Czy prawnicy są przygotowani na wejście w życie rozporządzenia RODO?
W roku 2014 brytyjski urząd odpowiedzialny za regulację przetwarzania danych osobowych, Information Commissioner’s Office (ICO), opublikował na blogu artykuł podkreślający konieczność zabezpieczenia informacji osobowych w biurach adwokatów i radców prawnych. Stało się tak po serii naruszeń bezpieczeństwa danych w sektorze usług prawnych. ICO wyraźnie zaleciło przechowywanie informacji osobowych na szyfrowanych urządzeniach pamięci masowej: „Jeśli to możliwe, należy przechowywać informacje na zaszyfrowanych kartach pamięci lub urządzeniach przenośnych. Do prawidłowo zaszyfrowanych danych właściwie nie można uzyskać nieuprawnionego dostępu, nawet w wypadku zagubienia lub kradzieży urządzenia”.[i]
W latach 2015-2016 ze wszystkich 2029 zgłoszonych do ICO incydentów 77 (czyli 4%) dotyczyło biur adwokatów i radców prawnych, z których dziesięć wynikało z utraty lub kradzieży niezaszyfrowanych urządzeń pamięci masowej. Opinię urzędu na temat braku w środowisku prawników dostatecznej świadomości znaczenia szyfrowania można w związku z tym uznać za uzasadnioną[ii].
Zarejestrowane przypadki naruszenia bezpieczeństwa danych w sektorze usług prawnych w Wielkiej Brytanii wskazują, że niektórzy przedstawiciele tej grupy zawodowej nadal nie korzystają z nowych technologii. Dwadzieścia odnotowanych problemów dotyczyło utraty lub kradzieży dokumentów papierowych. W pewnych sytuacjach zgłoszonych w latach 2015-2016 chodziło nawet o przesyłanie dokumentów faksem(!) do niewłaściwego odbiorcy[iii]. Partnerzy współpracujący z niewielkimi firmami mogą korzystać w mniejszym stopniu z rozwiązań technologicznych niż same kancelarie i nie mieć świadomości, że także ich dotyczą przepisy rozporządzenia RODO (a także wiedzieć o konieczności zmian w metodach pracy młodszych pracowników korzystających z laptopów, smartfonów i nośników USB). Jeśli ktoś nie zna zakresu przetwarzania danych przez sekretarkę, asystenta czy stażystę, raczej nie będzie w stanie zminimalizować potencjalnego ryzyka.
Zostało już tylko miesiąc
Rozporządzenie RODO wchodzi w życie już niedługo, 25 maja 2018 roku. Wprowadza ono znacznie bardziej restrykcyjne regulacje w obszarach ochrony danych i bezpieczeństwa, które dotykają wszystkie przedsiębiorstwa i instytucje zajmujące się przetwarzaniem danych osobowych. ICO będzie mieć więcej uprawnień w zakresie ochrony interesów konsumentów, co obejmuje możliwość nakładania wyższych kar, sięgających w przypadku najpoważniejszych naruszeń 17 mln GBP lub 4% globalnego obrotu. Oprócz kar z powodu braku zgodności z przepisami istnieją dodatkowe konsekwencje w postaci znacznego pogorszenia wizerunku marki lub utraty reputacji, utraty przychodów, konieczności poniesienia opłat sądowych, kosztów zadośćuczynienia i odszkodowań, w tym z tytułu naruszenia dóbr osobistych.
Urząd regulacyjny będzie również korzystać z usług dodatkowych audytorów i analityków. Firmy działające od maja w nowym środowisku nie będą mogły ograniczyć się jedynie do wykonania takich kroków, jak szkolenie personelu, wdrażanie procedur czy instalowanie firewalli i oprogramowania antywirusowego. Rozporządzenie nakłada obowiązek przestrzegania procedur, przeprowadzenia szkoleń oraz zastosowania środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa informacji.
Wejście w życie nowych przepisów dotyczących ochrony danych oznacza, że zmienia się środowisko działania: najważniejszym podmiotem staje się osoba, której dane dotyczą, a wymagania w zakresie ochrony danych osobowych stawiane przed firmami i instytucjami (a w szczególności kancelariami prawnymi) są coraz większe, zaś ich realizacja kosztowna. Ponadto przedsiębiorstwa, które nie przestrzegają nowych standardów i nie spełniają oczekiwań, muszą liczyć się ze znacznie poważniejszymi niż dotąd konsekwencjami.
Ciekawość jest rzeczą ludzką
|
Należy liczyć się z tym, że ktoś, kto znajdzie na ulicy nośnik pamięci, sprawdzi jego zawartość. Napęd USB znaleziony w 2010 roku na chodniku przed posterunkiem policji w Stalybridge miał wyraźne oznaczenia Greater Manchester Police. Nic nie stało na przeszkodzie, by znalazca zwrócił urządzenie właścicielowi, którego siedziba była tuż obok. Postanowił jednak przyjrzeć się niezaszyfrowanej treści nośnika, a potem udostępnić ją redakcji dziennika „Daily Star”. Z kolei w 2017 roku znaleziono na ulicy napęd USB z danymi dotyczącymi lotniska Heathrow. Informacja o tym pojawiła się w wiadomościach BBC i na pierwszych stronach niektórych gazet po tym, jak znalazca urządzenia sprawdził jego niezaszyfrowaną zawartość i przekazał ją mediom. Incydenty te dzieli siedem lat, jednak popełniono te same błędy. Nośniki USB muszą być zawsze szyfrowane. |
Nie tak dawno, bo niespełna trzy lata temu lokalne media poinformowały iż we Wrocławiu, na dzikim śmietnisku odnaleziono pełną dokumentację medyczną pacjentów razem z ich danymi osobowymi i adresami zamieszkania. O ile w tym wypadku dokumentacja zapisana była w aktach, tak nic nie stało na przeszkodzie, żeby znalazła się na nośnikach USB. W przypadku „fizycznych” dokumentów znalazcę szybko zaalarmowała pieczęć przychodni widniejąca w kilku miejscach, natomiast z nośnikiem USB sprawa stałaby się bardziej problematyczna, ze względu na to, że nie da się bezpiecznie sprawdzić zawartości takiego urządzenia. Co więc robimy ze znalezionym „gwizdkiem”? Jak pokazało badanie przeprowadzone dwa lata temu przez Elie Busztein, analityka w Google, aż 48% przypadkowych i nieznanych nośników jest otwierana na prywatnych komputerach niecałe 10 godzin od momentu ich znalezienia. Eksperyment, który został przeprowadzona na terenie kampusu University of Illinois, polegał na rozrzuceniu niespełna 300 nośników i zbadaniu, co się z nimi dzieje. Mimo, że ponad połowa badanych zadeklarowała, że miała zamiar oddać nośnik prawowitemu właścicielowi, o tyle w świetle nadchodzących przepisów byłoby to naruszenie rozporządzenia o ochronie danych osobowych. Sprawa, która nigdy nie zaistniałaby, gdyby szyfrowane nośniki USB były powszechnie stosowane.
Procedury bezpieczeństwa i szkolenie personelu nie wystarczą, by zapobiec zagubieniu i kradzieży urządzeń. Właściciele pralni chemicznych w Wielkiej Brytanii co roku znajdują 22 000 napędów USB[iv]. Zwykłe zdarzenia losowe i brak uwagi, na przykład pozostawienie urządzenia USB w kieszeni, może doprowadzić do poważnych problemów, jeżeli dane nie zostaną odpowiednio zabezpieczone. Kancelarie prawne muszą zadbać o to, by wszystkie dane kopiowane na nośniki USB, dyski DVD i inne przenośne urządzenia były automatycznie szyfrowane. Korzystanie z urządzeń, które nie szyfrują danych automatycznie, powinno być zakazane. Szkolenia obecnych i nowo przyjmowanych pracowników powinny obejmować obsługę szyfrowanych pamięci masowych w przypadku wszelkich danych osobowych.
Jak przygotowana jest Państwa firma?
Specjaliści w dziedzinie prawa handlowego powinni być w stanie zinterpretować nowe przepisy i przekazać swoim klientom odpowiednie porady i wskazówki w zakresie niezbędnych środków, jakie należy podjąć, takich jak aktualizacja informacji o ochronie prywatności oraz weryfikacja, czy dostawcy mający dostęp do danych osobowych działają w zgodzie z wymaganiami RODO.
Jednak często się zdarza, że sami prawnicy udzielający porad są znacznie gorzej przygotowani na praktyczne zmiany, które powinni wdrożyć. Mimo rozlicznych zdarzeń występujących w sektorze prawnym w ciągu ostatnich lat urząd ICO w każdym kwartale analizuje przypadki, w których prawnikom zdarzyło się zgubić urządzenia zawierające niezaszyfrowane dane.
Proste środki umożliwiające ograniczenie ryzyka
Błędy ludzkie i sytuacje losowe nadal należą do podstawowych przyczyn przypadków naruszenia ochrony danych (podobnie jak działania włamywaczy i problemy techniczne). Firmy nie mogą liczyć na brak błędów ludzkich, nie są w stanie również zapobiec kradzieżom domowym. Na Greater Manchester Police nałożono karę w wysokości 150 000 USD w związku z kradzieżą niezaszyfrowanego nośnika pamięci z domu funkcjonariusza policji.
Wymuszenie szyfrowania
Dzięki zastosowaniu zaszyfrowanych nośników pamięci firmy Kingston Technology można zrealizować różne wymagania rozporządzenia RODO, o ile dana kancelaria nakaże swoim pracownikom korzystanie jedynie z zatwierdzonych, szyfrowanych urządzeń, a także przeprowadzi odpowiednie szkolenia. Szyfrowanie sprzętowe w urządzeniach firmy Kingston oznacza, że napędy USB gotowe są do natychmiastowego użycia, bez konieczności wykonywania instalacji i konfiguracji.
Rozporządzenie RODO nakłada na firmy konieczność potwierdzenia, że zastosowano „odpowiednie środki techniczne i organizacyjne” w celu zapewnienia bezpieczeństwa informacji. Wewnętrzna procedura nakazująca korzystanie z szyfrowanych napędów Kingston, a także ograniczenie możliwości korzystania z portów USB w komputerach stacjonarnych i laptopach to kroki, dzięki którym można nie tylko uchronić się przed naruszeniami bezpieczeństwa danych, ale także udowodnić zgodność z przepisami RODO.
Szyfrowanie nie służy wyłącznie do ochrony danych przed nieuprawnionym dostępem, ale również pozwala zadbać o wizerunek marki i reputację firmy. Nawet po zagubieniu lub kradzieży nośnika do danych nie można uzyskać dostępu, nie występuje zatem przypadek naruszenia ochrony danych, a w konsekwencji nie pojawiają się doniesienia na ten temat na forum publicznym.
Mechanizmy zarządzania
Firma Kingston oferuje napędy USB dostosowane do możliwości użycia oprogramowania zarządzającego. Dzięki takim rozwiązaniom poszczególnym urządzeniom można przypisać nazwy, a następnie je lokalizować za pomocą konsoli, podobnie jak to ma miejsce w przypadku funkcji „Znajdź mój iPhone”. Z pozostawieniem urządzenia w biurze wiąże się znacznie mniejsze ryzyko niż z pozostawieniem go w pociągu.
Wobec Royal Sun Alliance (RSA), dużej brytyjskiej firmy ubezpieczeniowej, orzeczono w 2017 roku karę w wysokości 150 000 USD[v] z powodu zniknięcia przenośnego urządzenia z zabezpieczonego pomieszczenia z ograniczonym dostępem w siedzibie firmy w Horsham. Kradzieży musiał dokonać jeden z pracowników lub podwykonawców, a informacje zawarte na nośniku nie były zaszyfrowane. Urządzenia nie udało się odzyskać.
Informacja o nałożonej karze została nagłośniona w mediach. Przedstawiciele ICO podkreślali fakt braku szyfrowania danych.
Funkcje zdalnego „czyszczenia” i „niszczenia”
Dodatkowe funkcje oferowane przez oprogramowanie do zarządzania pozwalają jeszcze bardziej ograniczyć ryzyko utraty reputacji.
Zagubiony lub skradziony napęd USB można zdalnie „wyczyścić" za pomocą konsoli zarządzania lub aplikacji WWW. Oznacza to, że wszystkie zaszyfrowane dane zapisane na urządzeniu są usuwane w momencie włożenia go do gniazda dowolnego komputera stacjonarnego lub laptopa podłączonego do Internetu. Działanie podobnej funkcji „niszczenia” sprawia, że z takiego urządzenia nie da się już nigdy skorzystać.
W awaryjnej sytuacji funkcje zdalnego czyszczenia i niszczenia stanowią dodatkowy mechanizm zabezpieczający, dzięki któremu możemy uniknąć katastrofy.
Zgłaszanie przypadków naruszenia ochrony danych
Rozporządzenie RODO nakłada na podmioty przetwarzające dane obowiązek zgłaszania przypadków naruszenia ochrony danych (np. zagubienia lub kradzieży urządzeń pamięci masowej) organowi nadzorczemu w ciągu 72 godzin od ich stwierdzenia. Ponadto przedsiębiorstwo lub instytucja musi powiadomić wszystkie osoby, których dane dotyczą, o samym naruszeniu i o zastosowanych środkach zaradczych. Jeśli jednak dane były zaszyfrowane, a klucz szyfrowania (hasło) nie został ujawniony, nieupoważnione do tego strony nie są w stanie uzyskać dostępu do utraconych danych. W takiej sytuacji nie występuje naruszenie ochrony danych i w niemal wszystkich przypadkach nie ma konieczności informowania osób, których dane dotyczą.
Wnioski
Kancelarie prawne rzeczywiście czeka wiele dodatkowej pracy w związku z koniecznością zapewnienia zgodności z rozporządzeniem RODO do maja 2018 roku, jednak zastosowanie szyfrowanych napędów USB wzbogaconych o zarządzane rozwiązanie firmy Kingston Technology pozwoli im zrealizować najważniejsze wymagania nowych przepisów i zdecydowanie ograniczyć ryzyko naruszenia ochrony danych, a zatem także uniknąć potencjalnych kar i utraty reputacji firmy. Dzięki zastosowaniu omawianych rozwiązań łatwo także wykazać, że firma wdrożyła wymagane zabezpieczenia.
Każdy może zgubić niewielkie, przenośne urządzenie. Nie da się całkowicie wyeliminować przypadków utraty lub kradzieży pamięci USB. Jednak moglibyśmy w ogóle nie usłyszeć o przypadkach ze Stalybridge i z okolic lotniska Heathrow, gdyby zawartość zgubionych urządzeń była zaszyfrowana.
KILKA KLUCZOWYCH INFORMACJI O POSTĘPOWANIU W WYPADKU ZAGUBIENIA PRZENOŚNEGO NOŚNIKA DANYCH
Pamięci USB bez szyfrowania w odniesieniu do RODO
Utrata/zgubienie/kradzież dużego zbioru/bazy danych osobowych przechowywanego na pendrive, który nie był zaszyfrowany.
W zależności od wagi naruszenia (ilości danych, okoliczności w których doszło do naruszenia) naruszenie będzie kwalifikowane jako:
• naruszenie ochrony danych osobowych, które nie podlega zgłoszeniu organowi nadzorczemu (czyli takie, które z małym prawdopodobieństwem skutkować będzie ryzykiem naruszenia praw i wolności osób fizycznych – art. 33 ust. 1 zdanie 1 in fine ogólnego rozporządzenia o ochronie danych)
• incydent, o którym trzeba zawiadomić zarówno organ nadzorczy, jak i osobę, której dane dotyczą (naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – art. 34 ust. 1 ogólnego rozporządzenia o ochronie danych).
Naruszenia, o których mowa należy zgłosić do organu bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (jeżeli zrobimy to później, należy wyjaśnić organowi przyczyny opóźnienia).
Jakie kary przewiduje RODO w kwestii naruszeń – główne motywacje da zapewnienia zgodności ?
(Art. 5 Rozporządzenia)do 20 milionów euro lub do 4% wartości rocznego światowego obrotu Przedsiębiorstwa!
- odpowiedzialność cywilna
- odpowiedzialność karna
Pamięci USB z szyfrowaniem w odniesieniu do RODO
Utrata/zgubienie/kradzież dużego zbioru/bazy danych osobowych przechowywanego na bezpiecznym pendrive szyfrowanym sprzętowo.
Czy zgłaszamy naruszenie do organu nadzorczego?
Czy mamy obowiązek powiadomienia osoby, której dane dotyczą?
NIE!
Nie musimy tego robić, ponieważ „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (art. 33 ust. 1 RODO).
Wystarczy, że wpiszemy incydent do wewnętrznego rejestru naruszeń ochrony danych osobowych.
[i] https://www.wired-gov.net/wg/news.nsf/articles/Information+Commissioner+sounds+the+alarm+on+data+breaches+within+the+legal+profession+05082014162500?open
[ii] https://ico.org.uk/media/1432992/infographic-legal-sector-data-breaches-and-complaints.pdf
[iii] https://ico.org.uk/media/1432992/infographic-legal-sector-data-breaches-and-complaints.pdf
[iv] https://blog.eset.ie/2016/01/14/22000-usbs-sticks-found-by-uk-dry-cleaners-each-year/
[v] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/01/150-000-fine-for-insurance-company-that-failed-to-keep-customers-information-safe/