Wyciek Danych Osobowych: Co Następuje Po Incydencie RODO?

Wprowadzenie

W dniu 14 października 2023 roku doszło do wycieku części danych osobowych z systemu odpowiedzialnego za wysyłkę newslettera Instytutu na rzecz Kultury Prawnej Ordo Iuris. Zakres ujawnionych danych osobowych dotyczył wyłącznie adresu e-mail, wybranej dla adresata formy grzecznościowej, języka wysyłki, informacji o statusie darczyńcy lub osoby, która nie jest darczyńcą Instytutu, oraz dedykowanego adresatowi numeru konta w banku. [Źródło](https://ordoiuris.pl/komentarze/incydent-rodo)

Jak Doszło Do Wycieku?

Wadliwie zapisany przez aplikację wysyłkową plik z danymi wysyłkowymi został umieszczony automatycznie w niezabezpieczonej przestrzeni serwera. Działania podjęte przez Instytut doprowadziły do zablokowania dostępu dla osób trzecich i wdrożenia środków bezpieczeństwa.

Konsekwencje i Działania Naprawcze

Instytut złożył zawiadomienie do Prezesa Urzędu Ochrony Danych Osobowych i podjął działania zmierzające do usunięcia udostępnionego pliku. Wszystkie osoby udostępniające plik lub fragmenty danych mogą zostać oskarżone o popełnienie przestępstwa.

Lekcje z Incydentu RODO: Jak Zabezpieczyć Dane i Odbudować Zaufanie?

Reakcja na Incydenty

Czy Instytucje Są Wystarczająco Przygotowane?

Aktualność Planów Reagowania

Niestety, wiele organizacji nie aktualizuje swoich planów reagowania na incydenty, co może prowadzić do opóźnień i błędów w momencie kryzysu.

Testowanie Procedur

Regularne testowanie procedur reagowania na incydenty jest kluczowe dla ich skuteczności. Symulacje różnych scenariuszy kryzysowych mogą pomóc w identyfikacji słabych punktów w planie.

Szkolenia dla Zespołu

Szkolenia dla zespołów odpowiedzialnych za reagowanie na incydenty są niezbędne. Każdy członek zespołu powinien znać swoje obowiązki i być przygotowany na różne scenariusze.

Zaufanie i Odpowiedzialność

Wpływ Incydentów na Zaufanie

Strata Zaufania

Wycieki danych mogą znacząco wpłynąć na zaufanie klientów i partnerów. Strata zaufania jest trudna do odzyskania i może mieć długotrwałe konsekwencje dla organizacji.

Jak Odbudować Zaufanie?

Odbudowa zaufania wymaga transparentności, komunikacji i działań naprawczych. Organizacje powinny informować interesariuszy o tym, co się stało, jakie kroki zostały podjęte do rozwiązania problemu i jakie środki zostaną wdrożone, aby zapobiec przyszłym incydentom.

Odpowiedzialność i Zobowiązanie

Odbudowa zaufania wymaga również zobowiązania ze strony zarządu i pracowników. To nie tylko zadanie dla działu IT, ale dla całej organizacji.

Podsumowanie

Incydenty związane z wyciekiem danych są niestety coraz częstsze, ale można je unikać przez skuteczne zabezpieczenia, szybką reakcję na incydenty i budowanie zaufania przez transparentność i odpowiedzialność.

Źródło: (https://ordoiuris.pl/komentarze/incydent-rodo)

Antydoping i ochrona danych to dwa kluczowe tematy, które ostatnio stały się przedmiotem gorącej debaty w świecie sportu.

Rzecznik generalna Tamara Ćapeta podnosi, że publikacja w Internecie danych osobowych sportowca zawodowego na dopingu nie narusza RODO. Austriacka biegaczka średniodystansowa, która naruszyła przepisy antydopingowe, została ukarana przez Österreichische Anti-Doping-Rechtskommission (ÖADR).

Jej dane, w tym imię i nazwisko oraz informacje o naruszeniu, zostały opublikowane przez Nationale AntiDoping Agentur (NADA) na ich stronie internetowej.

Rzecznik generalna podkreśliła, że RODO nie ma zastosowania do okoliczności tego przypadku, ponieważ przepisy antydopingowe dotyczą głównie sportu jako takiego, a nie jego aspektów gospodarczych. Jednakże, jeśli RODO miałoby zastosowanie, publikacja danych w Internecie jest uzasadniona celem prewencyjnym, mającym na celu odstraszanie młodych sportowców przed naruszaniem przepisów antydopingowych.

Kluczowe wnioski:

1. RODO a sport: Czy RODO ma zastosowanie do sportu, czy jest to obszar wyłączony z jego zakresu?
2. Publikacja danych w Internecie: Czy publikacja danych sportowców naruszających przepisy antydopingowe w Internecie jest odpowiednim i koniecznym środkiem?
3. Cele prewencyjne vs. ochrona danych: Jakie są granice między ochroną danych osobowych a celami prewencyjnymi w sporcie?

UWAGA: Opinie rzecznika generalnego nie są wiążące dla Trybunału Sprawiedliwości. Orzeczenie w tej sprawie zostanie wydane w późniejszym terminie.

Źródło: (https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-09/cp230142pl.pdf)

W dobie cyfryzacji i rosnącej liczby zagrożeń w sieci, pojawia się potrzeba wprowadzenia skutecznych regulacji prawnych. Jednym z najnowszych kroków w tym kierunku jest „Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej” z dnia 28 lipca 2023 r. Poniżej przedstawiamy kluczowe aspekty tej ustawy oraz jej znaczenie dla bezpieczeństwa cyfrowego.

1. Główne cele ustawy:

• Określenie praw i obowiązków przedsiębiorców telekomunikacyjnych w zakresie zapobiegania nadużyciom w komunikacji elektronicznej.
• Wskazanie kompetencji Prezesa Urzędu Komunikacji Elektronicznej (UKE) w kontekście zwalczania nadużyć.
• Ustalenie zasad wnoszenia sprzeciwu w przypadku uznania treści SMS za nadużycie.
• Regulacje dotyczące świadczenia usług SMS na rzecz podmiotów publicznych.
• Zasady dotyczące sprzeciwu wobec wpisania domeny internetowej na listę ostrzeżeń.

2. Kluczowe definicje:

• Nadużycie w komunikacji elektronicznej – korzystanie z usług lub urządzeń telekomunikacyjnych w sposób niezgodny z ich przeznaczeniem lub przepisami prawa, prowadzące do szkody dla przedsiębiorcy telekomunikacyjnego lub użytkownika końcowego.
• Smishing – wysyłanie SMS, w którym nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy do określonego działania, np. przekazania danych osobowych.
• CLI spoofing – nieuprawnione korzystanie z informacji adresowej podczas inicjowania połączenia głosowego, mające na celu podszycie się pod inny podmiot.

3. Zobowiązania przedsiębiorców telekomunikacyjnych:

Przedsiębiorcy są zobowiązani do podejmowania środków mających na celu zapobieganie nadużyciom w komunikacji elektronicznej oraz ich zwalczanie.

4. Rola CSIRT NASK:

CSIRT NASK monitoruje występowanie smishingu, tworzy wzorce wiadomości wyczerpujących znamiona smishingu i zapewnia funkcjonowanie systemu teleinformatycznego służącego do udostępniania informacji o smishingu.

Źródło: (https://orka.sejm.gov.pl/opinie9.nsf/nazwa/3069_u/$file/3069_u.pdf)

Projekt Cyberbezpieczny Samorząd to zwiększanie odporności na ataki cybernetyczne. A to są kluczowe strategie dla samorządów.

W ostatnich latach, świadkami jesteśmy dynamicznego wzrostu liczby ataków i incydentów w obszarze cyberbezpieczeństwa. Badanie bezpieczeństwa stron internetowych samorządów przeprowadzone przez zespół CSIRT NASK w 2020 r. ujawniło podatności na ataki w ponad połowie zbadanych witryn, w tym poważne błędy. Te podatności są coraz częściej wykorzystywane przez cyberprzestępców..

W drugiej połowie 2022 r. zarysował się wyraźny trend wzrostowy w liczbie zgłoszeń zarejestrowanych przez CSIRT NASK. W grudniu 2022 r. odnotowano niemal 85,2 tys. zgłoszeń, co w porównaniu z analogicznym miesiącem 2021 r. oznacza ponad czterokrotny wzrost. Te statystyki podkreślają pilną potrzebę wzmocnienia odporności systemów IT i OT wykorzystywanych w JST, a także stworzenia systemowego wsparcia w reagowaniu na incydenty.

Głównym celem tego projektu jest podniesienie poziomu bezpieczeństwa informacji w jednostkach samorządu terytorialnego (JST). Osiągniemy to poprzez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych.

Realizacja projektu poprzez wsparcie grantowe dla jednostek samorządowych przyczyni się do:

• Wdrożenia lub aktualizacji polityk bezpieczeństwa informacji (SZBI) w JST.
• Wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie w JST.
• Wdrożenia mechanizmów i środków zwiększających odporność JST na ataki z cyberprzestrzeni.
• Podniesienia poziomu wiedzy i kompetencji personelu JST kluczowego z punktu widzenia SZBI.
• Przeprowadzenia audytów SZBI w JST, potwierdzających uzyskanie wyższego poziomu odporności na cyberzagrożenia.

Dla kogo jest ten projekt?

Projekt będzie realizowany na terenie całego kraju, obejmując wszystkie jednostki samorządowe, tj. 2 477 gmin, 314 powiatów, 16 województw (łącznie 2 807 JST).

Grupą docelową projektu jest administracja publiczna: jednostki samorządu terytorialnego (JST) wraz z jednostkami podległymi (z ograniczeniem do jednostek sektora publicznego, z wyłączeniem placówek ochrony zdrowia).

Projekt Cyberbezpieczny Samorząd jest realizowany przez Centrum Projektów Polska Cyfrowa (Beneficjent Projektu) w partnerstwie z NASK Państwowym Instytutem Badawczym.

**Źródło:** (https://www.gov.pl/web/cppc/cyberbezpieczny-samorzad)

W erze cyfrowej, gdzie dane stały się nowym złotem, ich ochrona jest nie tylko koniecznością, ale również obowiązkiem. Niedawno Urząd Ochrony Danych Osobowych (UODO) nałożył karę administracyjną w wysokości ponad 47 tys. zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych.

Niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków jednym z powodów nałożenia przez UODO administracyjnej kary pieniężnej w wysokości ponad 47 tys. zł. – UODO

Zgłoszenie do UODO wpłynęło od podmiotu trzeciego, wskazującego na utratę dokumentacji prowadzonej w formie elektronicznej przez administratora. Dokumentacja ta zawierała m.in. dane osobowe pracowników administratora oraz osób będących stronami umów cywilnoprawnych.

Analiza ryzyka i zabezpieczenia

RODO daje dużą elastyczność administratorowi, nie narzucając konkretnych wymagań w zakresie doboru zabezpieczeń. To administrator ma samodzielnie dokonać analizy procesów przetwarzania danych, ocenić ryzyka, a następnie zastosować odpowiednie środki i procedury. Niestety, w omawianym postępowaniu nic nie wskazywało na to, że administrator przeprowadził ją prawidłowo dla przetwarzanych w formie elektronicznej danych.

UODO konsekwentnie przypomina, że wdrażając środki bezpieczeństwa, administrator nie może ograniczać się do jednorazowego ich opracowania. Konieczne jest także ich testowanie i weryfikowanie, czy są one adekwatne do istniejących ryzyk. – UODO

Podsumowanie

W przypadku ochrony danych osobowych, kluczowe jest wdrożenie odpowiednich środków technicznych i organizacyjnych. Administratorzy danych powinni regularnie testować, mierzyć i oceniać skuteczność zastosowanych środków. W przypadku naruszenia ochrony danych, konieczne jest szybkie i skuteczne działanie, aby przywrócić dostęp do danych. Współpraca z organami nadzorczymi, takimi jak UODO, jest również niezbędna do zapewnienia zgodności z przepisami RODO.