Utrata danych może stanowić naruszenie przepisów RODO i podlegać karze

Zgodnie z wchodzącym w najbliższych dniach w życie RODO, jednym z podstawowych obowiązków administratorów jest zapewnienie bezpieczeństwa danych przed ich przypadkową utratą, zniszczeniem lub uszkodzeniem. Za naruszenie przepisów dotyczących ochrony danych osobowych grożą surowe kary finansowe. Co zatem z utratą danych osobowych przetwarzanych na nośnikach elektronicznych?

Podstawowym zadaniem nowych przepisów ma być zapewnienie właściwego poziomu bezpieczeństwa danych osobowym przez przetwarzające je podmioty, zapewnienie integralności i ciągłości pracy systemów informatycznych, w których dane są gromadzone i archiwizowanie  oraz prewencja przed wszelkimi atakami naruszeń – temu ostatniemu służyć mają wysokie kary za wszelkie incydenty związane z naruszeniem przepisów rozporządzenia.

Odpowiednie zabezpieczenie danych

Choć nowy akt prawny nie wskazuje jakich środków ochrony fizycznej i administracyjnej należy używać do zabezpieczenia danych osobowych, to wymienia szeroki wachlarz zdarzeń, które mogą być uznane za naruszenie jego przepisów.

Z treści art. 5 ust. 1 pkt f rozporządzenia wynika jedynie, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych. Dalsze przepisy nie definiują słowa „odpowiednie”, mowa jest tylko o tym, że administrator wdraża środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem.

Dlatego to podmiot przetwarzający musi podjąć decyzję jakie środki będą właściwe dla zapewnienia ochrony określonym kategoriom danych. A środki te mogą być różne w zależności od rodzaju danych, charakteru, zakresu, kontekstu oraz celów ich przetwarzania, a także ryzyka możliwości wystąpienia naruszenia bezpieczeństwa danych i wagi zagrożeń. Wszystkie te okoliczność administrator powinien wziąć pod uwagę już na etapie projektowania mechanizmów przetwarzania danych. Wyboru odpowiednich środków należy dokonywać z uwzględnieniem stanu wiedzy technicznej oraz kosztu wdrożenia. Inaczej będą zatem chronione dane medyczne czy finansowe, zawierające również informacje wrażliwe o osobach, do których dostęp ma szeroki krąg osób, inaczej zaś dane gromadzone przez małego przedsiębiorcę w celu realizacji umowy z osobą której dotyczą.

W szczególności administrator powinien wdrożyć środki mające na celu:

1. Pseudonimizację i szyfrowanie danych osobowych
2. Zdolność ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
3. Zdolność szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
4. Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Potwierdzeniem stosowania właściwych i odpowiednich narzędzi ochrony danych osobowych może poddanie się procesowi sprawdzającemu przez podmiot certyfikujący w celu uzyskania certyfikatu. Choć sam fakt posiadania certyfikatu nie daje gwarancji, że nie dojdzie do naruszenia danych, to z całą pewnością jest gwarantem wdrożenia u administratora właściwych środków ochrony. Nie zwalnia to jednak administratora z dalszej dbałości o ochronę danych, certyfikaty przyznawane są bowiem na okres 3 lat, a w przypadku utraty przez administratora zdolności do należytego zabezpieczenia danych mogą nie być przedłużone na dalszy okres.

Fakt ogólnego określenia narzędzi służących ochronie danych osobowych przez administratora wynika zapewne z faktu szybkiego tempa zmian technologicznych. Narzędzia wskazane zatem na etapie projektowania RODO byłyby już przestarzałe w momencie jego wdrażania, a już z całą pewności nieadekwatne do rzeczywistości po kilku latach obowiązywania.

W celu właściwej ochrony, prócz rozwiązań sprzętowych, firmy wprowadzają polityki bezpieczeństwa obejmujące ogólne zasady obowiązujące w organizacji, mające na celu zapewnienie szeroko rozumianego bezpieczeństwa. Elementem tych polityk są warunki przetwarzania danych w systemach teleinformatycznych, zasady przyznawania uprawnień oraz poziomy dostępów do systemów informatycznych, czy zasady dostępu do budynków i pomieszczeń stanowiących siedzibę firmy, w której znajdują się dane osobowe.

Przypadkowa utrata, zniszczenie lub uszkodzenie danych osobowych

Jednym z elementów składających się na odpowiedni poziom bezpieczeństwa danych jest ich integralność, czyli ochrona przez przypadkową utratą, zniszczeniem lub uszkodzeniem. Jeśli chodzi o dane przetwarzane w postaci papierowej, to z cała pewnością musza być one przechowywane w zamkniętych pomieszczeniach, bądź szafach, tak by osoby postronne nie miały do nich bezpośredniego dostępu. Utrata danych zapisanych na papierze może wynikać jedynie z faktu ich przypadkowego zagubienia, bądź kradzieży. Znane są także przypadki rażącego niedbalstwa, kiedy to stosy dokumentów zamiast być poddane utylizacji, lądowały na śmietniku. Na szczęście o przypadkach takich słyszy się coraz rzadziej.

Gorzej jest jeśli chodzi o dane przetwarzane w wersji elektronicznej, przy wykorzystaniu narzędzi nowych technologii – w pamięci komputera biurowego, na zewnętrznym dysku twardym, czy na firmowym serwerze. Żaden z użytkowników nośników elektronicznych nie spodziewa się ich uszkodzenia skutkującego utratą dostępu do danych. Awarie dysków są jednak zjawiskiem nagminnym. Również serwery, które są zazwyczaj lepiej zabezpieczone przed awarią ulegają uszkodzeniom. Nie ma bowiem nośników idealnych, poza tym sami ludzie popełniają błędy skutkujące utratą danych. Nie dosyć zatem, że w przypadku awarii muszą często korzystać z usług firm zajmujących się odzyskiwaniem danych, co zazwyczaj słono ich kosztuje, to jednocześnie narażają się na odpowiedzialność z tytułu naruszenia RODO, co grozi potężnymi karami finansowymi.

Czym skutkuje utrata danych osobowych?

Osoba której dane dotyczą ma prawo do uzyskania od administratora danych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

1. Cele przetwarzania
2. Kategorie odnośnych danych osobowych
3. Informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych
4. W miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu
5. Informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania
6. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu

Osoba, której dane dotyczą może żądać także od administratora:

1. Udostepnienia kopii danych osobowych podlegających przetwarzaniu.
2. Sprostowania danych osobowych, które są nieprawidłowe
3. Uzupełnienia danych niekompletnych
4. Usunięcia danych (prawo do bycia zapomnianym)
5. Ograniczenia przetwarzania danych
6. Przeniesienia danych osobowych
7. Sprzeciw wobec przetwarzania danych

W przypadku zatem uszkodzenia nośników skutkujących utratą dostępu do danych przetwarzanych w postaci elektronicznej, administrator nie będzie w stanie wypełnić uprawień przysługujących osobom, których dane dotyczą.

Kary za naruszenia RODO

Prócz kar administracyjnych wynikających z rozporządzenia, których wysokość kształtować się może na poziomie do 20 milionów euro lub do 4% całkowitego rocznego światowego przychodu administratora z poprzedniego roku obrotowego, również osoby, które poniosły stratę majątkową lub niemajątkową na skutek naruszenia RODO, mogą występować do administratora o odszkodowanie. Jest to oczywiście najwyższy wymiar kar, organ nadzorczy może stosować również łagodniejsze środki, typu wydawanie ostrzeżeń, udzielanie upomnień czy cofnięcie certyfikatu. Administrator może uwolnić się od odpowiedzialności poprzez wykazanie, że nie ponosi winy za zdarzenie, które dorowadziło do powstania szkody.

Choć w kontekście utraty danych przetwarzanych w systemach teleinformatycznych zapisanych na elektronicznych nośnikach informacji w wyniku awarii, trudno raczej mówić o stracie osoby której dane dotyczyły, można się będzie pewnie spodziewać fali prób wzbogacenia się poprzez uzyskiwanie odszkodowań przez osoby fizyczne.

Z prowadzonych na bieżąco badań wynika, że polskie firmy nadal nie są przygotowane na wejście w życie RODO. Wydaje się jednak, że powoli większość przetwarzających dostosuje swoje rozwiązania w tym zakresie do formalnych wymogów narzuconych przez rozporządzenie.