Wirus zaszyfrował pliki na naszym serwerze. Jak postąpić?

Odpowiedź r. pr. Justyny Lisińskiej: Witam. Bardzo trudno oceniać konieczność zawiadomienia osób bez pełnej wiedzy na temat tego, jakie to były dane i okoliczności całego zajścia. Zgadzam się z inspektorem ochrony danych, że doszło do utraty kontroli nad nimi, czyli naruszenia dostępności. Z pewnością taką sytuację należy zakwalifikować jako naruszenie ochrony danych osobowych. Zawiadomienie osób, których dane dotyczą, o naruszeniu jest niezbędne, gdy naruszenie może powodować WYSOKIE RYZYKO NARUSZENIA PRAW LUB WOLNOŚCI tych osób. Żeby określić to poziom ryzyka IOD musiał je oszacować i określić na wysokie. Kluczowym czynnikiem podczas oceniania ryzyka jest m.in. rodzaj i wrażliwość danych osobowych, które zostały ujawnione w wyniku naruszenia. W pytaniu wskazano, że chodzi o dane „wrażliwe”. IOD powinien uzasadnić swoją decyzję wskazując, jakie w jego ocenie prawa i wolności mogły ulec naruszeniu i czemu ocenił ryzyko wystąpienia takiego naruszenia, jako wysokie. UODO w „Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679” opisuje przykładową sytuację analogiczną do opisanej przez Państwa: Administrator pada ofiarą ataku za pomocą oprogramowania typu ransomware, w wyniku którego wszystkie dane zostały zaszyfrowane, a w systemie nie stwierdzono obecności żadnego innego złośliwego oprogramowania. UODO stwierdza, że „zgłaszanie naruszenia organowi nadzorczemu lub osobom fizycznym NIE BYŁOBY KONIECZNE”, „jeżeli istniałaby kopia bezpieczeństwa i MOŻLIWE BYŁOBY PRZYWRÓCENIE DANYCH W ODPOWIEDNIM CZASIE, ponieważ nie miałyby miejsca trwała utrata dostępności lub naruszenie poufności danych.” W pytaniu wskazali Państwo, że dane udało się odtworzyć. Dostępność został więc przywrócona, pytanie tylko czy w 100% i czy w odpowiednio krótki czasie, aby prawa i wolności osób nie zostały naruszone. Kluczowe byłoby więc przeanalizowanie sprawy ponownie pod kątem postawionych powyżej pytań o zakres i czas odtworzenia danych. Nie ma wymogu, aby zawiadomienie nastąpiło drogą listową. Jak wskazał Urząd Ochrony Danych Osobowych „Mając na względzie znaczenie zawiadomienia, powinno być ono sporządzone w formie, która umożliwi podmiotowi danych na wielokrotne zapoznanie się z jego treścią. Wybierając środek komunikacji, trzeba pamiętać, że zawiadomienie musi zostać dostarczone adresatowi w możliwie najkrótszym czasie.”. Może to być więc także e-mail, jeśli mają Państwo adresy e-mailowe tych osób. Powiadomienia ograniczającego się do komunikatu prasowego czy firmowego bloga UODO jednakże słusznie nie uznaje za skuteczne poinformowanie osoby fizycznej o naruszeniu.