Po co mi DPIA?

Ochrona danych osobowych ma coraz większe znaczenie we współczesnym biznesie. To szczególnie ważne w przypadku wykorzystywania nowych technologii, które niosą ze sobą wiele korzyści, jednak często opierają znaczną część działania na gromadzeniu informacji o użytkownikach. Kwestię danych osobowych regulują przepisy takie jak RODO, jednak pomimo tego może dojść do kradzieży tożsamości oraz oszustw na tym tle, a także wycieków. Czym jest DPIA i w jaki sposób może zapobiec takim sytuacjom?

Co to jest DPIA i na czym polega ten proces?

Akronim DPIA rozwija się jako Data Protection Impact Assessment – na język polski można przetłumaczyć to jako „ocenę skutków dla ochrony danych”. Celem jest określenie ryzyka naruszenia praw osób, których informacje przetwarza dana firma lub instytucja, a także sprawdzenie zgodności procedur z założeniami rozporządzenia o ochronie danych osobowych.

To skomplikowany proces, którego efektem jest pełny raport o możliwości wystąpienia np. szkód finansowych, kradzieży wizerunku, dyskryminacji w procesie rekrutacji czy złamania tajemnicy zawodowej. W dużym stopniu opiera się ona  na zbadaniu bezpieczeństwa przechowywanych danych. Na podstawie takiej oceny można wdrożyć dodatkowe, techniczne lub organizacyjne środki, które zapewnią lepszą ich ochronę.

Etapy oceny

Do wykonania oceny należy przystąpić jeszcze przed rozpoczęciem przetwarzania danych lub wprowadzeniem zmian. Na początek wykonywany jest przegląd procesu przetwarzania danych osobowych. Bardzo istotne jest, by udokumentować wszelkie informacje – w przeciwnym wypadku wnioski mogą być błędne. Europejska Rada Ochrony Danych publikuje wytyczne dotyczące tej procedury, określając wspólnie z organami poszczególnych państw członkowskich przypadki, w których DPIA jest wymagane.

Następnym krokiem jest sprawdzenie elementów, które mają zapewnić bezpieczeństwo. Bazując na analizie tych aspektów, a także potencjalnych zagrożeń oraz podatności na zagrożenia, wnioskuje się o ryzyku naruszenia praw lub wolności osób fizycznych, których dotyczą dane. To z kolei pozwala zaplanować środki, które pomogą skutecznie zapobiegać takim zdarzeniom.

Istotną częścią DPIA jest określenie prawidłowości mechanizmów przetwarzania danych, a także upewnienie się, że informacje nie są dostępne dla osób niepowołanych.

Należy stale monitorować proces przetwarzania informacji i reagować w razie niepokojących sygnałów. Skuteczna ochrona pomaga uniknąć wielu problemów związanych nie tylko z nieprawidłowym zarządzaniem danymi i konsekwencjami dla osób fizycznych, lecz także z potencjalnymi karami.

Czy nasze dane są dobrze chronione?

Administratorami naszych danych są głównie pracodawcy, ale ogromnym zasobem informacji dysponują również instytucje państwowe i urzędy. Szpitale mają dostęp do danych o wrażliwym charakterze. Atak hakerski na taką placówkę może skończyć się nie tylko wyciekiem wiadomości o adresach, numerach PESEL, numerach telefonów, ale także utratą informacji o stanie zdrowotnym pacjentów, co może wiązać się z zagrożeniem ich zdrowia, a nawet życia. Kolejnym, potencjalnym celem przestępców internetowych są banki i sklepy internetowe, co wiąże się z ryzykiem ogromnych szkód finansowych.

W celu zwiększenia ochrony przed tego typu zdarzeniami, a także zagwarantowania wyższego poziomu prywatności, w 2018 roku Unia Europejska wprowadziła rozporządzenie o ochronie danych osobowych (RODO). Nieprzestrzeganie wymogów rozporządzenia może mieć fatalne skutki – warto zatem zadbać o budowanie dobrego systemu zabezpieczeń, by móc prawidłowo wypełniać obowiązki prawne związane z ochroną danych. Podczas udostępniania informacji innym firmom należy koniecznie sprawdzić, jak będzie wyglądać ochrona danych.

Największe wycieki danych

O ryzyku związanym z nieprawidłowym zarządzaniem ochroną danych osobowych najłatwiej przekonać się poprzez zdobycie informacji o największych wyciekach.

Jednym z najbardziej znanych przykładów z polskiego podwórka jest incydent dotyczący Virgin Mobile, za który operator został w grudniu 2020 roku ukarany karą finansową w wysokości 1,9 mln złotych. O tej sprawie możesz przeczytać więcej tutaj. 

Wówczas do sieci trafiły dane ponad stu tysięcy klientów korzystających z oferty prepaid. Aktualnie operator ten obsługuje około 350 tysięcy kart SIM – problem dotknął zatem ogromną część abonentów. Podobne historie spotkały między innymi Allegro, Morele.net czy MediaExpert. Wszystkie te firmy są operatorami ogromnych baz danych – przy takiej skali informacji bezpieczeństwo staje się jeszcze ważniejsze.

Do najbardziej znanych spraw związanych z ochroną danych na terenie Polski z pewnością należy zaliczyć także atak na sklep Morele.net w listopadzie 2018 roku.

Sprawcy wykorzystali zdobyte informacje, aby przekierowywać klientów na fałszywą stronę płatności. O znaczeniu odpowiednich zabezpieczeń przekonał się również Bank Pekao S.A., gdy na stronie placówki pojawiły się aplikacje osób ubiegających się o pracę. Sytuacja tego typu wydarzyła się także w Gdańsku, gdzie organizowana w 2019 loteria dla osób rozliczających PIT zakończyła się kradzieżą pliku zawierającego nazwiska, adresy, numery PESEL i numery telefonu uczestników.

To tylko kilka z licznych przykładów podobnych incydentów. Sprawy tego typu doskonale pokazują, jak istotne jest dobre zabezpieczenie systemów przetwarzania danych jeszcze przed przystąpieniem do przetwarzania. Skuteczna ocena ryzyka w fazie projektowania może znacznie ograniczyć ryzyko wystąpienia sytuacji o tak krytycznych skutkach.

Co zrobić w przypadku wycieku danych?

Rozporządzenie Unii Europejskiej jasno wyznacza zobowiązania wobec przedsiębiorców, gdy dochodzi do nieuprawnionego dostępu do danych osobowych. Na początku firma, której dane wyciekły, przez co mogły ulec rozpowszechnieniu, modyfikacji lub użyciu niezgodnemu z prawem, jest zobowiązana do podjęcia wszelkich środków zapobiegających dalszej utracie danych. W zależności od specyfiki sytuacji oraz oceny ryzyka może być konieczne poinformowanie osób, których dane zostały skradzione lub użyte bez ich zgody. Zawiadomienie może nie być wymagane, gdy wdrożono mechanizmy uniemożliwiające odczyt danych (na przykład szyfrowanie) lub po zdarzeniu zastosowano środki redukujące ryzyko naruszenia praw lub wolności tych osób. W przypadku gdy powiadomienie potencjalnych poszkodowanych wymagałoby niewspółmiernie dużego wysiłku, wydaje się publiczny komunikat lub stosuje inne środki. Jeżeli jest prawdopodobne, że naruszenie skutkować będzie naruszeniem praw i wolności, konieczne jest również zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych o zaistniałej sytuacji.

Niestety nie można cofnąć wycieku, a efektem są najczęściej straty nie tylko dla osób fizycznych, lecz także dla firm – ich wizerunek zostaje mocno nadszarpnięty.

Zapobieganie wyciekom danych

Ze względu na możliwą nieodwracalność skutków, należy skupić się przede wszystkim na zapobieganiu wyciekom.

To właśnie jeden z celów DPIA – ocena ma za zadanie między innymi zapewniać weryfikację jakości zabezpieczeń i pomagać we wdrażaniu nowych zasad, które przyczynią się do lepszej ochrony praw osób, których dane dotyczą.

DPIA pomaga stale utrzymywać zgodność z kluczowymi zapisami RODO, co jest niezwykle ważne w kontekście przetwarzania danych osobowych zarówno klientów, jak i pracowników.

W wielu przypadkach najlepszym rozwiązaniem będzie specjalistyczna aplikacja, która pomoże zweryfikować i ocenić ryzyko dla ochrony danych osobowych. Rozwiązanie tego typu powinno oferować przede wszystkim spójną i przejrzystą metodykę dokonania analizy. To spore ułatwienie dla różnego rodzaju firm, a także sposób, by w uporządkowany sposób przeprowadzać DPIA.