Ze sklepu internetowego w wyniku ataku hakerskiego wyciekły dane klientów: imię i nazwisko, adres e-mail, numer telefonu, adres dostawy, zaszyfrowane hasło oraz historia zamówień. Firma uznała, że konsekwencją mogą być rozsyłane do klientów oszukańcze maile i SMS-y. Prawnicy uważają, że nie doszacowała ryzyka. I wyjaśniają, że RODO wymaga znacznie więcej, zwłaszcza jeszcze przetwarzane dane mogą mieć charakter wrażliwy.
Opisywany przypadek wydarzył się naprawdę w pewnym sklepie optycznym. Firma zapewnia, że natychmiast po incydencie zidentyfikowała go i usunęła jego źródło, wdrożyła dodatkowe zabezpieczenia, powiadomiła Urząd Ochrony Danych Osobowych oraz monitoruje, czy skradzione dane nie pojawiły się gdzieś w internecie.
Sklep najwyraźniej stwierdził także, że naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Starał się postąpić tak, jak wymaga tego art. 34 RODO: bez zbędnej zwłoki zawiadomił o naruszeniu osoby, których dane dotyczą.
Zobacz procedurę w LEX: Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >
Problematyczne okazało się jednak sprecyzowanie zakresu danych. Firma ustaliła, że mogą one obejmować: imię i nazwisko, adres e-mail, numer telefonu, adresy (dostawy i do faktury), historię zamówień oraz zaszyfrowane hasło do konta.
Jakie mogą być możliwe konsekwencje wypłynięcia danych? Tu dochodzimy do najpoważniejszych wątpliwości. Sklep ostrzegł jedynie, że do klientów mogą przychodzić SMS-y lub maile podszywające się pod kogoś innego, zawierające próby wyłudzenia pieniędzy lub innych danych (phishing). I tyle. A co z faktem, że wyciekły też adresy dostawy, które z pewnością są w części tożsame z adresami zamieszkania? I co z historią zamówień soczewek i okularów, która może dostarczać informacje o czyimś wzroku (pod warunkiem, że klient kupował te produkty dla siebie)?
Czytaj też w LEX: Naruszenia ochrony danych osobowych – ocena naruszenia, obowiązki ADO >
- Zgodnie z podejściem opartym na ryzyku, administrator powinien nie tylko odnotować fakt naruszenia, lecz przede wszystkim dokonać rzetelnej oceny jego potencjalnych konsekwencji dla praw i wolności osób fizycznych – mówi Renata Bugiel, adwokat i partner w kancelarii GKR Legal.
Martyna Popiołek-Dębska, radca prawny prowadząca własną kancelarię oraz inspektor ochrony danych dodaje, że aby rzetelnie opisać możliwe konsekwencje, administrator musi najpierw przeprowadzić analizę ryzyka.
Przy takiej analizie bierze się pod uwagę m.in. rodzaj i charakter danych, kontekst ich przetwarzania, łatwość identyfikacji osób oraz potencjalne negatywne skutki.
Czytaj też w LEX: Od naruszenia bezpieczeństwa przetwarzanych danych osobowych do nałożenia kary przez Prezesa UODO – zagadnienia praktyczne >
- Elementy, które powinny być rozważane to m.in.: jakie dane i jaki rodzaj danych został naruszony, w jakiej skali, czy doszło do utraty bezpieczeństwa danych, tj. utraty poufności, integralności, dostępności oraz intencje działań odpowiedzialnego za naruszenie – dodaje Patrycja Roztajewska, radca prawny w BWHS Wojciechowski Springer i Wspólnicy.
Zdaniem mec. Popiołek-Dębskiej, należy myśleć szerzej niż tylko o tych skutkach, które pierwsze przychodzą nam do głowy jak np. phishing. W opisanym przypadku administrator powinien był wziąć pod uwagę, że wyciek objął nie tylko e-mail i telefon, ale potencjalnie również adres dostawy i historię zamówień.
- Art. 34 RODO wymaga, aby komunikat do osób był „jasny i zrozumiały”, ale również adekwatny do rzeczywistego poziomu ryzyka. Ograniczenie ostrzeżeń wyłącznie do phishingu może zostać uznane za niewystarczające, jeżeli zakres ujawnionych danych pozwala na inne formy nadużyć lub na wykorzystanie danych adresowych w kontekście offline – dodaje mec. Bugiel.
- Katalog skutków jest bardzo szeroki i zależy w dużej mierze od tego jakie dane zostały upublicznione, to m.in. dyskryminacja, naruszenie dobrego imienia, a także szkody fizyczne (np. gdy ktoś pozna adres zamieszkania osoby i wykorzysta go w niecnym celu), oszustwa, kradzież tożsamości, nękanie, próby wyłudzeń itd. – wylicza mec. Popiołek-Dębska.
Jej zdaniem jeśli wyciek obejmował adres dostawy (który często jest tożsamy z adresem zamieszkania) możliwe konsekwencje, o których firma powinna poinformować, to na przykład:
Czytaj też w LEX: Analiza ryzyka w ochronie danych osobowych vs. analiza ryzyka w cyberbezpieczeństwie >
- Poinformowanie klientów o pełnym spektrum zagrożeń jest kluczowe, aby mogli oni podjąć odpowiednie środki zaradcze – podsumowuje mec. Popiołek-Dębska.
Szczególne wątpliwości budzi kwalifikacja danych dotyczących historii zamówień w salonie optycznym.
- Z jednej strony nie każda osoba dokonująca zakupu jest użytkownikiem produktu, a same dane nie zawierają diagnozy medycznej. Z drugiej jednak – rodzaj soczewek czy częstotliwość ich zakupu mogą umożliwiać wiarygodne wnioskowanie o stanie zdrowia – zwraca uwagę mec. Renata Bugiel.
Coraz częściej przyjmuje się podejście, zgodnie z którym dane umożliwiające pośrednie ustalenie informacji o zdrowiu należy traktować jako dane szczególnej kategorii. Taka kwalifikacja prowadzi do podwyższenia poziomu ryzyka oraz zaostrzenia obowiązków administratora – dodaje.
- Nie mamy wiedzy, jakie informacje były zawarte w historii zamówień. Jeżeli faktycznie były w nich informacje o mocy szkieł, cylindrach etc., to mamy tu do czynienia z danymi dotyczącymi zdrowia, czyli danymi szczególnej kategorii – mówi mec. Martyna Popiołek-Dębska. Jak wyjaśnia, zgodnie z art. 4 pkt 15 RODO, "dane dotyczące zdrowia" oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.
- Informacja o tym, jakich soczewek korekcyjnych używa dana osoba (np. jaka jest jej wada wzroku), jest bezpośrednią informacją o jej stanie zdrowia. Nawet jeśli osoba zamawiająca teoretycznie mogłaby kupować soczewki dla kogoś innego, z perspektywy oceny ryzyka administrator powinien przyjąć założenie bardziej niekorzystne – czyli że dane te dotyczą bezpośrednio zamawiającego – mówi mec. Popiołek-Dębska.
- Administrator przetwarzający dane o stanie zdrowia powinien ustalić m.in.: czy sprawdzano wprowadzone zakazy działań naruszających bezpieczeństwo danych, czy była sprawdzana skuteczność szyfrowania i pseudonimizacji, czy testowano stosowane środki ochrony danych – wskazuje mec. Patrycja Roztajewska.
Czytaj też w LEX: Dane osobowe zwykłe i dane szczególnych kategorii >
Mec. Renata Bugiel dodaje, że administrator powinien zastosować bardziej rygorystyczną ocenę ryzyka, rozszerzyć zakres komunikacji do osób, których dane dotyczą oraz rozważyć wdrożenie dodatkowych środków ograniczających skutki naruszenia.
- W przeciwnym razie istnieje ryzyko, że organ nadzorczy uzna działania administratora za niewystarczające – mówi mec. Bugiel.
Prawidłowość postępowania sklepu optycznego z pewnością będzie przedmiotem oceny ze strony Urzędu Ochrony Danych Osobowych, do którego firma zgłosiła incydent.
- W przypadku stwierdzenia nieprawidłowości organ nadzorczy może skorzystać z kompetencji naprawczych i nakazać ponowne zawiadomienie osób, których dane dotyczą. W praktyce oznacza to konieczność skorygowania wcześniejszej komunikacji oraz jej uzupełnienia o brakujące elementy np. dodatkowe ryzyka lub środki zapobiegawcze – mówi mec. Renata Bugiel.
Zobacz procedurę w LEX: Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu >
Mec. Patrycja Roztajewska przedstawia zalecenia dla osób, których dane mogły być przedmiotem wycieku:
W przypadku gdyby administrator danych przechowywał dokumenty zawierające numer PESEL (np. recepty), warto rozważyć jego zastrzeżenie.
Zobacz też w LEX: Oszustwa z wykorzystaniem danych osobowych, a obowiązki administratora >
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
