Szkolenia to podstawa.

szkolenia wyciek danych osobowych RODO IOD

Rozważania na szybko: Coraz częściej mają miejsce wycieki danych osobowych i nasuwa się pytanie – co jest ich najczęstszą przyczyną i jak możemy temu zapobiec? Jedna z odpowiedzi to pracownicy i współpracownicy są najsłabszymi ogniwami w ochronie danych osobowych. A szkolenia dla nich to podstawa.

Dlaczego człowiek jest najsłabszym ogniwem w procesie ochrony danych osobowych?

Brak odpowiedniego finansowania procesów związanych z bezpieczeństwem przetwarzanych danych osobowych jest najczęstszą, pośrednią przyczyną występowania naruszeń danych osobowych. Od oszczędności na szkoleniach (ich jakości, długości/programie, cykliczności, doświadczeniu prowadzącego), oprogramowaniu, sprzęcie poprzez zatrudnianie niewykwalifikowanych pracowników na stanowiskach, które mają bezpośredni wpływ na bezpieczeństwo danych osobowych (administratorzy systemów informatycznych, pracownicy działu IT). Organizacje, ograniczając swoje wydatki na bezpieczeństwo danych osobowych, ryzykują zwiększenie szansy powstania wycieków danych osobowych, poprzez błędy ludzkie lub słabo zabezpieczone systemy.

Oszczędności….

Organizacje szukając oszczędności często delegują lub łączą stanowisko odpowiedzialne za ochronę danych osobowych (np.: ABI) z innymi już istniejącymi stanowiskami (pracownicy kadr, kierownicy czy informatycy). W takiej sytuacji napotykamy na często powtarzający się problem, kiedy pracownik wykonujący swoje główne obowiązki (np.: informatyka) nie ma już czasu na zajmowanie się kwestiami związanymi z ochroną danych osobowych tj. śledzenie zmian w prawie, szkolenie nowych pracowników, przeprowadzenie audytów, aktualizowanie dokumentacji przetwarzania danych osobowych itp.

Kwestia oszczędności na szkoleniach to złożony temat. W zależności od „wielkości” firm podejście do szkoleń może być trochę inne. Szkolenie dla małych firm (mała liczba pracowników – kilka/kilkanaście osób) wiąże się z przeszkoleniem np.: wszystkich osób na raz – co powoduje „paraliż firmy” w czasie szkolenia, a rozbicie szkoleń na małe grupki może podnieść koszt takiej usługi. Aby obniżyć koszt szkolenia, firmy nie dobierają szkolenia pod kątem merytorycznym, ale „aby tylko jakieś było i najtaniej”, co oczywiście wpływa negatywnie na jakość takich szkoleń a co za tym idzie na wiedzę uczestników czyli osób które później będą w danej firmie będą przetwarzały dane osobowe.

Szkolenia w dużych firmach (duża ilość pracowników – powyżej kilkuset) mogą powodować czasowe obniżenie wydajności poszczególnych działów ze względu na brak osób, odpowiedzialnych za konkretne działania lub procesy. Dodatkowo dochodzi często konieczność ściągnięcia pracowników z różnych rejonów kraju czy nawet zagranicy co dodatkowo wydłuża czas potrzebny na odbycie szkolenia, a co za tym idzie podnosi koszty. Z tego powodu większe organizacje sięgają po szkolenia e-learnigowe, gdzie pracownik sam zapoznaje się z materiałami szkoleniowymi i później rozwiązuje test weryfikujący wiedzę. To rozwiązanie jest odpowiednie przy szkoleniu pracowników, którzy dopiero zaczynają pracę jednak nie jest ono w stanie w pełni zastąpić szkoleń warsztatowych i wykładowych, które prowadzi doświadczony wykładowca. Szkolenia dla kadry zarządzającej i pracowników którzy na co dzień przetwarzają dane osobowe powinny zostać przeprowadzone w formie wykładowej lub warsztatowej – gdzie pracownicy mogą na bieżąco się zadawać pytania i wyjaśniać wątpliwości.

Czemu szkolenia?

Szkolenia mają na celu przekazanie wiedzy dotyczącej ochrony danych osobowych oraz uświadomienie pracowników jaka w związku z tym spoczywa na nich odpowiedzialność. Informacje przekazywane w ramach szkoleń dotyczą przede wszystkich sposobów zapewnienia bezpieczeństwa przetwarzanych danych i uczą pracowników prawidłowych zachowań (np.: prawidłowego zabezpieczania maili z wysyłanymi danymi osobowymi, niszczenia dokumentów, archiwizowania dokumentów, odpowiedniej ochrony laptopów czy telefonów, sprawdzenie adresatów podczas wysyłki maili, sprawdzenie przed wyjściem z pracy czy komputer jest wyłączony i drzwi pozamykane).

Dlaczego szkolenie pracowników z zakresu ochrony danych osobowych jest takie ważne? Błąd pracownika może spowodować wyciek danych, co z kolei może skutkować kontrolą organu nadzorczego, grzywną (karą finansową w przyszłości), koniecznością zapłaty odszkodowań lub zadośćuczynień dla osób których dane zostały ujawnione, utratą zaufania klientów i kontrahentów. Im więcej danych osobowych jest wykorzystywanych w działalności firmy, tym wyższe jest ryzyko ludzkiego błędu, który może spowodować ujawnienie danych osobowych osobom nieupoważnionym. Dodatkowo warto podkreślić, że szkolenie jest to jedyny sposób przed zabezpieczeniem się na bardzo niebezpieczne ataki socjotechniczne poprzez wytworzenie świadomości potencjalnego zagrożenia u pracowników.

Decyzje z konsekwencjami.

Kluczowe znaczenie dla bezpieczeństwa danych osobowych ma świadomość osób decyzyjnych w firmie. To one decydują o budżecie firmy. Wprowadzenie rozwiązań z zakresu ochrony danych osobowych stanowić może istotny wydatek (szczególnie jeżeli firma przygotowuje się do spełnienia warunków z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w skrócie RODO), dlatego tak ważne jest aby wydatki na ochronę danych osobowych (szkolenia, audyt, konieczność zmian w systemach informatycznych itp.) zostały uwzględnione już na etapie planowania budżetu firmy na przyszły rok.

Szkodliwe dla bezpieczeństwa danych w firmie, jest podejście polegające na bagatelizowaniu ryzyka wystąpienia naruszenia danych osobowych, w tym wycieku danych, bazujące na przeświadczeniu, że do tej pory naruszenie nie miało miejsca. Żadne działania nie cofną (mogą jedynie zminimalizować skutki) i nie naprawią wycieku już ujawnionych danych – a co za tym idzie nie uchronią przed konsekwencjami wycieku. Niezbędne dla minimalizowania ryzyka związanego z wyciekiem danych są działania prewencyjne.

Brak profesjonalizmu.

Niewykwalifikowani pracownicy działów informatycznych, niezależnie czy zatrudnieni w firmie czy działający na ramach usług outsourcingowych, mogą stanowić duże zagrożenie dla bezpieczeństwa danych osobowych. Błędy popełnione przy zabezpieczaniu baz z danymi osobowymi stanowią najgłośniejsze sprawy opisywane i nagłaśniane przez media, a wycieki takich danych często dotykają dziesiątek lub setek tysięcy osób. Wiąże się to najczęściej z umożliwieniem dostępu do bazy klientów poprzez stronę firmową. W zależności od tego jakie dane firma przetwarza, najbardziej groźne są informacje, które umożliwiają zaciągnięcie zobowiązań finansowych podszywając się pod osoby których dane były pomyłkowo udostępnione lub dane wrażliwe dotyczące stanu zdrowa, poglądów politycznych czy wyznania. Dużymi uchybieniami ze strony działów IT są również niedostateczne zabezpieczenia komputerów i systemów informatycznych przed szkodliwym oprogramowaniem czy atakami hackerów.

Pracownik odpowiedzialny za wyciek danych osobowych, niezależnie czy był to błąd, zaniedbanie lub działanie umyślne – może zostać pociągnięty do odpowiedzialności dyscyplinarnej wynikającej z przepisów kodeksu pracy i odpowiedzialności przewidzianej przez przepisy ustawy o ochronie danych osobowych.

Zapewnianie pracownikom szkoleń z ochrony danych osobowych jest koniecznym elementem budowania ich świadomości w zakresie bezpieczeństwa danych osobowych i niezbędnym krokiem do przeciwdziałania wyciekom danych osobowych.

 

Odpowiedzialność prawna pracownika za naruszenie przepisów ustawy o ochronie danych osobowych

odpowiedzialnośćWiele osób podczas szkoleń zadaje pytanie jaka jest odpowiedzialność prawna pracownika za naruszenie przepisów ustawy o ochronie danych osobowych. W ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2014 r. poz. 1182) znajdziemy informacje na temat odpowiedzialności karnej (cały rozdział), administracyjnej i dyscyplinarnej. Oprócz  odpowiedzialności przewidzianej w ustawie o ochronie danych osobowych możemy także opierać się na przepisach prawa cywilnego. Odpowiedzialności tej może podlegać zarówno pracodawca jak i pracownik. Różny jest oczywiście zakres tej odpowiedzialności, o czym szczegółowo pokażemy poniżej.

Jak już wyżej zostało wspomniane w ustawie o ochronie danych osobowych jest cały rozdział regulujący kwestie  odpowiedzialność karnej. Cześć z przepisów art. 49 – 54a ustawy dotyczy tylko administratora danych natomiast pracownik może ponieść odpowiedzialność z art. 51-52 i 54a ustawy. Art. 51 stanowi o odpowiedzialności za udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym. Jest to jeden z niewielu przykładów w polskim ustawodawstwie  regulującego kwestie tzw. przestępstwa bezskutkowego – polegającego na tym, że nie musi nastąpić skutek w postaci udostępnienia danych osobom nieupoważnionym, a wystarczy samo stworzenie sposobności, żeby takie przestępstwo popełnić. W zależności od umyślności/nieumyślności działania takie działanie zagrożone jest następującymi karami: grzywny, ograniczenia wolności,  roku lub dwóch lat pozbawienia wolności. Przechodząc do praktycznego aspektu tego przepisu nie radzę zostawiać dokumentów z danymi osobowymi w samochodzie, czy niezabezpieczonego komputera.

Art. 52 ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną, którą mogą ponieść również pracownicy administratora danych, zagrożoną karą grzywny, ograniczenia wolności lub pozbawienia wolności do roku. Odpowiedzialność karna jest przewidziana za choćby nieumyślne niezabezpieczenie danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Art. 54a ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną za utrudnianie lub udaremnianie inspektorowi GIODO kontroli. Taki czyn zagrożony jest karą grzywny, ograniczenia wolności lub pozbawienia wolności do dwóch lat. Warto w tym miejscu wspomnieć o tym, że w praktyce, sądy nie stosują samoistnej kary pozbawienia wolności i głównymi karami jakie są stosowane są kary grzywny.

Jeżeli chodzi o odpowiedzialność cywilną pracownika to kwestie związane z ochroną danych osobowych stanowią cześć naszego prawa do prywatności, które to z kolei jest dobrem osobistym podlegającym ochronie na podstawie art. 24 kodeksu cywilnego. W związku z tym, jeżeli pracownik swoim działaniem naruszy kwestie związane z ochroną danych osobowych to może narazić się na to, że osoba poszkodowana jej działaniem wytoczy powództwo w sądzie cywilnym. Takiemu poszkodowanemu przysługują następujące roszczenia: roszczenie o zaniechanie naruszeń, o odszkodowanie lub zadośćuczynienie. Z praktyki znam sprawę w której sąd zasądził odpowiedną sumę pieniężną tytułem zadośćuczynienia od nauczyciela, który na wywiadówce w obecności pozostałych rodziców poruszał kwestie związane z problemami psychicznymi ucznia. Informacje te, stanowią dane wrażliwe w rozumieniu art. 27 ustawy.

W kontekście odpowiedzialności dyscyplinarnej to art. 17 ustawy przewiduje kompetencję dla inspektorów GIODO dla żądania wszczęcia wobec pracownika, który dokonał naruszeń postępowania dyscyplinarnego, a także informowania o wynikach postępowania i podjętych działań. Ponadto jeżeli pracownik został zapoznany z obowiązującymi procedurami, otrzymał upoważnienie do przetwarzania danych osobowych, odebrano od niego oświadczenie o zachowaniu danych w poufności to naruszenie zasad ochrony danych osobowych określonych w ustawie lub wewnętrznych procedurach może skutkować ciężkim naruszeniem obowiązków pracowniczych w rozumieniu art. 52 kodeksu pracy i skutkować rozwiązaniem umowy o pracę bez wypowiedzenia z winy pracownika, nie wspominając o karach dyscyplinarnych wyodrębnionych w kodeksie pracy.

Ostatnim rodzajem odpowiedzialności jakie jest związanych z ustawą o ochronie danych osobowych, a może dotyczyć pracownika jest odpowiedzialność administracyjna. Ten rodzaj odpowiedzialności został wprowadzony do ustawy nowelizacją z marca 2011 r. Art. 12 pkt. 3) ustawy wśród zadań Generalnego Inspektora Ochrony Danych Osobowych wymienia zapewnienie wykonania obowiązków o charakterze niepieniężnym wynikających z decyzji i daje możliwość GIODO stosowania środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji. Takim środkiem, który może być wobec pracownika zastosowany przez GIODO jest grzywna w wysokości do 50 tyś. zł w przypadku jednorazowego naruszenia i do 200 tyś. zł. w przypadku wielokrotnego naruszenia obowiązków o charakterze niepieniężnym.

Jak widać odpowiedzialność pracownika może być różna i mieć szeroki zakres. Ten artykuł nie jest jednak czymś w rodzaju „straszaka” a raczej ma za zadanie uświadamiać o potencjalnym zagrożeniu i pokazywać, że kwestie ochrony danych osobowych są co najmniej istotne.

Poselskie projekty nowelizacji ustawy o ochronie danych osobowych.

Nowelizacja ustawy o ochronie danych osobowych, o której już pisaliśmy na łamach naszego bloga, to nie tylko projekt ustawy o ułatwianiu wykonywania działalności gospodarczej, ale również poselskie projekty nowelizacji. Oczywiście posłowie nie szykują nam tutaj żadnej rewolucji, jednak na pewno warto zapoznać się i mieć świadomość odnośnie nadchodzących kolejnych korekt brzmienia ustawy o ochronie danych osobowych.

Pierwszy projekt z 20 lutego 2013 r. (druk nr 1195) dotyczy zmiany ustawy o prokuraturze, ustawy o wykonywaniu mandatu posła i senatora, ustawy o ochronie danych osobowych, ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu oraz ustawy o Rzeczniku Praw Dziecka. Wśród posłów wnioskodawców są posłowie Platformy Obywatelskiej i Ruchu Palikota. Projekt zakłada nowelizację art. 11 ustawy o ochronie danych osobowych, który według wnioskodawców powinien mieć następujące brzmienie:

„Art. 11. 1. Generalny Inspektor nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności, z zastrzeżeniem ust. 2.
2. Generalny Inspektor może wyrazić zgodę na pociągniecie go do odpowiedzialności karnej za wykroczenia, o których mowa w ust. 3, w trybie określonym w tym przepisie.
3. W przypadku popełnienia przez Generalnego Inspektora wykroczenia, o którym mowa w rozdziale XI ustawy z dnia 20 maja 1971 r. – Kodeks wykroczeń (Dz. U. z 2010 r. Nr 46, poz. 275, z późn. zm.6), przyjęcie przez Generalnego Inspektora mandatu karnego albo uiszczenie grzywny, w przypadku ukarania mandatem karnym zaocznym, o którym mowa w art. 98 § 1 pkt 3 ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia (Dz. U. z 2008 r. Nr 133, poz. 848 z późn. zm.7), stanowi oświadczenie o wyrażeniu przez niego zgody na pociągnięcie go do odpowiedzialności w tej formie.
4. Generalny Inspektor nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się Marszałka Sejmu, który może nakazać natychmiastowe zwolnienie zatrzymanego.”.

Obecnie art. 11 ma następujące brzmienie:

Art. 11. Generalny Inspektor nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności. Generalny Inspektor nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się Marszałka Sejmu, który może nakazać natychmiastowe zwolnienie zatrzymanego.

Rzut okiem na zmienioną treść art. 11 pozwala stwierdzić, że nowelizacja ma umożliwić GIODO pociąganie do odpowiedzialności za popełnione wykroczenia. Krótko – zmiana z punktu widzenia systemu ochrony danych osobowych w Polsce – jest nieistotna.

Drugi projekt dotyczy już kwestii merytorycznych. W dniu 13 czerwca 2012 r. (druk 668) został skierowany do Sejmu projekt ustawy o zmianie ustawy o ochronie danych osobowych. Tym razem, jako wnioskodawcy projektu widnieją głównie osoby z Ruchu Palikota. Poniżej propozycja nowego brzmienia art. 43 ust. 2 ustawy o ochronie danych osobowych:

art. 43 ust. 2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art. 15-18.

Treść obecnego art. 43 ust. 2:

art. 43 ust. 2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art. 15-18.

Widać jak na dłoni, że zmiana dotyczy rozszerzenia uprawnień kontrolnych GIODO a właściwie ograniczenie wyjątków z ustawy o ochronie danych osobowych, które ograniczały uprawnienia kontrolne GIODO. Projekt zakłada, że wyłączenie uprawnień kontrolnych nie będzie już dotyczyć zbiorów danych o których mowa w art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych, a więc tych, które dotyczą osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego. W efekcie zmiany możliwe więc będzie prowadzenie kontroli zasad przetwarzania danych osobowych przez GIODO, a które dotyczą ww. osób. Moim zdaniem jest to dobry kierunek. Nie widzę powodu, dla którego GIODO nie może kontrolować pod kątem bezpieczeństwa naszych danych osobowych kościołów i związków wyznaniowych. Przypomniałem sobie w tym momencie fragment z uzasadnienia jednego z wyroków dotyczącego udostępniania danych osobowych i interpretacji art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych i stwierdzenia, że udostępnienie danych osobowych na potrzeby prowadzenia postępowania sądowego przeciwko osobie, której dane dotyczą, nigdy nie może naruszać praw i wolności tejże osoby. Wydaje się, że w omawianej sytuacji można byłoby stwierdzić podobnie. Kontrola GIODO nie może naruszyć praw i wolności administratora danych. Czy jednak jest tak zawsze i czy na pewno?