruzji podejrzanych o kradzież laptopa z danymi kandydatów na studia i studentów Szkoły Głównej Gospodarstwa Wiejskiego.

Jak przeciwdziałać?

Złota recepta chroniąca dane w 100% raczej nie istnieje ☹ Powodem tego jest czynnik ludzki, uczestniczący i kluczowy w procesie przetwarzania danych osobowych. Niemniej jednak, pracodawcy powinni podjąć maksimum dostępnych prawnie środków chroniąc administrowane przez nich dane osobowe. Pomocne i kluczowe w tym zakresie mogą być między innymi:

• szkolenia personelu;

• nadawanie wyraźnych i szczegółowo opisanych upoważnień pracownikom do przetwarzania danych osobowych;

• wprowadzenie polityk przetwarzania danych osobowych;

• wprowadzenie zakazu korzystania z sprzętu służbowego do celów prywatnych (laptopów jak i telefonów komórkowych);

• wprowadzenie zakazu tworzenia kopii dokumentów ponad niezbędne minimum;

• wprowadzenie procedury przechowywania plików i danych w chmurze.

Rzecznik SGGW w komunikacie dostępnym na stronie internetowej Uczelni wskazywał, „że dane osobowe studentów i kandydatów na studia w SGGW zostały wykradzione, gdyż jeden z pracowników lekkomyślnie kopiował je na przenośny komputer. Nie miał do tego prawa i zrobił to wbrew obowiązującym na uczelni procedurom(…) Uczelnia zgodnie z prawem może przechowywać dane z rekrutacji tylko przez jeden rok i takie dane posiada. Nie wiemy z ilu lat ten pracownik przechowywał dane na komputerze. To właśnie wyjaśniają Policja i Prokuratura. Toczy się śledztwo w tej sprawie. Zakres skradzionych danych jest szczegółowo podany w komunikacie Administratora Danych Osobowych. Prawdopodobnie komputer skradziono przypadkowo, ale ponieważ nie wiemy ile rekordów bezprawnie było zapisanych na tym komputerze i czy dojdzie do ich wykorzystania”.

To jeszcze nie koniec tej sprawy. Jak wskazaliśmy, obecnie trwa kontrola UODO i nie wiadomo, czy wprowadzone procedury w SGGW spowodują, że organ zakończy postępowanie jedynie na pouczeniu i zaleceniach, czy jednak Uczelnia stanie w obliczu kary finansowej.

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.