Polecane artykuły
NEWSLETTER
Prawnik dla firm
Zajmuję się kompleksową obsługą prawną e-biznesu.
Stawiam na holistyczne podejście, profesjonalizm i długofalowe relacje.
Artykuł udziela odpowiedzi na pytania
Bezpieczne przechowywanie danych w chmurze
Chmura z punktu widzenia RODO to najprościej rzecz ujmując model przechowywania danych za pośrednictwem Internetu, inaczej sieć połączonych ze sobą serwerów. Użytkownik może zamieszczać w chmurze różnorodne pliki i posiadać do nich nieograniczony dostęp. Przechowywanie w chmurze posiada wiele zalet ekonomicznych i organizacyjnych, lecz czy chmura to na pewno bezpieczne miejsce do przechowywania dokumentów z danymi osobowymi?
Na tak postawione pytanie nie sposób udzielić jednoznacznej odpowiedzi.
Wraz z nasilającymi się atakami hackerskimi dostawcy usług chmurowych aktualizują i udoskonalają procedury technologiczne dotyczące zarządzania tożsamością użytkowników, uwierzytelniania, czy też monitoringu bezpieczeństwa i zgodności z przepisami obowiązującego prawa. Zgodnie z raportem „2020 Global PKI and IoT Trends Study” – dostępnym na entrust.com – wykorzystywanie certyfikatów cyfrowych gwałtownie rośnie w przypadku aplikacji w chmurze i uwierzytelniania użytkowników.
Musimy jednak pamiętać, że pomimo najlepszych rozwiązań zawsze istnieje prawdopodobieństwo padnięcia ofiarą cyberprzestępstwa, w szczególności modnego ostatnimi czasy phishingu.
Phishing polega na wykorzystaniu inżynierii społecznej, czyli zespołu technik służących osiągnięciu określonych celów poprzez manipulację społeczeństwem.
Cyberprzestępcy podszywają się pod osoby lub instytucje, aby nakłonić użytkownika do działania zgodnego z ich zamierzeniami. Zazwyczaj celem cyberprzestępców jest wejście w posiadanie danych do logowania. Żeby przekonać się na czym polega tego typu proceder odsyłam do odsłuchania rozmowy z oszustem, który podszywał się pod pracownika banku, w celu otrzymania dostępu do aplikacji bankowej swojego rozmówcy. Nagranie rozmowy możesz odsłuchać na YouTube na kanale „Niebezpiecznik” w odcinku pt. „Rozmowa ze złodziejami, którzy od miesięcy oszukują Polaków”.
Według raportu Check Point wskutek pandemii COVID-19 globalne cyberataki wzrosły o 29 % (raport pobierzesz na stronie checkpoint.com). Świadomość rodzaju i poziomu zagrożeń z pewnością zmniejszy ryzyko kradzieży danych.
Klientom, w zależności od skali prowadzenia działalności, polecam przechowywanie danych na własnych dyskach, korzystanie z chmury prywatnej – niewspółdzielonej, ulokowanej wewnątrz sieci korporacyjnej lub zawarcie umowy outsourcingu usług informatycznych.
Przed podjęciem decyzji o sposobie przechowywania danych w chmurze, bez względu na jej rodzaj (chmura publiczna, społecznościowa, prywatna, czy hybrydowa), zalecam:
Zapamiętaj, że odpowiedzialność jest rozproszona! Zazwyczaj dostawca chmury odpowiada za bezpieczeństwo infrastruktury chmury, a użytkownik za ochronę swoich danych w chmurze!
Ze względu na ryzyka IT oraz bezpieczeństwa, powyższy proces w średnich i dużych przedsiębiorstwach wpisuje się w harmonogram wdrożenia RODO. Oczywiście warto posiadać dedykowany program do przetwarzania danych osobowych, który ułatwi m.in. prowadzenie rejestru czynności przetwarzania oraz rejestru naruszeń.
Bezpieczeństwo cyfrowe
Na przestrzeni ostatnich trzech miesięcy zgłosiło się do mnie dwóch klientów w sprawie ataków hackerskich. Pierwszy był atakiem brute force – atak polegający na stosowaniu różnych zestawień znaków aż do momentu, kiedy trafi się na właściwą kombinację. Drugi atak to modny phishing. Ze względu na zasady poufności i charakter pomocy, nie zdradzę szczegółów, ale mogę ujawnić, że zawiadomienie o podejrzeniu popełnienia przestępstwa na podstawie art. 287 k.k., reklamacja na system zabezpieczeń chmurowych, reklamacja na autoryzację transakcji wraz z odpowiednimi wnioskami dowodowymi, doprowadziły do zwrotu skradzionych pieniędzy z konta bankowego wraz z odsetkami.
Po ataku hackerskim moi klienci wyciągnęli odpowiednie wnioski i wiedzą, że:
Karty przedpłacone (pre-paid cards) to karty funkcjonujące na zasadzie elektronicznego portfela; mają one wstępnie opłaconą wartość z możliwością doładowania lub bez tej możliwości. W praktyce opiera się to na tym, że konsument najpierw opłaca konkretną wartość, którą może później wykorzystać. Następnie, kiedy dokonuje zakupu i płaci daną kartą, z karty pobierana jest kwota za zakupy. Niemożliwe jest przekroczenie "limitu” karty, czyli zapłacenie większej kwoty niż na jaką karta została zasilona (źródło: mfiles.pl).
Audyt zgodności z RODO – kontrola po wdrożeniu RODO
W jakim czasie od daty wdrożenia RODO przeprowadzić audyt zgodności z RODO?
Audyt zgodności z RODO po wdrożeniu RODO weryfikuje, czy stworzone procedury przetwarzania danych osobowych, w tym procedura przeprowadzania oceny skutków dla ochrony danych i procedura zarządzania incydentami bezpieczeństwa danych są przestrzegane zgodnie z ich treścią oraz celem, któremu mają służyć. Termin kontroli najlepiej ustalić w porozumieniu ze specjalistą, który przeprowadzał wdrożenie RODO.
Swoim klientom zalecam audyt po 6 (sześciu) miesiącach od daty wdrożenia. Bywają przypadki, kiedy klient prosi o wcześniejszą weryfikację, aby upewnić się, czy w strukturze organizacyjnej firmy nie występują naruszenia ochrony danych osobowych.
Kontrola powdrożeniowa udziela odpowiedzi na pytania, czy administrator:
Audyt kończy się analizą zebranych informacji, na podstawie których należy opracować zalecenia i rekomendacje wdrożeniowe.
Czy mogę samodzielnie przeprowadzić audyt?
„Nikt nie może być sędzią we własnej sprawie” – ta paremia prawnicza wskazuje na podstawowy warunek bezstronności organu rozstrzygającego sprawę. Oceniając samych siebie możemy nie zauważyć podstawowych błędów lub słabych punktów naszej struktury organizacyjnej w zakresie przestrzegania danych osobowych.
Wdrożenie RODO powinno zostać przeprowadzone przez prawnika specjalizującego się w ochronie danych osobowych lub inspektora ochrony danych, czyli osobę z odpowiednią wiedzą i doświadczeniem w zakresie ochrony danych, powołaną przez administratora lub podmiot przetwarzający do pomocy przy przestrzeganiu przepisów o ochronie danych osobowych.
Również kontrola powdrożeniowa powinna zostać dokonana przez specjalistę RODO.
Postępowanie w razie naruszenia ochrony danych osobowych
Co zrobić, kiedy wystąpi incydent bezpieczeństwa danych osobowych?
Zacznę od przypomnienia, że naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO).
Czas na zawiadomienie o naruszeniu
Zgodnie z motywem 85 RODO natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
Przykład braku obowiązku zgłoszenia
Twojemu pracownikowi skradziono laptopa, który zawierał dane osobowe, ale jego dysk był zaszyfrowany, a hasło do odszyfrowania znajdowało się w zabezpieczonym miejscu i nie zostało złamane, co oznacza, że dane osobowe były nieczytelne dla każdego, kto wszedł w posiadanie laptopa bez hasła.
Administrator kierując się zasadą rozliczalności musi wykazać, że dane osobowe są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Motyw 77 RODO opisuje instrumenty pozwalające na wdrożenie odpowiednich środków bezpieczeństwa oraz ocenę ryzyka : „Wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane – w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko – mogą być przekazane w szczególności w formie zatwierdzonych kodeksów postępowania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych. Europejska Rada Ochrony Danych może wydawać wytyczne także w sprawie operacji przetwarzania, których nie uznaje się za mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, i wskazywać, jakie środki mogą wystarczyć w takich przypadkach dla zaradzenia takiemu ryzyku.”
W ciągu 72 h specjalista RODO powinien ustalić na czym polega incydent i czy wymaga zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. Ponadto powinien podjąć działania, które ograniczą lub wyeliminują skutki incydentu. Informacja o incydencie powinna znaleźć się w rejestrze naruszeń ochrony danych, nawet jeśli incydent nie zostanie zgłoszony!
Jeżeli wynik oceny ryzyka naruszenia praw i wolności danych wskutek incydentu będzie pozytywny, należy ustalić stopień zagrożenia. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.
Ryzyko naruszenia praw lub wolności występuje, kiedy naruszenie może skutkować fizyczną, materialną albo niematerialną szkodą dla osoby fizycznej.
W przypadku wystąpienia wysokiego ryzyka, administrator musi zawiadomić PUODO oraz zainteresowaną osobę.
Zgodnie ze stanowiskiem PUODO wyrażonym w decyzji o nr DKN.5131.11.2020 samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia i powiadomienia o incydencie zainteresowaną osobę.
Sposób zawiadomienia o naruszeniu
Zgłoszenia naruszenia ochrony danych osobowych dokonujemy elektronicznie, na formularzu dostępnym na stronie UPDO.
Zawiadomienie osoby, której dane dotyczą powinno zawierać charakter naruszenia ochrony danych osobowych, opisany jasnym i prostym językiem oraz środki zastosowane lub proponowane przez administratora w celu wyeliminowania naruszenia ochrony danych osobowych albo zminimalizowania jego ewentualnych negatywnych skutków.
Administrator powinien zawiadomić zainteresowaną osobę w sposób zgodny z wewnętrzną procedurą zarządzania incydentami bezpieczeństwa danych osobowych.
Jeśli administrator stwierdzi, że podmiot danych nie podlega zawiadomieniu, to PUODO może stwierdzić inaczej i zażądać od administratora stosownego zawiadomienia.
Kara pieniężna za brak zawiadomienia o naruszeniu danych
Niezawiadomienie osoby, której danych dotyczy incydent powodujący dla niej wysokie ryzyko naruszenia praw lub wolności może stanowić podstawę do nałożenia na administratora lub podmiot przetwarzający administracyjnej kary pieniężnej w wysokości 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Dlatego ocenę ryzyka naruszenia praw i wolności danych osoby fizycznej należy pozostawić prawnikowi – ekspertowi RODO i IOD!
Obowiązki dotyczące naruszeń zostały również określone w ustawie z dnia:
oraz w rozporządzeniu eIDAS - Rozporządzenie (UE) nr 910/2014
w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
W następnych artykułach przedstawię obowiązki administratora związane z naruszeniami ochrony danych osobowych, wynikające z wymienionych aktów prawnych.
Jeżeli masz dodatkowe pytania dotyczące przetwarzania danych w chmurze obliczeniowej lub potrzebujesz wdrożenia RODO przy skutecznej optymalizacji kosztów firmy (audyt, analiza ryzyka, dostosowanie procesów i środowiska IT, dokumentacja, szkolenia), to serdecznie zapraszam do współpracy.
Do usłyszenia lub napisania!
Podstawa prawna
Motyw 77–85 RODO
Art. 4 RODO
Art. 35–37 RODO
Decyzja PUODO o nr DKN.5131.11.2020 z dnia 30.06.2021 r.
NOTA PRAWNO–INFORMACYJNA
Wiadomości prawne zawarte w niniejszym artykule nie stanowią porady prawnej, lecz mają charakter informacyjny. Artykuł uwzględnia stan prawny obowiązujący w dniu jego sporządzenia tj. w dniu 17.08.2021 r.
WSZELKIE PRAWA ZASTRZEŻONE
Chcesz skorzystać z artykułu? Kup licencję na treść. Zakupiona licencja umożliwia publikację w Internecie w zgodzie z ustawą o prawie autorskim i prawach pokrewnych z dnia 4 lutego 1994 r. oraz z prawami majątkowymi Autora publikacji. Kopiowanie oraz rozpowszechnianie artykułu bez zgody Autora jest niedozwolone i może podlegać odpowiedzialności cywilnej. Za wykorzystanie artykułu bez uprzedniej pisemnej zgody autora, ustala się minimalną wysokość opłaty licencyjnej w kwocie wskazanej w § 4 ust. 6 Regulaminu CPO.
POZNAJ AKTUALNĄ OFERTĘ USŁUG CENTRUM PRAWNEGO ONLINE
Kliknij w obrazek i pobierz ofertę
PRZECHODZĘ DO POPRZEDNICH PUBLIKACJI
Przydatne informacje i porady.
Twoja firma zgodna z prawem.
Blog prawny dla firm
Prawnik Ewelina Fuławka-Nawrocka
Jesteśmy tutaj
od pon. do czw. od 09:00 do 17:00
w pt. nieczynne