Agencja pośrednictwa pracy ofiarą cyberataku - Blog prawa pracy

Przejdź do treści
Blog prawa pracy
Change language to PL Change language to EN
5 grudnia 2023
dane osobowe

Agencja pośrednictwa pracy ofiarą cyberataku

Odpowiednie reagowanie na naruszenia ochrony danych osobowych to jeden z podstawowych obowiązków administratorów danych wynikających z RODO. Jak wynika z praktyki, realizacja tych obowiązków często nastręcza administratorom istotnych trudności, w tym gdy naruszenia obejmują kontekst pracowniczy. Trudności dotyczą w szczególności oceny:

  • czy doszło do naruszenia,
  • jakie jest ryzyko związane z naruszeniem,
  • jakie obowiązki prawne spoczywają na administratorze w związku z naruszeniem,
  • jakie środki powinny być wdrożone w związku z naruszeniem.

Tym artykułem zaczynamy cykl publikacji, w których przedstawimy przykłady naruszeń ochrony danych w kontekście pracowniczym.

Będziemy się wspierać wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) i opublikowanymi przez Europejską Radę Ochrony Danych („EROD”). Zwrócimy uwagę na kluczowe aspekty z punktu widzenia polskiego pracodawcy, które mogą ułatwić administratorom realizację ich obowiązków w zakresie naruszeń.

Naruszenie ochrony danych – definicja i ogólne obowiązki

Zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

W przypadku naruszenia administrator musi podjąć określone działania, w zależności od poziomu ryzyka związanego z naruszeniem:

  • Jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – administrator nie musi informować o naruszeniu organu nadzoru ani podmiotów danych, lecz zobowiązany jest do odnotowania wewnętrznie faktu wystąpienia naruszenia i podjętych w związku z nim działań zaradczych i naprawczych,
  • Jeśli jest bardziej niż mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – administrator musi poinformować o naruszeniu organ nadzoru oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze,
  • Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – administrator musi poinformować o naruszeniu organu nadzoru, a także osoby, których naruszenie dotyczy, oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działań zaradcze i naprawcze.

Jak widać, bez względu na poziom ryzyka administrator zawsze musi odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze. Dlatego w dalszej części skupimy się jedynie na określeniu, czy konieczne jest zawiadomienie organu nadzoru lub podmiotów danych.

Jako że treść obowiązków skorelowana jest z poziomem ryzyka naruszenia, kluczowe jest, by administrator, dokonując analizy naruszenia, posługiwał się określoną metodyką, która pozwoli lepiej uzasadnić podjętą przez administratora decyzję co do dalszych kroków związanych z naruszeniem. Taka analiza powinna być przeprowadzona z punktu widzenia ryzyk związanych z naruszeniem dla podmiotu danych (a nie ryzyk dla administratora, np. finansowych, biznesowych czy reputacyjnych).

Pomocna przy takiej ocenie może być np. metodologia zawarta w opracowaniu „Recommendations for a methodology of the assessment of severity of personal data breaches” przygotowanym przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa. W praktyce, w przypadku zgłoszenia naruszenia, organ nadzoru często faktycznie weryfikuje, czy administrator dokonał analizy ryzyka dla podmiotów danych związanego z naruszeniem. Warto więc pamiętać o przeprowadzeniu i udokumentowaniu takiej analizy.

Gdy wystąpi naruszenie, administrator powinien również wdrożyć środki mające na celu zaradzenie naruszeniu, w tym – w stosownych przypadkach – środki w celu zminimalizowania jego ewentualnych negatywnych skutków oraz mające na celu zmniejszenie ryzyka wystąpienia podobnych naruszeń w przyszłości. Tak jak w przypadku analizy ryzyka związanego z naruszeniem – organ nadzoru często faktycznie weryfikuje, czy administrator wdrożył środki, których wdrożenie zdeklarował w zgłoszeniu. Warto więc pamiętać o przeprowadzeniu i udokumentowaniu, o ile to możliwe, wdrożenia takich środków.

Przykład 1. Eksfiltracja ze strony internetowej danych zawartych w podaniach o pracę

Agencja pośrednictwa pracy padła ofiarą cyberataku, w wyniku którego na jej stronie internetowej został umieszczony złośliwy kod. Ten złośliwy kod sprawił, że dane osobowe przesłane za pośrednictwem internetowych formularzy podań o pracę i przechowywane na serwerze internetowym stały się dostępne dla nieupoważnionej osoby (osób). Możliwe, że naruszenie dotyczyło 213 takich formularzy; po przeanalizowaniu danych, które zostały naruszone, stwierdzono, że naruszenie nie dotyczyło żadnych szczególnych kategorii danych. Zainstalowane złośliwe oprogramowanie posiadało funkcje, które pozwoliły sprawcy ataku na usunięcie wszelkich historii eksfiltracji, a także umożliwiły monitorowanie przetwarzania danych na serwerze i przechwytywanie danych osobowych. Oprogramowanie wykryto dopiero miesiąc po jego zainstalowaniu” (patrz s. 18 Wytycznych).

Ocena ryzyka dla osób dotkniętych naruszeniem

W omawianym przykładzie w opinii EROD doszło do naruszenia ochrony danych osobowych, które powodowało wysokie ryzyko naruszenia praw lub wolności kandydatów. Dlatego agencja musi poinformować o naruszeniu nie tylko organ nadzoru, ale też kandydatów.

Jak wskazano w Wytycznych w odniesieniu do omawianego przykładu, Mimo że nie naruszono żadnych szczególnych kategorii danych osobowych, dane, do których uzyskano dostęp, zawierają znaczące informacje o osobach z formularzy internetowych, a takie dane mogą zostać wykorzystane niewłaściwie na wiele różnych sposobów (kierowanie niechcianych reklam, kradzież tożsamości itp.), tak więc dotkliwość konsekwencji powinna zwiększać ryzyko naruszenia praw i wolności osób, których dane dotyczą.

Omawiany przykład z perspektywy polskiej

Gdyby takie naruszenie dotyczyło polskiej agencji zatrudnienia, powyższy wniosek EROD mógłby również zostać uznany za uprawniony, tj. agencja musiałaby poinformować o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, a także kandydatów (niezależnie od ich liczby), których dane objęte były naruszeniem. Oczywiście każda zmiana okoliczności będzie wpływała na poziom ryzyka. Przed podjęciem kroków związanych z zawiadomieniami niezbędna byłaby więc w szczególności analiza tego, jakie konkretnie dane zostały ujawnione.

W przypadku osób, które zamieściły w swoich aplikacjach dane takie jak numer PESEL lub dane dotyczące zdrowia, ryzyko byłoby wyższe (co mogłoby wpłynąć m.in. na treść zawiadomienia do podmiotów danych, w szczególności na rekomendowane im działania).

Jednak nawet w przypadku osób, które w podaniach zamieściły standardowe dane, trudno byłoby jednoznacznie przesądzić, że nie występuje wysokie ryzyko naruszenia ich praw lub wolności (ich dane mogłyby np. zostać opublikowane publicznie i ich obecny pracodawca mógłby dowiedzieć się, że aplikowali oni o pracę do innych miejsc w określonej dacie). Co istotne, jeśli administrator ma wątpliwości związane z poziomem ryzyka co do danego naruszenia, to powinien zastosować podejście ostrożnościowe.

Gdyby podobne naruszenie dotyczyło bezpośrednio polskiego pracodawcy, tj. gdyby doszło do eksfiltracji aplikacji o pracę składanych np. przez platformę elektroniczną pracodawcy organizującego rekrutację, taki pracodawca również mógłby być zobowiązany do poinformowania o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, a także kandydatów (niezależnie od ich liczby), których dane objęte były naruszeniem.

Podobnie byłoby, gdyby naruszenie dotyczyło nie tylko aplikacji o pracę, ale również dokumentacji pracowniczej (przy czym z uwagi na zakres danych – np. to, że dokumentacja pracownicza zawiera numer PESEL – poziom ryzyka mógłby być wtedy jeszcze wyższy).

Środki zaradcze

Zdaniem EROD po takim naruszeniu należałoby wdrożyć następujące środki w celu minimalizacji skutków i ryzyka wystąpienia podobnego naruszenia w przyszłości (patrz s. 18 i 19 Wytycznych):

  • porównać bazę danych z bazą przechowywaną w bezpiecznej kopii zapasowej w celu weryfikacji, czy nie doszło do zmian,
  • zaktualizować infrastrukturę informatyczną, wykorzystując doświadczenia wyniesione z naruszenia,
  • przywrócić do znanego, czystego stanu wszystkie systemy informatyczne, których dotyczy naruszenie,
  • naprawić luki w zabezpieczeniach i wdrożyć nowe środki bezpieczeństwa, aby uniknąć podobnych naruszeń danych w przyszłości (np. przeprowadzić kontrole integralności plików i audyty bezpieczeństwa).

Gdyby naruszenie dotyczyło dokumentacji pracowniczej w rozumieniu prawa pracy przechowywanej w formie elektronicznej w systemie teleinformatycznym, wskazana mogłaby być również aktualizacja analizy zagrożeń i oceny stosowanych zabezpieczeń, w celu realizacji obowiązków wynikających z § 10 ust. 2 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej.

Karolina Romanowska, Łukasz Rutkowski

Romanowska
Karolina Romanowska
Rutkowski
Łukasz Rutkowski
Kategorie
newsletter
Szukasz informacji związanych z prawem pracy? Zapisz się do newslettera i bądź na bieżąco.
Zapisz się
flesze
wydarzenia
publikacje