Nie każdy przedsiębiorca wie, że najdroższy zgubiony laptop może go kosztować 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa. Można próbować pociągać do odpowiedzialności, pracownika. Zgubienie laptopa lub pendrive’a to jednak największy problem dla pracodawcy. Chodzi oczywiście o RODO. Grzegorz Klocek, product manager rozwiązań ESET w Polsce wskazuje, że najlepszym antidotum na takie kryzysy jest szyfrowanie danych.
Oprócz odpowiedzialności związanej z ochroną danych osobowych w grę wchodzi też dostęp niepowołanych osób do informacji związanych z prowadzonym przedsiębiorstwem czy straty wizerunkowe. Poprzedni stan prawny przewidywał nawet odpowiedzialność karną za utratę zbioru danych osobowych. Obecnie za utratę laptopa, na którym znajdowały się dane osobowe klientów, RODO przewiduje administracyjne kary pieniężne. Dodatkowo pracodawca może mieć problem z dochodzonymi przeciwko niemu roszczeniami na drodze cywilnej. Utrata samego sprzętu brzmi przy tym jak najmniejszy problem.
Administrator danych ma ogólny obowiązek wprowadzenia rozwiązań mających na celu zapewnienie poufności, integralności i rozliczalności przetwarzanych danych osobowych. Nie jest to jednak obowiązek nieograniczony, nie wszystkim sytuacjom da się zapobiec. Kradzież, utrata lub zgubienie laptopa czy innego nośnika danych, na którym znajdowały się dane osobowe klientów, może przydarzyć się każdemu.
RODO nie jest bezwzględne – zgubienie laptopa czy pendrive’a rodzi pewne obowiązki, ale nie prowadzi automatycznie do nałożenia kary.
Zgubienie laptopa – jakie obowiązki ma przedsiębiorca?
Świetnym przykładem jest niedawna sytuacja z Łodzi, gdy sędzia zgubił pendrive’a z projektami wyroków. Sytuacja ta pokazuje, jak z pozoru niepozorna historia może przerodzić się w koszmar dla pracodawcy. Pracownik – w tym wypadku sędzia – zgłosił zagubienie pendrive’a i zostały w związku z tym podjęte odpowiednie kroki. Po pierwsze sąd musiał zgłosić naruszenie ochrony danych osobowych do Urzędu Ochrony Danych Osobowych. Po drugie opublikować na stronie internetowej sądu ogłoszenie, że oto sędzia dopuścił się zgubienia pendrive’a, w związku z czym sąd prosi petentów, aby uważali czy nikt ich nie będzie w związku z tym próbował oszukać.
Obowiązek zawiadomienia UODO wynika z art. 33 ust. 1 rozporządzenia, które jasno mówi o tym, że administrator ma maksymalnie 72 godziny na zgłoszenie naruszenia organowi nadzorczemu „chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Dodatkowym obowiązkiem, wynikającym z art. 34 ust. 1 rozporządzenia, jest zawiadomienie o naruszeniu osób fizycznych, których dane dotyczą. Rodo przewiduje, że zawiadomienie to jest konieczne w sytuacji w której „naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Sąd uznał, że wyciek danych jest rangi wysokiego ryzyka i opublikował na swojej stronie stosowne oświadczenie, skierowane do petentów.
Docelowo administrator danych powinien zawiadomić takie osoby bezpośrednio. Możliwość wydania komunikatu zarezerwowana jest tylko do przypadków, gdy zawiadomienie „wymagałoby niewspółmiernie dużego wysiłku” (art. 34 ust. 3 lit c rozporządzenia). To oznacza, że zamiast komunikatu przedsiębiorca co do zasady będzie musiał wysłać do wszystkich swoich klientów krępującą wiadomość o tym, że muszą uważać na próby oszustwa, bo zgubił nośnik danych zawierający ich dane osobowe. W przypadku zagubionego pendrive’a w sądzie najprawdopodobniej nie dało się ustalić dokładnie wszystkich petentów, których dane znajdowały się na nośniku sędziego. Wystarczy jednak przypomnieć wyciek danych z Morele.net. Firma musiała zawiadomić o wycieku wszystkich swoich klientów e-mailem. Dokładnie chodzi o 2 200 000 klientów – jak widać więc duża liczba nie jest tutaj żadną przesłanką zwolnienia z obowiązku.
Interesująco przedstawiają się jednak sytuacje, w których rozporządzenie przewiduje brak obowiązku zawiadamiania UODO
Zgodnie z rozporządzeniem administrator nie musi zawiadamiać UODO, gdy:
- jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych
- naruszenie ochrony danych osobowych nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych
- administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych.
Rozporządzenie przewiduje także inne wyjątki. Oczywistym jest też, że w przypadku gdy prawdopodobieństwo naruszenia praw lub wolności osób fizycznych przez wyciek danych osobowych jest małe, naruszenie ochrony danych osobowych nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Innymi słowy, gdy nie ma obowiązku zawiadamiania o wycieku UODO, nie ma też obowiązku zawiadomienia o wycieku klientów. Warto jednak mieć na uwadze, że niedopełnienie obowiązku zawiadomienia osób fizycznych i UODO, można zapłacić karę 10 mln euro lub 2% rocznego światowego obrotu przedsiębiorstwa.
Na tym jednak nie koniec – oprócz obowiązku zawiadomienia UODO oraz osób fizycznych wciąż w grę może wchodzić kara za naruszenie obowiązków wynikających z podstawowych zasad przetwarzania. Administrator ma obowiązek wdrożenia i utrzymywania odpowiednich zabezpieczeń techniczno-organizacyjnych. Dlatego właśnie, mimo dopełnienia obowiązków informacyjnych UODO zdecydowało się ukarać Morele.net. Za naruszenie podstawowych zasad przewidziany jest wyższy wymiar kary – 4% rocznego światowego obrotu przedsiębiorstwa lub 20 mln euro. Nie ulega więc wątpliwości, że punktem wyjścia dla rozważań dotyczących obowiązków przedsiębiorcy przy okazji wycieku będą zawsze wdrożone zabezpieczenia oraz ich poziom.
Zgubienie laptopa lub pendrive’a – wytyczne Europejskiej Rady Ochrony Danych Osobowych
Wskazówek, co do sytuacji nie wymagających zgłoszenia wspomnianych incydentów, udzieliła Europejska Rada Ochrony Danych Osobowych. Rada mówi wprost, że niskie prawdopodobieństwo naruszenia występuje przy wykorzystywaniu najnowocześniejszych metod szyfrowania danych. Jeżeli administrator zapewni, aby dane osobowe były nieczytelne dla osób nieupoważnionych, zdaniem EROD, nie ma potrzeby zgłaszania naruszenia organowi nadzorczemu. Obowiązek ten może się jednak uaktualnić w przypadku stwierdzenia, że doszło do złamania klucza zabezpieczeń. Ewentualnie, że istnieje luka w oprogramowaniu szyfrującym.
EROD podał także praktyczny przykład naruszenia, którego nie trzeba zgłaszać. Dotyczy ono utraty bezpiecznie zaszyfrowanego urządzenia mobilnego, z którego korzystają administrator i jego pracownicy. Zakładając, że klucz kryptograficzny jest bezpiecznie przechowywany przez administratora i nie jest to jedyna kopia danych osobowych, dane osobowe będą niedostępne dla atakującego. Oznacza to, że przedmiotowe naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw i wolności osób, których te dane dotyczą. Jeżeli później okaże się, że klucz kryptograficzny został złamany lub oprogramowanie lub algorytm szyfrujący ma słabe punkty, poziom ryzyka naruszenia praw i wolności osób fizycznych zmieni się i wówczas zgłoszenie może stać się konieczne.
– Uwaga! Jeżeli nie posiadamy kopii danych osobowych, znajdujących się na zgubionym laptopie to – nawet przy założeniu, że dane są bezpieczne dzięki odpowiedniemu szyfrowaniu – i tak należy dokonać zgłoszenia do UODO. Naruszeniem danych osobowych jest nie tylko ich “wyciek”, ale też utrata danych– wyjaśnia Grzegorz Klocek, product manager rozwiązań ESET w Polsce.
Zgubienie laptopa jest niestraszne przy zastosowaniu nowoczesnych metod szyfrujących
Zgubienie laptopa lub pendrive’a nie musi więc wiązać się z całą litanią obowiązków. Warto jednak pamiętać, że na przedsiębiorcy leży generalny obowiązek poufności danych. Wysokie standardy zabezpieczeń stanowią kartę przetargową w razie ewentualnej kontroli i badania ogólnego poziomu zabezpieczeń. Szyfrowanie danych to metoda wprost preferowana przez RODO, jeżeli chodzi o obowiązek zapewnienia poufności danych.
Nie chodzi jednak o dowolne rozwiązanie, a takie, które – w świetle aktualnego stanu wiedzy – uniemożliwia dostęp do danych osobom niepowołanym. Nie wiadomo jak skończy się sprawa wycieku danych w łódzkim sądzie. Wiadomo jednak, że firmy, instytucje publiczne korzystają z przenośnych nośników danych, które, jak już, są zabezpieczone słabym hasłem. To jednak zdecydowanie nie jest najnowocześniejsza metoda szyfrująca. Służbowy pendrive powinien być chroniony rozwiązaniem szyfrującym, które sprawi, że urządzenie jest nieczytelne dla osoby postronnej. Z kolei dostęp do danych może weryfikować usługa podwójnego uwierzytelniania, dzięki któremu osoba chcąca skorzystać z nośnika otrzyma hasło do danych np. w formie SMS.
Zgubienie laptopa, czy pendrive’a to nie problem przy zastosowaniu rozwiązań proponowanych przez ESET. Dostępne w Polsce rozwiązania szyfrujące, w szczególności ESET Endpoint Encryption (dawny DESLock+), chronią nasze dane poprzez pełne szyfrowanie dysku (FDE). Dzięki takiemu rozwiązaniu szyfrowane są całe zasoby naszego dysku wraz z obszarami, w których nie znajdują się na razie żadne informacje, ale znajdą się w przyszłości. Tego typu zabezpieczenie jest bardzo istotne dla przedsiębiorców, ponieważ dzięki niemu „znalazca” urządzenia nie może mieć dostępu do znajdujących się danych. Pracownik jest bezpieczny, dane są bezpieczne, nie ma zagrożenia wycieku danych. Jedyny koszt to koszt utraconego laptopa lub nośnika danych – chociaż i to może dać się uratować.
Dostępne w Polsce rozwiązania szyfrujące, w szczególności ESET Endpoint Encryption, chroni nasze dane poprzez pełne szyfrowanie dysku (FDE). Dzięki takiemu rozwiązaniu szyfrowane są całe zasoby naszego dysku wraz z obszarami,w których nie znajdują się na razie żadne informacje, ale znajdą się w przyszłości. Tego typu zabezpieczenie jest bardzo istotne dla przedsiębiorców, ponieważ na przykład w sytuacji kradzieży laptopa zapewni, że nikt niepowołany nie dostanie się do naszych danych.
Zdaniem Grzegorza Klocka, product managera rozwiązań ESET w Polsce, zabezpieczenie laptopa ESET Endpoint Encryption, może udowodnić w sytuacji jego zgubienia, czy kradzieży, że w 100% dopełniliśmy obowiązku ochrony znajdujących się na nim danych:
– W sytuacji kradzieży laptopa, na którym znajdowały się dane osobowe, musimy każdorazowo zgłosić taki incydent organowi nadzorczemu – UODO, chyba że jesteśmy w stanie udowodnić, że zaistniały incydent nie naraził danych osobowych na ich wyciek. Z pomocą przychodzi nam konsola centralnego zarządzania ESET Endpoint Encryption, w której, w przypadku takiego incydentu, możemy udowodnić, że skradziony laptop był zaszyfrowany, że odpowiedzialny za to proces został wykonany w 100% i tym samym nie musieliśmy zgłaszać tego incydentu – wyjaśnia Grzegorz Klocek.
Podobnie w przypadku zgubionego pendrive’a. Jeżeli nośnik, który zabezpiecza rozwiązanie szyfrujące, wpadnie w ręce niepowołanej osoby, dane na urządzeniu są dla niej całkowicie nieczytelne.
– Jeśli trafi do osoby, która ma uprawnienia dostępu to nowoczesne rozwiązanie szyfrujące samo zidentyfikuje, że użytkownik posiada właściwy klucz szyfrujący i automatycznie udzieli zezwolenia do korzystania z danych, bez potrzeby dodatkowej autoryzacji, na przykład przez hasło – tłumaczy Grzegorz Klocek.
Mniejsze firmy, w szczególności kilkuosobowe, mogą chronić nie tylko swoje dane za pomocą szyfrowania, ale również same urządzenia za pomocą funkcji Anti-Theft dostępnej w pakietach bezpieczeństwa skierowanych dla małych firm, takich jak ESET Security Pack. Taka funkcjonalność potrafi zlokalizować urządzenie w sytuacji, gdy wpadnie ono w niepowołane ręce. Co więcej, przewiduje też opcję wysłania do znalazcy SMS-a, a nawet zrobienia mu zdjęcia. Oprogramowanie ESET to nie tylko wiec doskonałe zabezpieczenie danych. Okazuje się, że jest też duża szansa na to, że utracony sprzęt uda się po prostu odzyskać.
Dlaczego nie skorzystać z darmowych rozwiązań?
Na rynku dostępne są też różne darmowe rozwiązania, ale jak to często z darmowymi produktami bywa – nie zawsze są idealne. Nie każdego też stać na to,żeby całą pracę przenieść do chmury. Jak widać na przykładzie zaleceń w sprawie ochrony danych osobowych, ważne jest to, by móc spełnić wymogi stawiane przez RODO – wykazać w konsoli centralnego zarządzania, że proces szyfrowania danych został prawidłowo wykonany.
Polscy przedsiębiorcy są często na bakier z technologią. Niestety pozostają przez to w tyle – nie tylko pod kątem konkurencji, ale też wymogów prawnych. Wdrażane zabezpieczenia firmowej sieci, serwerów, czy danych nie powinny stać na drodze codziennej pracy. To dlatego ważne jest, by rozwiązania ochronne pozostawały niewidoczne w codziennej pracy i nie wpływały na wydajność chronionych komputerów. Rozbudowana struktura firmy wymaga też często ograniczania dostępu pracowników do określonych danych. Szczególnie w sytuacji, gdy firmowe środowisko jest rozproszone, a służbowe laptopy wykorzystywane do pracy poza siedzibą firmy. Tak właśnie wygląda działalność m.in. Wielkiej Orkiestry Świątecznej pomocy, która, często zdalnie, pracuje nad rozwojem Fundacji oraz kultowym Pol’and’Rock Festivalem. Co ciekawe wspomniana fundacja zabezpiecza służbowe komputery, szyfrując na nich dane z pomocą rozwiązania wspomnianej wcześniej firmy ESET.
Dla wielu zgubienie laptopa czy pendrive’a przez pracownika to wysoce prawdopodobny scenariusz. Na pewno warto zastanowić się nad nowoczesnymi rozwiązaniami dotyczącymi ochrony danych już teraz. Jest takie polskie powiedzenie, które coraz mniej przystaje do współczesnych nam czasów: jakoś to będzie. Nikt jednak jeszcze na takiej filozofii biznesu nie zbudował.
*Grafika na podstawie wytycznych EROD z dnia 7 października 2017 r. oraz załącznika VII do wytycznych
