Pracownik gubi laptopa
To trzeci artykuł z serii, w której omawiamy obowiązki administratorów danych w zakresie naruszeń ochrony danych osobowych w kontekście pracowniczym, wspierając się wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) opublikowanych przez Europejską Radę Ochrony Danych (EROD).
Przykład 3. Skradziony nośnik zawierający niezaszyfrowane dane osobowe
Skradziono elektroniczny notebook pracownika przedsiębiorstwa świadczącego usługi. Skradziony notebook zawierał imiona, nazwiska, płeć, adresy i daty urodzenia ponad 100 000 klientów. Ze względu na niedostępność skradzionego urządzenia nie można było ustalić, czy naruszona została ochrona także innych kategorii danych osobowych. Dostęp do dysku twardego notebooka nie był chroniony żadnym hasłem. Dane osobowe można było przywrócić z dostępnych codziennych kopii zapasowych (patrz s. 28 Wytycznych).
Ocena ryzyka dla osób dotkniętych naruszeniem
EROD uznała, że w omawianym przykładzie ryzyko naruszenia praw lub wolności osób, których dane osobowe zapisane były na urządzeniu, jest wysokie. W związku z tym administrator (pracodawca pracownika, któremu skradziono urządzenie) musi poinformować o naruszeniu organ nadzoru, zawiadomić osoby, których naruszenie dotyczy, oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze. Przy ocenie ryzyka EROD stwierdza m.in., że (patrz s. 28 Wytycznych):
Administrator nie wprowadził żadnych wcześniejszych środków bezpieczeństwa, dlatego też dane osobowe przechowywane na skradzionym notebooku były łatwo dostępne dla złodzieja lub każdej innej osoby, która weszła w posiadanie tego urządzenia w późniejszym czasie.
[…]
Notebook zawierający dane osobowe był w tym przypadku podatny na ataki, ponieważ nie był chroniony hasłem ani szyfrowaniem. Brak podstawowych środków bezpieczeństwa zwiększa poziom ryzyka w przypadku osób, których dane dotyczą. Ponadto identyfikacja osób, których dane dotyczą, jest także problematyczna, co dodatkowo zwiększa stopień szkodliwości naruszenia. Znaczna liczba osób, których dane dotyczą, zwiększa ryzyko, niemniej jednak naruszenie ochrony danych nie dotyczyło żadnych szczególnych kategorii danych osobowych.
[…]
W wyniku naruszenia osoby, których dane dotyczą, mogą paść ofiarą oszustwa dotyczącego tożsamości w związku z danymi dostępnymi na skradzionym urządzeniu, dlatego ryzyko uznaje się za wysokie.
Omawiany przykład z perspektywy polskiej
Gdyby omawiane naruszenie dotyczyło polskiego pracodawcy, powyższy wniosek EROD także byłby uprawniony, tj. pracodawca byłby zobowiązany poinformować o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, zawiadomić osoby, których naruszenie dotyczy, oraz odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze.
Choć Wytyczne nie obejmują tej kwestii, należałoby dodatkowo rozważyć, czy z uwagi na dużą liczbę osób dotkniętych naruszeniem i potencjalną trudność w ustaleniu ich tożsamości w omawianym przypadku zachodzi sytuacja, o której mowa w art. 34 ust. 3 pkt c RODO, zgodnie z którym zawiadomienie osób o naruszeniu nie jest wymagane, jeśli ich zawiadomienie wymagałoby niewspółmiernie dużego wysiłku. Jeśli tak (co administrator musiałby uzasadnić i udokumentować np. na wypadek kontroli), administrator zamiast wysyłać zawiadomienie do każdej z osób mógłby wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których naruszenie dotyczy, zostałyby poinformowane o wystąpieniu naruszenia w równie skuteczny sposób (przy czym nie znalazłoby to zastosowania w zakresie, w którym administrator byłby w stanie ustalić, kogo dotknęło naruszenie, i posiadałby dane kontaktowe takich osób).
Zakres obowiązków notyfikacyjnych teoretycznie mógłby w omawianym przypadku być węższy i obejmować jedynie np. obowiązek powiadomienia Prezesa Urzędu Ochrony Danych Osobowych, gdyby dane na urządzeniu były zaszyfrowane lub gdyby dostęp do urządzenia lub poszczególnych baz danych zapisanych na urządzeniu był chroniony silnym hasłem.
Środki zaradcze
Zdaniem EROD po takim naruszeniu należałoby wdrożyć następujące środki w celu minimalizacji skutków i ryzyka wystąpienia podobnego naruszenia w przyszłości (patrz s. 28 Wytycznych):
- szyfrować urządzenia,
- zabezpieczyć bazę danych silnym hasłem.
Dodatkowo, choć EROD nie wspomina o tym w Wytycznych, wskazane wydawałoby się w takiej sytuacji rozważenie, czy bazy danych przedsiębiorstwa powinny być przechowywane przez pracowników bezpośrednio na urządzeniach, czy wyłącznie w sieci/systemie przedsiębiorstwa, do której pracownicy mieliby dostęp jedynie po odpowiednim uwierzytelnieniu (np. podwójnym). Takie rozwiązanie – które może obejmować zarówno techniczne ograniczenia zapisywania, jak i wdrożenie odpowiednich procedur zakazujących pracownikom takiego zapisywania lub ograniczających taką możliwość – wydawałoby się bardziej realizować wymogi wynikające z art. 32 RODO oraz zasady privacy by default i by design. W takiej sytuacji nawet w przypadku utraty urządzenia zakres naruszenia (i zarazem jego negatywne skutki) mógłby być istotnie mniejszy.
Karolina Romanowska, Łukasz Rutkowski