Czy ataki na serwery pocztowe = zgłaszane incydenty ochrony danych?

Na początku marca 2021 roku Microsoft ogłosił, że Microsoft Exchange posiada luki bezpieczeństwa. Microsoft Exchange jest produktem serwera pocztowego, który jest używany miliony razy na całym świecie, więc było to zagrożenie dla serwerów, które są używane miliony razy i mogą być dostępne z Internetu, które często były już zainfekowane / aktywnie atakowane przez tę lukę.

Chociaż Microsoft szybko udostępnił aktualizacje zabezpieczeń, które mogły zostać zainstalowane przez osoby dotknięte problemem, a także skrypt kontrolny dla serwera Exchange, za pomocą którego osoby dotknięte problemem mogły sprawdzić, czy ich serwery zostały zhakowane, dla niektórych było już za późno: liczne firmy stały się ofiarami ataku hakerów.

Dla zainteresowanych firm pojawia się teraz pytanie, kiedy występuje incydent ochrony danych podlegający zgłoszeniu i jakie obowiązki informacyjne na nich ciążą oraz czy taki incydent występuje w konkretnym przypadku dotyczącym Microsoft Exchange.

Kiedy mamy do czynienia z incydentem ochrony danych podlegającym zgłoszeniu?

To, kiedy incydent ochrony danych podlega zgłoszeniu, reguluje art. 33 GDPR. Zgodnie z nim obowiązek zgłoszenia istnieje "w przypadku naruszenia ochrony danych osobowych [...], chyba że jest mało prawdopodobne, aby naruszenie ochrony danych osobowych spowodowało zagrożenie dla praw i wolności osób fizycznych".

Pierwsze pytanie dotyczy zatem tego, kiedy faktycznie dochodzi do "naruszenia danych osobowych". Artykuł 4 nr 12 GDPR zawiera definicję. Zgodnie z nią, naruszenie danych osobowych to "naruszenie bezpieczeństwa prowadzące do zniszczenia, utraty lub zmiany [...] lub nieuprawnionego ujawnienia danych osobowych lub dostępu do nich [...]".

Zgodnie z art. 4 nr 1 GDPR dane osobowe to wszelkie informacje dotyczące zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych.

Zgodnie z art. 4 nr 12 GDPR naruszenie bezpieczeństwa tych danych ma miejsce, jeśli zostaną one zniszczone, utracone, zmienione, ujawnione bez zezwolenia lub udostępnione bez zezwolenia. Obejmuje to zatem przede wszystkim wszelkie wpadki i wycieki danych. Obejmuje również problemy techniczne i awarie systemu, które mają odpowiednie konsekwencje, a także ataki hakerskie i kradzież danych.

Aby uzyskać lepszy przegląd zgłaszanych incydentów, w poszczególnych krajach federalnych istnieją możliwości informacyjne za pośrednictwem organów nadzorczych. Ponadto wytyczne Europejskiej Rady Ochrony Danych z 19.01.2021 r. zawierają wiele przykładów i dobry przegląd.

Jakie są wymagania dotyczące informacji?

Jeśli dojdzie do incydentu ochrony danych podlegającego zgłoszeniu, następnym pytaniem, które zadają sobie firmy dotknięte tym problemem, jest: Kto musi zostać poinformowany?

Przede wszystkim istnieje obowiązek powiadomienia właściwego organu nadzorczego zgodnie z art. 33 DSGVO.

Dodatkowo jednak osoby, których dane dotyczą, takie jak klienci, zleceniodawcy lub pracownicy, muszą zostać powiadomione indywidualnie, jeśli należy założyć wysokie ryzyko dla praw i wolności osobistych osób fizycznych (art. 34 I GDPR). Jest to zazwyczaj wyjątkowy przypadek i ma miejsce, gdy należy spodziewać się poważnych konsekwencji lub upośledzenia osoby, której dane dotyczą (na przykład kradzież tożsamości lub naruszenie poufności tajemnicy zawodowej). Fakt, że osoby poszkodowane muszą zostać powiadomione indywidualnie, ma miejsce w szczególności w przypadku utraty danych bankowych lub danych pacjentów. Decydujący jest jednak zawsze indywidualny przypadek i zawsze należy skonsultować się z inspektorem ochrony danych.

Czy w sprawie Microsoft Exchange wystąpił zgłaszany incydent ochrony danych?

To, czy jest to zdarzenie podlegające zgłoszeniu, jest rzeczywiście sporne. Organ nadzorczy w Hamburgu twierdzi, że obowiązek zgłoszenia istnieje tylko wtedy, gdy rzeczywiście stwierdzono wyciek danych, organ nadzorczy w Badenii-Wirtembergii twierdzi, że istnieje ogólny obowiązek zgłoszenia, a organy nadzorcze w Dolnej Saksonii i Bawarii twierdzą, że nawet spóźniona instalacja aktualizacji Microsoftu prowadzi do obowiązku zgłoszenia.

Przedsiębiorstwa, które stwierdzą, że zostały dotknięte tym problemem, powinny zatem niezwłocznie zgłosić to organowi nadzorczemu. Jeśli jednak nie udało się wykryć żadnego wycieku danych, zgłoszenie nie jest prawdopodobnie konieczne, ale zawsze powinno być oceniane przez personel ekspercki indywidualnie. W każdym przypadku wszystkie incydenty i środki powinny być udokumentowane, a systemy informatyczne powinny być regularnie sprawdzane przez ekspertów.

Profesjonalne doradztwo i pomoc są tu niezbędne.