To czwarty artykuł z serii, w której poruszamy kwestię obowiązków administratorów danych w zakresie naruszeń ochrony danych osobowych w kontekście pracowniczym – wspierając się wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) opublikowanych przez Europejską Radę Ochrony Danych (EROD).

Przykład 4. Eksfiltracja poczty elektronicznej

Sieć hipermarketów wykryła trzy miesiące po konfiguracji, że niektóre konta poczty elektronicznej zostały zmienione i stworzono reguły, zgodnie z którymi każda wiadomość e-mail zawierająca określone wyrażenia (np. „faktura”, „płatność”, „przelew bankowy”, „uwierzytelnienie karty kredytowej”, „dane rachunku bankowego”) była przenoszona do nieużywanego folderu i przekazywana na zewnętrzny adres e-mail. Ponadto do tego czasu przeprowadzono już atak socjotechniczny, tzn. sprawca ataku, podając się za dostawcę, zmienił dane rachunku bankowego dostawcy na swoje własne. Ponadto wysłano już kilka fałszywych faktur zawierających nowe dane rachunku bankowego.

To trzeci artykuł z serii, w której omawiamy obowiązki administratorów danych w zakresie naruszeń ochrony danych osobowych w kontekście pracowniczym, wspierając się wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) opublikowanych przez Europejską Radę Ochrony Danych (EROD).

Przykład 3. Skradziony nośnik zawierający niezaszyfrowane dane osobowe

Skradziono elektroniczny notebook pracownika przedsiębiorstwa świadczącego usługi. Skradziony notebook zawierał imiona, nazwiska, płeć, adresy i daty urodzenia ponad 100 000 klientów. Ze względu na niedostępność skradzionego urządzenia nie można było ustalić, czy naruszona została ochrona także innych kategorii danych osobowych. Dostęp do dysku twardego notebooka nie był chroniony żadnym hasłem. Dane osobowe można było przywrócić z dostępnych codziennych kopii zapasowych (patrz s. 28 Wytycznych).

To drugi artykuł z serii, w której omawiamy obowiązki administratorów danych w zakresie naruszeń ochrony danych osobowych w kontekście pracowniczym – wspierając się  wytycznymi 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętymi 14 grudnia 2021 r. (wersja 2.0) opublikowanymi przez Europejską Radę Ochrony Danych (EROD).

Przykład 2. Eksfiltracja danych biznesowych przez pracownika

W okresie wypowiedzenia pracownik przedsiębiorstwa kopiuje dane biznesowe z bazy danych przedsiębiorstwa. Pracownik jest upoważniony do korzystania z tych danych wyłącznie w celu realizacji swoich zadań służbowych. Kilka miesięcy później, po odejściu z pracy, wykorzystuje uzyskane wówczas dane (podstawowe dane kontaktowe) do zasilenia nowego procesu przetwarzania danych, którego jest administratorem, w celu skontaktowania się z klientami przedsiębiorstwa, aby przyciągnąć ich do swojej nowej działalności (patrz s. 23 Wytycznych).

Odpowiednie reagowanie na naruszenia ochrony danych osobowych to jeden z podstawowych obowiązków administratorów danych wynikających z RODO. Jak wynika z praktyki, realizacja tych obowiązków często nastręcza administratorom istotnych trudności, w tym gdy naruszenia obejmują kontekst pracowniczy. Trudności dotyczą w szczególności oceny:

• czy doszło do naruszenia,
• jakie jest ryzyko związane z naruszeniem,
• jakie obowiązki prawne spoczywają na administratorze w związku z naruszeniem,
• jakie środki powinny być wdrożone w związku z naruszeniem.

Tym artykułem zaczynamy cykl publikacji, w których przedstawimy przykłady naruszeń ochrony danych w kontekście pracowniczym.