Agencja pośrednictwa pracy ofiarą cyberataku
Odpowiednie reagowanie na naruszenia ochrony danych osobowych to jeden z podstawowych obowiązków administratorów danych wynikających z RODO. Jak wynika z praktyki, realizacja tych obowiązków często nastręcza administratorom istotnych trudności, w tym gdy naruszenia obejmują kontekst pracowniczy. Trudności dotyczą w szczególności oceny:
- czy doszło do naruszenia,
- jakie jest ryzyko związane z naruszeniem,
- jakie obowiązki prawne spoczywają na administratorze w związku z naruszeniem,
- jakie środki powinny być wdrożone w związku z naruszeniem.
Tym artykułem zaczynamy cykl publikacji, w których przedstawimy przykłady naruszeń ochrony danych w kontekście pracowniczym.
Będziemy się wspierać wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) i opublikowanymi przez Europejską Radę Ochrony Danych („EROD”). Zwrócimy uwagę na kluczowe aspekty z punktu widzenia polskiego pracodawcy, które mogą ułatwić administratorom realizację ich obowiązków w zakresie naruszeń.
Naruszenie ochrony danych – definicja i ogólne obowiązki
Zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
W przypadku naruszenia administrator musi podjąć określone działania, w zależności od poziomu ryzyka związanego z naruszeniem:
- Jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – administrator nie musi informować o naruszeniu organu nadzoru ani podmiotów danych, lecz zobowiązany jest do odnotowania wewnętrznie faktu wystąpienia naruszenia i podjętych w związku z nim działań zaradczych i naprawczych,
- Jeśli jest bardziej niż mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – administrator musi poinformować o naruszeniu organ nadzoru oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze,
- Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – administrator musi poinformować o naruszeniu organu nadzoru, a także osoby, których naruszenie dotyczy, oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działań zaradcze i naprawcze.
Jak widać, bez względu na poziom ryzyka administrator zawsze musi odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze. Dlatego w dalszej części skupimy się jedynie na określeniu, czy konieczne jest zawiadomienie organu nadzoru lub podmiotów danych.
Jako że treść obowiązków skorelowana jest z poziomem ryzyka naruszenia, kluczowe jest, by administrator, dokonując analizy naruszenia, posługiwał się określoną metodyką, która pozwoli lepiej uzasadnić podjętą przez administratora decyzję co do dalszych kroków związanych z naruszeniem. Taka analiza powinna być przeprowadzona z punktu widzenia ryzyk związanych z naruszeniem dla podmiotu danych (a nie ryzyk dla administratora, np. finansowych, biznesowych czy reputacyjnych).
Pomocna przy takiej ocenie może być np. metodologia zawarta w opracowaniu „Recommendations for a methodology of the assessment of severity of personal data breaches” przygotowanym przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa. W praktyce, w przypadku zgłoszenia naruszenia, organ nadzoru często faktycznie weryfikuje, czy administrator dokonał analizy ryzyka dla podmiotów danych związanego z naruszeniem. Warto więc pamiętać o przeprowadzeniu i udokumentowaniu takiej analizy.
Gdy wystąpi naruszenie, administrator powinien również wdrożyć środki mające na celu zaradzenie naruszeniu, w tym – w stosownych przypadkach – środki w celu zminimalizowania jego ewentualnych negatywnych skutków oraz mające na celu zmniejszenie ryzyka wystąpienia podobnych naruszeń w przyszłości. Tak jak w przypadku analizy ryzyka związanego z naruszeniem – organ nadzoru często faktycznie weryfikuje, czy administrator wdrożył środki, których wdrożenie zdeklarował w zgłoszeniu. Warto więc pamiętać o przeprowadzeniu i udokumentowaniu, o ile to możliwe, wdrożenia takich środków.
Przykład 1. Eksfiltracja ze strony internetowej danych zawartych w podaniach o pracę
Agencja pośrednictwa pracy padła ofiarą cyberataku, w wyniku którego na jej stronie internetowej został umieszczony złośliwy kod. Ten złośliwy kod sprawił, że dane osobowe przesłane za pośrednictwem internetowych formularzy podań o pracę i przechowywane na serwerze internetowym stały się dostępne dla nieupoważnionej osoby (osób). Możliwe, że naruszenie dotyczyło 213 takich formularzy; po przeanalizowaniu danych, które zostały naruszone, stwierdzono, że naruszenie nie dotyczyło żadnych szczególnych kategorii danych. Zainstalowane złośliwe oprogramowanie posiadało funkcje, które pozwoliły sprawcy ataku na usunięcie wszelkich historii eksfiltracji, a także umożliwiły monitorowanie przetwarzania danych na serwerze i przechwytywanie danych osobowych. Oprogramowanie wykryto dopiero miesiąc po jego zainstalowaniu” (patrz s. 18 Wytycznych).
Ocena ryzyka dla osób dotkniętych naruszeniem
W omawianym przykładzie w opinii EROD doszło do naruszenia ochrony danych osobowych, które powodowało wysokie ryzyko naruszenia praw lub wolności kandydatów. Dlatego agencja musi poinformować o naruszeniu nie tylko organ nadzoru, ale też kandydatów.
Jak wskazano w Wytycznych w odniesieniu do omawianego przykładu, Mimo że nie naruszono żadnych szczególnych kategorii danych osobowych, dane, do których uzyskano dostęp, zawierają znaczące informacje o osobach z formularzy internetowych, a takie dane mogą zostać wykorzystane niewłaściwie na wiele różnych sposobów (kierowanie niechcianych reklam, kradzież tożsamości itp.), tak więc dotkliwość konsekwencji powinna zwiększać ryzyko naruszenia praw i wolności osób, których dane dotyczą.
Omawiany przykład z perspektywy polskiej
Gdyby takie naruszenie dotyczyło polskiej agencji zatrudnienia, powyższy wniosek EROD mógłby również zostać uznany za uprawniony, tj. agencja musiałaby poinformować o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, a także kandydatów (niezależnie od ich liczby), których dane objęte były naruszeniem. Oczywiście każda zmiana okoliczności będzie wpływała na poziom ryzyka. Przed podjęciem kroków związanych z zawiadomieniami niezbędna byłaby więc w szczególności analiza tego, jakie konkretnie dane zostały ujawnione.
W przypadku osób, które zamieściły w swoich aplikacjach dane takie jak numer PESEL lub dane dotyczące zdrowia, ryzyko byłoby wyższe (co mogłoby wpłynąć m.in. na treść zawiadomienia do podmiotów danych, w szczególności na rekomendowane im działania).
Jednak nawet w przypadku osób, które w podaniach zamieściły standardowe dane, trudno byłoby jednoznacznie przesądzić, że nie występuje wysokie ryzyko naruszenia ich praw lub wolności (ich dane mogłyby np. zostać opublikowane publicznie i ich obecny pracodawca mógłby dowiedzieć się, że aplikowali oni o pracę do innych miejsc w określonej dacie). Co istotne, jeśli administrator ma wątpliwości związane z poziomem ryzyka co do danego naruszenia, to powinien zastosować podejście ostrożnościowe.
Gdyby podobne naruszenie dotyczyło bezpośrednio polskiego pracodawcy, tj. gdyby doszło do eksfiltracji aplikacji o pracę składanych np. przez platformę elektroniczną pracodawcy organizującego rekrutację, taki pracodawca również mógłby być zobowiązany do poinformowania o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, a także kandydatów (niezależnie od ich liczby), których dane objęte były naruszeniem.
Podobnie byłoby, gdyby naruszenie dotyczyło nie tylko aplikacji o pracę, ale również dokumentacji pracowniczej (przy czym z uwagi na zakres danych – np. to, że dokumentacja pracownicza zawiera numer PESEL – poziom ryzyka mógłby być wtedy jeszcze wyższy).
Środki zaradcze
Zdaniem EROD po takim naruszeniu należałoby wdrożyć następujące środki w celu minimalizacji skutków i ryzyka wystąpienia podobnego naruszenia w przyszłości (patrz s. 18 i 19 Wytycznych):
- porównać bazę danych z bazą przechowywaną w bezpiecznej kopii zapasowej w celu weryfikacji, czy nie doszło do zmian,
- zaktualizować infrastrukturę informatyczną, wykorzystując doświadczenia wyniesione z naruszenia,
- przywrócić do znanego, czystego stanu wszystkie systemy informatyczne, których dotyczy naruszenie,
- naprawić luki w zabezpieczeniach i wdrożyć nowe środki bezpieczeństwa, aby uniknąć podobnych naruszeń danych w przyszłości (np. przeprowadzić kontrole integralności plików i audyty bezpieczeństwa).
Gdyby naruszenie dotyczyło dokumentacji pracowniczej w rozumieniu prawa pracy przechowywanej w formie elektronicznej w systemie teleinformatycznym, wskazana mogłaby być również aktualizacja analizy zagrożeń i oceny stosowanych zabezpieczeń, w celu realizacji obowiązków wynikających z § 10 ust. 2 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej.
Karolina Romanowska, Łukasz Rutkowski