Co robić, gdy wyślecie listę 3000 swoich dłużników przypadkowej osobie

dodał 3 sierpnia 2018 o 07:53 w kategorii Prywatność, Wpadki  z tagami:
Co robić, gdy wyślecie listę 3000 swoich dłużników przypadkowej osobie

Dane osobowe i adresowe oraz kwoty zadłużenia ponad trzech tysięcy czytelników pewnej biblioteki przez pomyłkę trafiły w niepowołane ręce. Zobaczcie, jak powinna wyglądać prawidłowa reakcja na tego typu incydent.

„Biblioteka Miejska w Katowicach (której jestem czytelnikiem z nieposzlakowaną historią wypożyczeń ;)) przysłała mi wiadomość mailową (bez treści) z załącznikiem. Załącznik to plik Excel o nazwie «czytelnicy z zaległymi», zawierający identyfikatory, dane osobowe, adresowe i kwoty zadłużenia kilku tysięcy (!!!) ich czytelników. Na szczęście nie ma mnie na tej liście, ale myślę sobie, że to bardzo ciekawy incydent i czytelnicy-dłużnicy nie byliby zbyt szczęśliwi, gdyby się o tym dowiedzieli” – napisała do z3s pragnąca zachować anonimowość Czytelniczka.

Plik z danymi dłużników

Wiadomość, która do niej dotarła, pochodziła z adresu analiza@mbp.katowice.pl i miała temat „Wysyłanie wiadomości e-mail: czytelnicy z zaległymi.xls”, a w treści standardową formułkę dodawaną przez Outlook przy załączaniu plików oraz podpis, z którego wynikało, że e-mail został wysłany przez pracownika Działu Obsługi Sieci i Kontroli Zbiorów Miejskiej Biblioteki Publicznej w Katowicach.

„Arkusz1” załączonego pliku zawierał w 3153 rekordy, a w nich takie pola jak:

  • Identyfikator,
  • Dłużnik (Nazwisko i Imię),
  • Opiekun prawny,
  • Adres dłużnika – Ulica, Nr domu, Kod pocztowy, Miejscowość, Poczta,
  • Kwota wierzytelności,
  • Szczegóły kar/opłat – Rodzaj kary/opłaty, Daty, Kwota.

Na liście można było znaleźć osoby, których zadłużenie wobec biblioteki przekroczyło 95 PLN. Rekordziści winni byli ponad 10 000 PLN. Żadnych danych nie zawierała tylko sekcja dotycząca kar i opłat. Zanonimizowany fragment pliku możecie zobaczyć poniżej. „Arkusz2” i „Arkusz3” były puste.

Fragment pliku Excel z danymi czytelników

Jak zwykle w podobnych przypadkach, postanowiliśmy nawiązać kontakt z instytucją, w której doszło do naruszenia ochrony danych. Zapytanie wysłaliśmy w piątek po południu, odpowiedź otrzymaliśmy w poniedziałek.

Biblioteka wyjaśnia i podejmuje kroki

Z pisma, które podpisała Dyrektor MBP w Katowicach mgr Anna Fałat, wynika, że dane wyciekły „w wyniku błędu pracownika Biblioteki, polegającego na omyłkowym wybraniu adresata wiadomości poczty elektronicznej. Pracownik nie poinformował o swoim błędzie inspektora ochrony danych, administratora ani bezpośredniego przełożonego”. Miał natomiast skontaktować się z Czytelniczką z3s, prosząc ją o usunięcie felernej wiadomości.

Zapytaliśmy naszą informatorkę, czy faktycznie tak było. Potwierdziła, że 1-2 dni po otrzymaniu e-maila z danymi dłużników dostała lakoniczną prośbę o jego skasowanie. „Jednakże nie wydaje mi się, aby było to wystarczające posunięcie po tym, gdy udostępniło się niepowołanej osobie kilka tysięcy adresów” – czytamy w przesłanej nam odpowiedzi. Dopiero po zgłoszeniu incydentu za pośrednictwem z3s Czytelniczka otrzymała od biblioteki oficjalne pismo ze sprostowaniem i zobowiązaniem jej do trwałego usunięcia udostępnionych przez pomyłkę informacji.

Pismo od Miejskiej Biblioteki Publicznej w Katowicach

W wyjaśnieniu, które dotarło na nasz adres, możemy ponadto przeczytać:

W wyniku przeprowadzonej analizy przepisów RODO ustalono, że o incydencie nie zostaną indywidualnie zawiadomione osoby, których dane dotyczą, albowiem nie wystąpiło ryzyko naruszenia ich praw i wolności, tj. nie występuje przesłanka wymagana do zawiadomienia, a wskazana w art. 34 ust. 1 RODO. Dla przykładu, ujawnione dane nie wystarczą do kradzieży tożsamości mogącej naruszyć prawa lub wolności osób fizycznych. Ponadto w art. 34 ust. 3 RODO stwierdzono, że zawiadomienie nie jest konieczne, gdyby wymagało to niewspółmiernie dużego wysiłku – to w takim przypadku ma zostać wydany publiczny komunikat, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane o incydencie. Biorąc pod uwagę, iż chodziło o liczbę 3153 osób, stwierdzono – pomimo oceny niskiego ryzyka – że komunikat o incydencie zostanie zamieszczony na stronie BIP Biblioteki.

Sprawdziliśmy, na stronie Biuletynu Informacji Publicznej katowickiej biblioteki rzeczywiście pojawił się „Komunikat z dnia 30.07.2018 r. o naruszeniu ochrony danych”. Można się z niego dowiedzieć, że środkiem zastosowanym w celu zminimalizowania negatywnych skutków incydentu było wspomniane wcześniej zobowiązanie osoby, której omyłkowo przekazano dane, do trwałego ich usunięcia. W piśmie, które otrzymaliśmy, można dodatkowo przeczytać:

Co do działań zapobiegawczych, które ograniczą ryzyko wystąpienia podobnych zdarzeń w przyszłości, informuję, że pracownicy zostaną zobowiązani do uważności oraz szyfrowania dokumentów zawierających dane osobowe i wykorzystywania alternatywnych sposobów wymiany dokumentów z danymi.
(…) Pracownik, który popełnił błąd, zostanie ukarany dyscyplinarnie.

Czy podjęte przez bibliotekę działania są wystarczające?

Z takim pytaniem postanowiliśmy zwrócić się do kogoś, kto naukowo i zawodowo zajmuje się ochroną danych osobowych. Komentarza udzielił nam Piotr Siemieniak, doktorant WPiA UG, właściciel firmy upsecure.pl.

Okiem eksperta

Naruszenie ochrony danych osobowych zostało zdefiniowane w art. 4 pkt. 12 ogólnego rozporządzenia o ochronie danych. Oznacza ono naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W omawianym przypadku mamy do czynienia z przypadkowym ujawnieniem danych osobowych osobie nieupoważnionej do ich przetwarzania. W tej sytuacji należy zweryfikować, czy istnieją obowiązki notyfikacyjne w stosunku do organu ochrony danych osobowych (Prezesa Urzędu Ochrony Danych Osobowych) oraz osób, których dane naruszenie dotyczy.

Informowanie o naruszeniu ochrony danych

Zgłoszenie naruszenia ochrony danych do PUODO (art. 33 RODO) jest wymagane, gdy zachodzi prawdopodobieństwo, że naruszenie skutkowałoby ryzykiem naruszenia praw lub wolności osób fizycznych. Natomiast osobę fizyczną o naruszeniu ochrony danych należy zawiadomić, gdy naruszenie powodowałoby wysokie ryzyko naruszenia praw lub wolności (art. 34 RODO).

W związku z tym administrator danych powinien przeprowadzić analizę ryzyka określającą prawdopodobieństwo materializacji tego ryzyka oraz jego oddziaływanie na osoby fizyczne objęte naruszeniem. Należy zwrócić uwagę, że motyw 85 RODO daje wskazówki administratorowi danych dla procesu przeprowadzania analizy ryzyka.  W procesie analizy ryzyka administrator danych musi przewidzieć możliwość powstania uszczerbku fizycznego oraz ryzyk związanych ze szkodami majątkowymi i niemajątkowymi, które przykładowo obejmują m.in. kradzież tożsamości, utratę kontroli nad własnymi danymi osobowymi, dyskryminację, stratę finansową. Motyw 85 zawiera otwarty katalog przesłanek, które należy uwzględnić w procesie analizy ryzyka. Każdorazowo administrator danych musi uwzględnić inne ryzyka, które nie są wymienione w omawianym motywie.

Analiza przypadku i lekcja na przyszłość

W analizowanym przypadku naruszenie ochrony danych polega na ujawnieniu danych wyłącznie jednej osobie. Prawdopodobieństwo wystąpienia ryzyk i ich oddziaływanie jest znacznie mniej dotkliwe niż w sytuacji, gdyby dane zostały opublikowane w sieci dla nieograniczonego grona odbiorców.

Uważam, że postępowanie administratora danych jest w pełni prawidłowe, a proponowane środki bezpieczeństwa, które mają w przyszłości ograniczyć lub wyeliminować podobne naruszenia, są zasadne pod warunkiem, że zostaną skutecznie zaimplementowane.

Należy pamiętać o tym, że organ ochrony danych może zażądać realizacji obowiązku notyfikacyjnego z art. 34 ust. 4 RODO wobec osób, których naruszenie dotyczy, gdyby stwierdził, że naruszenie może spowodować duże ryzyko naruszenia praw i wolności.

Wygląda na to, że Miejska Biblioteka Publiczna w Katowicach zareagowała na incydent prawidłowo – przynajmniej po otrzymaniu od nas zgłoszenia, bo zachowanie pracownika, który omyłkowo udostępnił dane, pozostawiało wiele do życzenia. Jeśli zaobserwujecie podobny wyciek danych lub inny problem z bezpieczeństwem i będziecie chcieli go nagłośnić, zapraszamy do kontaktu. Gwarantujemy anonimowość i chętnie pomożemy w usunięciu zagrożenia.