ARTYKUŁ SPONSOROWANY: Wyciek danych w Twojej firmie? Sprawdź, jak uniknąć wysokich kar w 2025 r.

Wyciek danych lub inne naruszenie stanowi jedno z najczęstszych zagrożeń, które dotyka firmy w 2025 r. Praktycznie codziennie natykasz się z pewnością w portalach informacyjnych na wiadomości o naruszeniach danych osobowych, a przecież to tylko ułamek incydentów, do jakich dochodzi. Konsekwencje, jakie czekają przedsiębiorstwa, gdzie dojdzie do naruszenia, mogą być bardzo dotkliwe. Wysokie kary finansowe wyznaczane przez organ nadzorczy i odpowiedzialność cywilna to tylko część kłopotów. Nie zapominaj o skazie na wizerunku firmy, która może ciągnąć się za Twoją organizacją przez długi czas. Warto zatem, żebyś pamiętał jakie czynności podjąć, aby zapobiec wyciekowi danych, a co za tym idzie – uniknąć przykrych konsekwencji w postaci, między innymi, wysokiej grzywny.

Spróbuję przedstawić Ci najskuteczniejsze kroki, które warto wykonać w celu zabezpieczenia Twojej organizacji – jakie środki warto wdrożyć i na jakie wytyczne zwrócić uwagę. Przyjrzymy się przy okazji, jakie naruszenia zdarzają najczęściej i jakie są ich źródła.

Czym jest naruszenie danych osobowych?

Naruszeniem danych osobowych jest zakłócenie bezpieczeństwa przetwarzanych danych osobowych, które może wpłynąć na ich poufność, integralność lub dostępność – czyli może doprowadzić do zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu danych. Może do niego dojść:

·         przez przypadek, co według UODO stanowi najczęstszą przyczynę – np. w wyniku błędu, zaniedbania lub nieprzewidywanej awarii technicznej;

·         na skutek celowego, bezprawnego działania (np. oszustwa, kradzieży, włamania).

Podkreślmy, że tych źródeł może być tak naprawdę bardzo wiele i trudno zamknąć je w konkretnej liście, ale faktycznie ograniczają się do tych dwóch ogólnych kategorii. Warto przyjrzeć się w tym temacie nowemu poradnikowi opublikowanemu przez Prezesa UODO w lutym 2025 r., który dotyczy właśnie naruszeń danych osobowych[1].

Zwrócę jeszcze Twoją uwagę na ewentualne skutki naruszenia danych osobowych dla osób, których dane dotyczą, a może być to np.: uszczerbek fizyczny, szkody majątkowe, szkody niemajątkowe oraz dodatkowe uciążliwości jak stres, niepokój, dyskomfort. Ocena jak ewentualnie taka szkoda może być dotkliwa należy do administratora.

Do jakich naruszeń danych osobowych dochodzi obecnie najczęściej?

Z pewnością najgłośniejszymi wyciekami danych, do jakich obecnie dochodzi, są te, do których dochodzi w wyniku ataków hakerskich opartych najczęściej na phishingu (wyłudzeniu informacji), złośliwym oprogramowaniu czy ataku typu DDoS. Jedną ze spraw, która odbiła się szerokim echem, była kara grzywny w wysokości prawie 1,5 mln zł, nałożona przez Prezesa UODO na spółkę medyczną w maju 2024 r. (decyzja z dnia 20 maja 2024 r., DKN.5112.35.2021). Doszło tam do ataku hakerskiego w wyniku, którego w niepowołane ręce trafiły dane osobiste, w tym wrażliwe, pacjentów oraz pracowników spółki. Spółka dowiedziała się o wycieku dopiero od hakerów, który zażądali olbrzymich pieniędzy – wtedy powiadomiła od razu PUODO oraz osoby, których dane wyciekły. Problem polegał jednak na tym, że do ataku doszło w rezultacie poważnych zaniedbań spółki w kwestii bezpieczeństwa. Nie wdrożyła ona odpowiednich środków, nie przestrzegała własnych zaleceń bezpieczeństwa, a platforma chmurowa, na jakiej działała spółka, była bardzo słabo zabezpieczona.  PUODO ocenił, że w efekcie tych zaniedbań oraz nieprawidłowej analizy ryzyka i braku regularnego testowania zabezpieczeń źle chroniła się przed atakami phishingowymi.  

Jak podkreśla w swoim nowym poradniku PUODO najczęstszym źródłem naruszeń są błędy spowodowane między innymi zaniedbaniem, brakiem świadomości (wynikającym z braku stosownych szkoleń) lub też po prostu lekceważeniem zasad bezpieczeństwa. Efektem tego jest zastosowanie niewystarczających środków technicznych i organizacyjnych, źle przeprowadzona analiza ryzyka albo jej zupełny brak, błędne wewnętrzne procedury bezpieczeństwa czy też zła współpraca administratora z inspektorem ochrony danych osobowych. Ten ostatni czynnik znalazł swoje potwierdzenie również w całkiem niedawnej decyzji PUODO, kiedy to jeden z banków został ukarany grzywną w wysokości prawie 217 tys. zł za naruszenie art. 38 ust. 3 – niezapewnienie IOD-owi niezależności przez administratora (Decyzja z dnia 18 grudnia 2024 r., DKN.5112.14.2022).

Jakie działania możesz podjąć, żeby zapobiec naruszeniu?

Prezes UODO w poradniku dotyczącym naruszeń danych osobowych, wydanym w lutym 2025 r., zaleca, aby zapobieganie polegało na „podejściu opartym na ryzyku”. Oznacza to, że powinieneś dostosować środki bezpieczeństwa do ryzyka, jakie przetwarzanie stwarza dla praw i wolności osób fizycznych. Zatem kluczowa będzie tutaj analiza ryzyka.

Zgodnie z art. 25 RODO powinieneś oceniać i uwzględniać ryzyko na etapie planowania przetwarzania (fazie projektowania) oraz w jego trakcie (domyślna ochrona danych). Pozwoli to wdrożyć odpowiednie środki techniczne i organizacyjne. Ich dobór będzie kluczowy dla skuteczności ochrony – podobnie jak ich regularne sprawdzanie i aktualizacja. Nie ma szczególnie polecanej listy środków, gdyż każde przetwarzanie ma indywidualny charakter, ale odsyłam tutaj ponownie do ostatniego poradnika Prezesa UODO oraz na nasz blog na stronie Kancelarii, gdzie znajdziesz dużo wskazówek na ten temat (https://www.paluckiszkutnik.pl/jak-uchronic-swoja-firme-przed-wyciekiem-danych-osobowych-i-wysoka-kara-czyli-10-rzeczy-o-ktorych-warto-wiedziec-zeby-privacy-by-design-and-privacy-by-default-chronilo-dane-osobowe-klientow/).

Kluczowe będzie zadbanie również o wiedzę i świadomość pracowników w kwestiach dotyczących bezpieczeństwa przetwarzania danych osobowych. Systematyczna organizacja szkoleń RODO przyniesie pozytywne rezultaty w tym temacie. Od strony technicznej warto zadbać o stosowanie odpowiednich programów informatycznych, zabezpieczeń antywirusowych, automatycznych powiadomień o podejrzanej aktywności itd. W całej tej układance bardzo istotna jest wewnętrzna współpraca w organizacji. Zadbanie o stosowną i sprawną procedurę zgłaszania incydentów oraz regularną analizę logów i narzędzi monitorujących z pewnością będzie bardzo pomocne dla każdego administratora w zachowaniu bezpieczeństwa podczas przetwarzania danych. Bardzo istotna będzie również dobra współpraca pomiędzy administratorem a inspektorem ochrony danych osobowych. IOD nie może jednak zastępować w kluczowych decyzjach administratora. Zgodnie z RODO to właśnie administrator jest odpowiedzialny prawnie o zgodne z RODO przetwarzanie danych osobowych i ewentualne wycieki danych, do których może dojść w Twoim przedsiębiorstwie.

Dodatkowe informacje:
https://paluckiszkutnik.pl/jak-reagowac-i-zabezpieczyc-firme-na-wypadek-naruszenia-ochrony-danych-osobowych/

[1] Poradnik na gruncie UODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, https://uodo.gov.pl/pl/138/3561.