Na jakie zagrożenia jest narażona kancelaria komornicza podczas przetwarzania danych osobowych?

4 lutego 2019

Opublikowano przez: Klaudia Maciejewska

KATEGORIA: RODO informator

Określenie listy potencjalnych zagrożeń dla przetwarzania danych osobowych w kancelarii komorniczej wiążę się z identyfikacją aktywów, a tym samym z szacowaniem ryzyka.

Zgodnie z motywem 75 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE[1], ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych, mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych. W szczególności następuje to wtedy, gdy:

– przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;

– osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;

– przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;

– oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych;

– przetwarzane są dane osobowe osób wymagających szczególnej opieki, zwłaszcza dzieci;

– przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

W myśl art. 32 ust. 1 rozporządzenia – uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wielkości zagrożenia – administrator i podmiot przetwarzający powinni wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku:

– pseudonimizację i szyfrowanie danych osobowych (4.5.2016 L 119/51 D.Urz. UE PL);

– zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

– zdolność do szybkiego przywrócenia dostępności danych osobowych oraz dostępu do nich w razie incydentu fizycznego lub technicznego;

– regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się przede wszystkim ryzyko związane z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób[2].

Zagrożenie to źródło potencjalnej szkody, naruszenia (potencjalny incydent)[3]. Komornik sądowy jako administrator danych osobowych jest odpowiedzialny za określenie listy zagrożeń, które mogą wystąpić podczas przetwarzania danych osobowych w zbiorze, dla kategorii osób lub w procesie przetwarzania.

Do przykładowych zagrożeń można zaliczyć:

– zdarzenia losowe zewnętrzne (pożar obiektu, pomieszczenia, zalanie wodą, utrata zasilania, łączności, przegrzanie, zbyt duża wilgotność);

– zdarzenia losowe wewnętrzne (awaria serwera, komputerów, twardych dysków, oprogramowania, awaria zasilania, pomyłki/modyfikacja/usunięcie danych osobowych przez użytkowników, utrata, zagubienie danych, awaria łączy telekomunikacyjnych);

– nieumyślne incydenty bezpieczeństwa danych osobowych (pomyłki, błędy pracowników i administratora, błędy w wykonywaniu kopii bezpieczeństwa, zgubienie akt sprawy/dokumentów w nich zawartych);

– umyślne incydenty bezpieczeństwa danych osobowych (włamanie do systemu informatycznego, nieuprawniony dostęp lub włamanie do pomieszczeń, kradzież akt sprawy/danych/sprzętu/nośników, ujawnienie/udostępnienie informacji osobom nieupoważnionym, nieuprawnione kopiowanie danych, świadome zniszczenie akt sprawy/dokumentów w nich zawartych, działanie wirusów, szkodliwego oprogramowania, nieuprawniony dostęp do oprogramowania, nieprzestrzeganie procedur, brak aktualnej dokumentacji przetwarzania danych osobowych, brak procedur napraw w serwisach zewnętrznych, zainfekowanie oprogramowaniem typu ransomware (złośliwe oprogramowanie, które szyfruje dane administratora do momentu zapłacenia okupu), ataki Man-in-the-Middle (zmuszenie komputerów w sieci lokalnej do komunikowania się za pośrednictwem komputera intruza, ataki na oprogramowanie z wykorzystaniem istniejących ,,dziur” w niezaktualizowanym oprogramowaniu).

 

[1] Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rozporządzenie), Dz.Urz. UE L 119, s. 1.

[2]Art. 32 ust. 2 rozporządzenia.

[3]Jak rozumieć podejście oparte na ryzyku? Poradnik RODO. Podejście oparte na ryzyku, cz. 1. Generalny Inspektor Ochrony Danych Osobowych, grudzień 2017.

Zobacz pełny artykuł