Czasowa utrata dostępu może być naruszeniem ochrony danych
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
Naruszenie ochrony danych osobowych nie oznacza jedynie upublicznienia informacji o osobach fizycznych. RODO wskazuje, że sama utrata dostępu do informacji może być naruszeniem ochrony, np. wskutek zaszyfrowania danych podczas ataku ransomware.
11 listopada firma mToilet poinformowała o czasowej utracie dostępności do danych osobowych, których są administratorem w „ramach prowadzonej współpracy”. Obecnie nic nie wskazuje na to, że dane zostały wykradzione lub ujawnione przez osoby nieuprawnione.
„W związku ze wzmożoną w ostatnim czasie liczbą cyberataków wymierzonych w zasoby informatyczne przedsiębiorstw informujemy, że mimo zachowania najwyższych standardów bezpieczeństwa w dniu 11.11.2025 r. mToilet Sp. z o. o. stała się celem tego typu incydentu. (…) Systemy informatyczne zostały niezwłocznie zabezpieczone, a dane odtworzono z bezpiecznych kopii zapasowych” – stwierdzono w komunikacie mToilet.
W zawiadomieniu podkreślono również, że incydent zgłoszono do Prezesa UODO oraz CERT Polska. Powyższa sytuacja pokazuje, że naruszenie ochrony danych to nie tylko wyciek informacji.
Wymogi RODO
Artykuł 4 pkt 12 RODO stwierdza, że naruszenie ochrony danych to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Nie jest to jedyny zapis odnoszący się do konieczności dostępności do przetwarzanych informacji – art. 5 pkt. 1 lit. f) Rozporządzenia wskazuje, że administrator musi chronić informacje przed „przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.
Osoby zajmujące się cyberbezpieczeństwem niejednokrotnie odwołują się do tzw. „triady CIA”, czyli poufności (ang. confidentiality), integralności (ang. integrity) i dostępności (ang. availability). Warto pamiętać, że przełożenie tych terminów znalazło się w art. 32 RODO, mianowicie administrator ma zapewnić „zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania”.
Autor. https://rcikrakow.wp.mil.pl/aktualnosci/triada-cia-jako-fundament-bezpieczenstwa/
Czytaj też
Czasowa utrata a naruszenie ochrony danych
„Przerwa w dostępie do usług chmurowych i wynikający z tego brak dostępu do danych, w pewnych sytuacjach może skutkować naruszeniem praw i wolności osób. Jednak nie każde tego typu naruszenie wymaga zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. Administrator każdorazowo powinien przeprowadzić analizę ryzyka i w przypadku stwierdzenia wystąpienia takiego naruszenia skutkującego ryzykiem dla naruszenia praw lub wolności osób zgłosić taki incydent organowi nadzorczemu” – stwierdzono na stronie UODO, co pokazuje, że nie każda chwilowa utrata dostępu do danych osobowych stanowi naruszenie ochrony.
Urząd tłumaczy, że nie każda czasowa niedostępność danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw lub wolności osób fizycznych. I tu podaje przykład, że np. w przypadku szpitala brak dostępu do danych pacjentów może prowadzić do uniemożliwienia przeprowadzenia operacji medycznej, a zatem narażenia życia, co należy zaklasyfikować jako wysokie ryzyko dla praw lub wolności osób fizycznych
Prawo.pl, „Niedziałające serwery mogą naruszać RODO"
Należy jednak przy tym pamiętać bardzo ważną rzecz – w przypadku zaszyfrowania danych w infrastrukturze informatycznej oraz odtworzenia plików z kopii zapasowych, powinniśmy przeanalizować, czy zdarzenie stanowi naruszenie ochrony danych.
Zgłaszać czy nie?
Zgodnie z art. 33 i 34 RODO, kluczowe pozostaje określenie poziomu ryzyka naruszenia praw lub wolności osób, których dotyczy zdarzenie. Warto pamiętać o tym, że naruszenie to nie tylko wyciek danych, lecz np. całkowita utrata danych wskutek niemożliwości odtworzenia kopii zapasowych.
W czerwcu 2024 r. opublikowano decyzję Prezesa UODO, którą podjął wobec SPZOZ w Pajęcznie. W placówce zaszyfrowano pliki z danymi osobowymi pacjentów, lecz w trakcie analizy nie stwierdzono ich kradzieży. „ZOZ uważał, że powiadamiać zainteresowanych nie musi, bo dane nie zostały wykradzione, tylko nie ma do nich dostępu. Tyle, że z dokonanych ustaleń wynika jedynie, że nie ma śladu wycieku danych. Nie jest to jednak jednoznaczne z tym, że hakerzy tych danych sobie nie skopiowali. (…) problemem jest nie tylko wyciek danych, ale i to, że pacjenci tracą dostęp do swoich danych dotyczących zdrowia. Takiego ryzyka nie można oceniać jako niskie” – przekazano w artykule UODO o sprawie.
(...) utrata dostępu do danych (...) z uwagi na zaszyfrowanie także kopii zapasowych, jak również biorąc pod uwagę zakres i rodzaj przetwarzanych w ramach tej działalności danych osobowych, może realnie wpłynąć na prawa lub wolności osób, których dane dotyczą
DKN.5131.57.2022 (UODO)
Podsumowując – w przypadku utraty dostępu do danych, konieczne jest przenalizowanie tego faktu pod kątem naruszenia praw i wolności osób.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?