Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra została ukarana administracyjną karą pieniężną w wysokości ponad 13 tys. zł za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki, oraz niezawiadomieniu o incydencie osób, których dane dotyczą.

Dodatkowo UODO nakazało Fundacji zawiadomienie osób, których dane dotyczą o zaistniałym naruszeniu w terminie 3 dni od doręczenia decyzji.

Jesienią 2020 r. do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zawiadomienie o podejrzeniu naruszenia zasad przestrzegania przepisów o ochronie danych osobowych przez Fundację Promocji Mediacji i Edukacji Prawnej LEX NOSTRA polegające na utracie danych osobowych wielu osób, jaka miała miejsce na początku 2020 r., na skutek kradzieży teczek zawierających dane osobowe beneficjentów. W związku z tym zaistniała obawa, czy Fundacja w sposób należyty zabezpieczyła dokumenty przed ich utratą oraz administrowała danymi osobowymi w nich zawartymi zgodnie z wymogami wynikającymi z RODO.

UODO zwrócił się do Fundacji o wskazanie, czy w związku z utratą danych osobowych wielu osób na skutek kradzieży teczek zawierających dane osobowe beneficjentów, naruszenie zostało zgłoszone organowi nadzorczemu. W odpowiedzi na pismo Urząd otrzymał odpowiedź, iż Fundacja tego incydentu nie zgłosiła, a dokonana przez nią analiza naruszenia dała ocenę jego wagi na poziomie niskim. Na jej podstawie Fundacja uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia organu nadzorczego. W toku dalszych czynności ustalono, że naruszenie dotyczyło 96 osób, a utracona dokumentacja zawierała następujące kategorie danych jak m.in. imię, nazwisko, adres do korespondencji, numer telefonu. Co ważne w przypadku 3-4 osób prawdopodobnie utracono także numer PESEL. Natomiast należy zaznaczyć, że  szczególne kategorie danych osobowych nie były przetwarzane.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych do UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, organ nadzorczy wszczął wobec Fundacji postępowanie administracyjne.

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. A w sytuacji wysokiego ryzyka dla praw lub wolności osób fizycznych wynikających z naruszenia, administrator musi zawiadomić osobę, której dane dotyczą o zaistniałym incydencie.

Podkreślić należy, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych. Możliwe konsekwencje nie muszą się zmaterializować, samo potencjalne wystąpienie ryzyka dla praw lub wolności powinno skłonić administratora danych osobowych, do zgłoszenia naruszenia oraz powiadomienia o incydencie zainteresowanych osób. Nie bez znaczenia jest fakt, iż Fundacja nie jest w stanie dokładnie wskazać kategorii danych osobowych zawartych w utraconej dokumentacji, co mogło przyczynić się do niewłaściwego oszacowania przez nią ryzyka naruszenia. Ukarany podmiot sam też nie próbował zweryfikować faktycznego zakresu danych osobowych, które zostały objęte naruszeniem.

Fundacja, podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawiła te osoby możliwości przeciwdziałania potencjalnym szkodom. Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. W toku postępowania ustalono, iż utracona dokumentacja nie podlegała odtworzeniu. Zatem jeżeli Fundacja nie posiada kopii skradzionych dokumentów, nie jest w stanie ich odtworzyć lub nie przetwarza tych danych przy użyciu systemu informatycznego, i tym samym nie jest w stanie zidentyfikować osób, których dane dotyczą, to powinna dokonać zawiadomienia tych osób w sposób ogólny np. poprzez wydanie publicznego komunikatu.

W ocenie UODO, zastosowana administracyjna kara pieniężna spełnia w swoje funkcje, a zatem jest – w tym indywidualnym przypadku – skuteczna, proporcjonalna i odstraszająca.

UODO, decyzja: DKN.5131.11.2020

Podczas 51. posiedzenia plenarnego, które odbyło się 7 lipca 2021 r., EROD przyjęła, po konsultacjach publicznych, ostateczną wersję Wytycznych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO.

Dokument składa się z dwóch głównych części: pierwsza ma na celu wyjaśnienie pojęć „administratora”, „współadministratora”, „podmiotu przetwarzającego”, „strony trzeciej”, druga zaś zawiera opis i wyjaśnienie konsekwencji przypisania różnych ról w operacji przetwarzania danych osobowych. Wytyczne zawierają także diagram, który dostarcza dalszych praktycznych wskazówek i ułatwia podmiotom dokładne zrozumienie ww. pojęć.

W wyniku zakończonych w październiku 2020 r. konsultacji publicznych EROD uwzględniła część zgłoszonych uwag i opracowała nową wersję dokumentu, wprowadzając dodatkowe wyjaśnienia w zakresie zagadnień takich jak: rozróżnienie między sposobami przetwarzania kluczowymi/niekluczowymi (tzw. „essential/non-essential means”), wyznaczanie współadministratorów przez prawo, sytuacja w grupie przedsiębiorstw, współadministrowanie a „wspólne korzyści”, usługi w chmurze i brak równowagi sił, koszty audytów, rola podmiotów przetwarzających w odniesieniu do naruszeń ochrony danych.

źródło: UODO

UODO informuje, że blisko co czwarty Polak boi się, że w czasie pandemii padnie ofiarą hakerów wyłudzający dane osobowe. Równocześnie blisko 60 proc. respondentów nie wie lub nie jest pewna, jakie działania należy podjąć w takim przypadku. Niestety, nie robimy wszystkiego, żeby zapobiec podobnym sytuacjom. 1/3 z nas nie dba o to, by hasło do logowania w banku lub serwisie internetowym było odpowiednio trudne, a ponad 20 proc. ankietowanych nigdy go nie zmieniło. To wyniki badania przeprowadzonego przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych.

Ponad 43 proc. ankietowanych uważa, że największe zagrożenie dla danych osobowych w czasie pandemii stanowi działalność oszustów próbujących wyłudzić dane. Jednocześnie co trzeci ankietowany (33,7 proc.) najbardziej obawia się tego, że padnie ofiarą wycieku danych z bazy instytucji państwowej lub prywatnej firmy. Dla 23,4 proc. największym zagrożeniem jest atak hakerów na komputer lub telefon.

Ataku hakerów znacznie częściej obawiają się najmłodsi respondenci (32,5 proc.). Aktywność cyberprzestępców nie spędza z kolei snu z powiek osobom w wieku 55–64 lata (19,5 proc.) oraz najstarszej grupie ankietowanych (17 proc.). Ta statystyka obrazuje stan świadomości istnienia takich zagrożeń. W tym wypadku większe obawy oznaczają wiedzę na temat konsekwencji działalności cyberprzestępców.

Zapytani o to, jak zareagowaliby w przypadku próby wyłudzenia danych osobowych, ankietowani najczęściej wskazywali na usunięcie podejrzanej wiadomości lub rozłączenie się (60,2 proc.), zgłoszenie sprawy na policję (54,4 proc.) i ostrzeżenie ludzi na forach internetowych (41,8 proc.).

Nieprzygotowani na wycieki danych i działalność hakerów

Blisko 2/3 dorosłych Polaków (61,2 proc.) deklaruje, że wie, jakie działania należy podjąć w przypadku wyłudzenia lub kradzieży danych osobowych. Jak wynika z przeprowadzonych badań, najlepiej przygotowania do takich sytuacji są ludzi młodzi w wieku między 18 a 24 rokiem życia. Blisko 74 proc. z nich zadeklarowało, że poradziłoby sobie w takim przypadku. Najwięcej ankietowanych uważa, że w przypadku wyłudzenia lub kradzieży danych należy zgłosić zdarzenia na policję (85,2 proc.), w banku, w którym posiada się konto (69,7 proc.) oraz zmienić dane do logowania (69,7 proc.)

Znacznie gorzej jesteśmy z kolei przygotowani do radzenia sobie, gdy dojdzie do wycieków danych z serwisów internetowych, w których mamy konta. Około połowy osób badanych (53,8 proc.) nie wie lub nie jest pewna, co w takim przypadku należy zrobić. Pytani o reakcję, ankietowani najczęściej wskazywali na zmianę hasła dostępu do serwisu, z którego nastąpił wyciek (86,1 proc.). Natomiast 61,8 proc. zgłosiłaby to zdarzenie na policję. Na taki ruch znacznie częściej zdecydowałyby się kobiety (68,4 proc. wobec 55,6 proc. wśród mężczyzn).

Problemów można się również spodziewać w sytuacji ataku cyberprzestępców, ponieważ blisko 60 proc. (57,2 proc.) respondentów nie wie lub nie jest pewna, jakie działania należałoby wtedy podjąć. Ponownie na taką sytuację lepiej przygotowane są osoby młode. Pewność co do tego, jak powinno się zareagować spada wraz z wiekiem respondentów. Najczęściej wybierane działania to: zmiana haseł (78,6 proc.), instalacja programu antywirusowego (67,1 proc.) i zgłoszenie sprawy na policję (62,9 proc.).

Co piąta osoba nie zmienia haseł do logowania w banku

Ponad 20 proc. ankietowanych zmienia hasło do konta bankowego raz w miesiącu lub częściej, 1/3 osób (34,6 proc.) robi to raz na pół roku. Natomiast 22 proc. nigdy tego nie zrobiło. Jeszcze rzadziej zmieniamy hasła do skrzynki mailowej i portali społecznościowych. Równocześnie blisko 2/3 badanych (63,9 proc.) deklaruje, że używa bardzo trudnych lub trudnych haseł dostępu do serwisów. liter, cyfr, znaków specjalnych. Niepokoić może z kolei fakt, że nieco ponad 1/3 (36,5 proc.) osób badanych wykorzystuje jednakowe hasła w różnych serwisach. Najczęściej jednakowe hasła wykorzystuje najmłodsza grupa respondentów. Najrzadziej robią to osoby najstarsze w wieku 65–74 lata.

Nieaktualne konta i brak systemów antywirusowych

Większość badanych (81,6 proc.) nie przekazuje swoich danych do logowania osobom trzecim. Pomimo deklarowanej świadomości niebezpieczeństw, najczęściej przyznają się do tego osoby młodsze (28,8 proc.). Wraz z wiekiem ta tendencja spada. Najrzadziej swoje dane przekazują respondenci w najstarszych grupach wiekowych. W tym konkretnym przypadku widać, że mądrość przychodzi z wiekiem.

Nie zważając na rosnącą aktywność cyberprzestępców, jedynie 1/4 (24,5 proc.) osób badanych deklaruje, że zlikwidowała konto w nieużywanych przez siebie serwisach internetowych. 42,3 proc. ankietowanych uruchomiło w czasie pandemii, celem zwiększenia bezpieczeństwa swoich danych, blokady antyspamowe w swoich prywatnych laptopach lub smartfonach. Grupa przeciwników takiego rozwiązania jest jednak tak samo liczna, ponieważ tyle samo osób zadeklarowało, że tego nie zrobili. 84,4 proc. badanych korzysta z aktualnego oprogramowania antywirusowego. Nieco ponad połowa respondentów wybiera jednak darmowe oprogramowanie, podczas gdy 1/4 badanych decyduje się na korzystanie z płatnych programów.

Oprócz silnych i unikatowych haseł bardzo ważna dla zapewnienia bezpieczeństwa naszych danych osobowych jest stała aktualizacja oprogramowania zarówno komputera, jak i innych urządzeń elektronicznych. Równie ważne jest nie tylko posiadanie programu antywirusowego, ale i jego uaktualnianie. Złośliwe oprogramowanie, przed którym chronią nas takie narzędzia, powstaje codziennie. Dlatego bez aktualnej bazy wirusów i bazy złośliwych aplikacji program antywirusowy nie będzie w pełni spełniał swojej roli. Nieaktualne oprogramowanie może zaś narazić nas na atak hakerów, którzy mogą wykorzystać podatność danego programu na niebezpieczeństwo. Istnieje też ryzyko zainfekowania naszego komputera oprogramowaniem szpiegującym czy też takim, które zaszyfruje nasze dane, przez co de facto je utracimy – tłumaczy Monika Krasińska, dyrektor Departamentu Orzecznictwa i Legislacji w UODO.

Specjaliści zwracają uwagę na to, że nawet zachowanie wszystkich zasad bezpieczeństwa może nie wystarczyć, żeby uchronić się przed wykorzystaniem naszych danych osobowych. Nie wiemy, w jaki sposób zabezpieczone są bazy danych sklepów internetowych lub portali społecznościowych, z których korzystamy. Dlatego żeby minimalizować negatywne skutki kradzieży tożsamości Urząd Ochrony Danych Osobowych rekomenduje m.in. założenie konta w systemie informacji gospodarczej, aby monitorować swoją aktywność kredytową.

Badanie na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych zostało przeprowadzone w marcu 2021 roku metodą CAWI na reprezentatywnej grupie 1007 respondentów przez IMAS International.