Konsekwencje utraty danych w kontekście przepisów RODO

Jednym z naczelnych obowiązków stawianych administratorom danych jest zapewnienie bezpieczeństwa przechowywanych informacji. Dotyczy to zarówno danych w formie papierowej, jak i elektronicznej. W przypadku tych ostatnich kwestie ochrony przed uszkodzeniem, czy jakimkolwiek innym zniszczeniem, stają się problemem formalnym, ale także technologicznym.

Zastosowanie odpowiednich środków organizacyjnych

Dostosowanie działalności do stosownych przepisów wymaga wdrożenia odpowiednich środków organizacyjnych i technicznych. Prawodawca nie definiuje jednak terminu “odpowiednie”. Podjęcie właściwych decyzji dotyczących zastosowanych środków pozostawia się tutaj w gestii podmiotu przetwarzającego dane. Środki te mogą być wdrażane ze względu na charakter danych, ich zakres, cel przetwarzania oraz stopień ryzyka ewentualnego naruszenia ich spójności. Zadaniem administratora jest podjęcie właściwych decyzji w trakcie projektowania systemów zabezpieczających w kontekście występujących okoliczności. Działania takie odbywają się zgodnie z obowiązującym stanem wiedzy i postępem technologicznym. Uznano bowiem za bezzasadną próbę narzucenia jakichkolwiek form i rozwiązań odgórnych, w sytuacji dynamicznego rozwoju branży IT.

Zastosowane przez administratora środki powinny być rozpatrywane w kontekście zapewnienia realizacji celów na kilku płaszczyznach.

  • Zapewnienie poufności, anonimowości oraz integralności danych, a także zagwarantowanie ich odporności na próby ataku oraz wyłudzenia.
  • Wdrożenie procedur testujących skuteczności zastosowanych środków technicznych oraz organizacyjnych.
  • Konieczność sprawnego przywrócenia dostępności gromadzonych danych w przypadku zaistnienia sytuacji ich utraty w wyniku ataku, błędu lub awarii systemu.

Z ostatnim przypadkiem związane są wszelkie epizody wymagające wdrożenia różnych czynności odzyskujących dane, najczęściej powiązane z zaangażowaniem wyspecjalizowanego laboratorium z branży data recovery.

Właściwe działania zabezpieczające mogą być potwierdzone odpowiednim certyfikatem, ułatwiającym weryfikację administratora danych.

Oprócz rozwiązań technologicznych i sprzętowych przedmiotem zainteresowania podmiotów zbierających i przechowujących dane powinny być także odpowiednie systemy regulujące warunki przetwarzania danych, zasady przyznawania uprawnień oraz systemy weryfikujące hasła, czy poziomy dostępu pracowników.

Naruszenie danych i odpowiedzialność administracyjna

Przepisy RODO definiują naruszenia ochrony danych osobowych jako “naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). Tzw. “incydent bezpieczeństwa” danych osobowych może dotyczyć trzech grup przypadków:

  • naruszenie poufności – ujawnienie lub umożliwienie dostępu do danych,
  • naruszenie integralności – modyfikacja danych,
  • naruszenie dostępności – utrata dostępu do danych lub ich zniszczenie.

Utrata danych oznacza w tym przypadku utratę kontroli nad sposobem ich wykorzystania. Zniszczenie danych związane jest z ich uszkodzeniem bądź utratą dostępu, czyniąc ich odzyskanie procesem możliwym, lecz kosztownym.

Zniszczenie danych

Ostatni z wymienionych przypadków związany być może z awarią urządzeń lub wystąpieniem błędów ludzkich bądź sprzętowych, działalnością przestępczą (ransomware), albo ze skutkami ataku wirusa.

Dane elektroniczne przechowywane są w przestrzeniach magazynowych różnych typów urządzeń. Są to dyski twarde komputerów, dyski zewnętrzne czy firmowe serwery. Żaden z nośników nie gwarantuje jednak bezawaryjnej pracy, a co za tym idzie nie zapewnia absolutnej ochrony przed utratą danych (o bezpieczeństwie danych pisaliśmy tutaj). Usterki sprzętowe i błędy ludzkie po prostu się zdarzają. W przypadku braku stosownego zabezpieczenia koniecznością staje się korzystanie z usług laboratorium trudniącego się odzyskiwaniem danych. Koszty takiej awarii mogą okazać się wysokie. Usługi laboratoriów nie należą do najtańszych, na domiar złego, administratorzy w myśl obowiązujących przepisów RODO mogą być także pociągnięci do odpowiedzialności, co skutkuje nałożeniem odpowiednich kar finansowych związanych z niemożnością realizacji uprawnień przysługujących podmiotom, których dane są przez administratora przetwarzane. Uprawnienia takie dotyczą w szczególności:

  • weryfikacji danych (uzupełnienia, sprostowania),
  • udostępnienia kopii,
  • realizacji prawa do bycia zapomnianym (usunięcie danych, do których dostęp został utracony przestaje być możliwe),
  • realizacji sprzeciwu wobec przetwarzania stosownych informacji,
  • przeniesienia danych.

Finansowe kary administracyjne za utratę danych mogą być dotkliwe: do 20 milionów euro lub do 4% rocznego obrotu podmiotu odpowiedzialnego za przetwarzanie danych. Do tego mogą dochodzić także kwoty odszkodowań zasądzonych na rzecz podmiotów poszkodowanych w wyniku naruszenia przepisów RODO. Sytuacje związane z awarią nośnika lub utraty danych w wyniku błędu mogą więc nieść ze sobą nieprzyjemne konsekwencje. Dlatego tak istotne jest wdrożenie odpowiednich systemów zabezpieczających dane oraz ewentualne skorzystanie z usług laboratorium trudniącego się odzyskiwaniem danych (o wyborze odpowiedniego laboratorium pisaliśmy tutaj). W przypadku takiej usługi koszty mogą okazać się i tak dużo niższe niż ewentualne kary za utratę danych nałożone na administratora.

Pavel Kroupka

Galeria