(fot. Federica De Stefani, prawniczka i szefowa Aidr Regione Lombardia) Słyszymy (coraz częściej) o naruszeniu danych, a wynikający z niego wniosek, niemal naturalnie, dotyczy możliwości jego uniknięcia lub przynajmniej powstrzymania to.
Odpowiedź niestety jest negatywna, nie da się uniknąć naruszenia danych, ponieważ „zerowe ryzyko” nie istnieje.
Z pewnością możliwe jest ograniczenie możliwości wpadnięcia w „pułapkę” incydentu cybernetycznego, a także możliwe jest ograniczenie wynikających z niego konsekwencji, ale to już inna sprawa.
Aby zrozumieć zjawisko wycieku danych, bardzo często utożsamiane wyłącznie z atakiem hakerskim, konieczne jest zrozumienie, na czym ono polega.
Co to jest naruszenie danych
Termin „naruszenie danych” oznacza naruszenie bezpieczeństwa, które obejmuje - przypadkowe lub niezgodne z prawem - zniszczenie, utratę, modyfikację, nieuprawnione ujawnienie lub dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jak widać, naruszenie danych może prowadzić do utraty danych, która nie pochodzi z ataku hakerskiego, ale może również wynikać z utraty dostępności tego samego, jak to ma miejsce w hipotezie, w której istnieje, m.in. na przykład kradzież urządzenia .
Kiedy nastąpi naruszenie danych
Rodzaje naruszeń danych są dość zróżnicowane i dlatego jako objęte przypadkiem możemy wskazać np. dostęp lub pozyskanie danych przez nieuprawnione osoby trzecie, kradzież lub utratę urządzeń informatycznych zawierających dane osobowe. dane z przyczyn przypadkowych lub ataków zewnętrznych, wirusów, złośliwego oprogramowania itp., celowej zmiany danych osobowych, utraty lub zniszczenia danych osobowych w wyniku wypadków, zdarzeń niepożądanych, pożarów lub innych katastrof, nieuprawnionego ujawnienia danych osobowych.
Gdzie może wystąpić naruszenie danych
Naruszenie danych, rozumiane, jak wspomniano, jako naruszenie mające wpływ na dostępność, integralność i poufność danych, może dotyczyć dowolnego obszaru, zarówno fizycznego, jak i cyfrowego.
Pomyśl na przykład o zniszczeniu papierowego archiwum, kradzieży dokumentów lub, znowu, ich manipulowaniu i przerabianiu.
Podmioty, których dotyczy naruszenie danych
Naruszenie danych to zdarzenie, które w zależności od specyfiki indywidualnej sprawy może dotyczyć różnych podmiotów.
Administratorem danych jest osoba, która zgodnie z art. 33 RODO, należy aktywować bez zbędnej zwłoki i w miarę możliwości w ciągu 72 godzin od momentu, w którym stało się znane, zgłosić naruszenie Gwarantowi ochrony danych osobowych, z wyjątkiem hipotezy, w której jest mało prawdopodobne, że naruszenie danych osobowych wiąże się z ryzykiem naruszenia praw i wolności osób fizycznych. Wręcz przeciwnie, jeśli naruszenie wiąże się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, właściciel musi zawsze niezwłocznie poinformować zainteresowane strony. W przypadku wyznaczenia Przetwarzającego Dane, gdy dowie się o naruszeniu, jest on zobowiązany do niezwłocznego poinformowania właściciela, aby mógł podjąć działania.
Przyczyny naruszenia danych
Jak wspomniano, naruszenie danych jest naruszeniem bezpieczeństwa, które polega na - przypadkowym lub niezgodnym z prawem - zniszczeniu, utracie, modyfikacji, nieuprawnionym ujawnieniu lub dostępie do przetwarzanych danych, co w praktyce oznacza, że podjęte środki bezpieczeństwa nie zadziałały. Nie możemy jednak popełnić błędu polegającego na automatycznym kojarzeniu naruszenia danych z adekwatnością środków przyjętych w celu wyciągnięcia sic et simplicter (obiektywnej) odpowiedzialności administratora danych. Pytanie jest o wiele bardziej złożone, zważywszy, że RODO nie przewiduje takiej odpowiedzialności po stronie właściciela, ale przewiduje możliwość wykazania przez niego, że zrobił wszystko, co w jego mocy, aby chronić przetwarzane dane .
Czynnik ludzki i znaczenie treningu
O ile z jednej strony zdarzenia naruszenia danych nie da się całkowicie wyeliminować, ponieważ zgodnie z przewidywaniami nie istnieje ryzyko zerowe, to z drugiej strony należy zakwestionować strategie i środki, które należy przyjąć, aby to ryzyko maksymalnie ograniczyć.
Poza „odpowiednimi” środkami technicznymi i organizacyjnymi, a więc w terminologii Rozporządzenia Europejskiego, ważną częścią profilaktyki jest szkolenie personelu.
Do tej pory czynnik ludzki nadal stanowi dość powszechną piętę achillesową w wielu rzeczywistościach, nawet ustrukturyzowanych i dużych.
Brak odpowiednich i specjalistycznych szkoleń, brak odpowiednich polityk dotyczących korzystania z narzędzi i procedur IT nadal są dziś dość powszechnymi przyczynami naruszeń danych.
Sedno sprawy stanowi nie tylko rodzaj przyjętej ochrony, ale także metody jej stosowania, aktualizacja i szczegółowe szkolenie podmiotów przetwarzających dane.
W istocie nie można zapominać, że compliance musi odbywać się na kilku poziomach, musi mieć charakter przekrojowy i dotyczyć nie tylko strony technicznej i cyberbezpieczeństwa, ale także aspektu organizacyjnego i proceduralnego w zakresie tzw. czynnika ludzkiego.