Brak zgłoszenia naruszenia jest obecnie jedną z najczęstszych przyczyn kar nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) na administratorów danych. Rejestrowanie oraz zgłaszanie organowi nadzorczemu naruszeń ochrony danych osobowych to jeden z podstawowych obowiązków, jakie nakłada na administratorów danych unijne rozporządzenie o ochronie danych. Ponadto RODO wymaga prowadzenia wewnętrznego rejestru takich naruszeń oraz wdrażania zabezpieczeń, które mają zapobiegać takim naruszeniom, a w razie ich zaistnienia obowiązkowego wdrożenia działań naprawczych.
Kiedy może wystąpić naruszenie ochrony danych?
Naruszeniem ochrony danych zgodnie z art. 4 pkt 12 RODO jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie. Natomiast skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.
UODO w publikacji "Obowiązki administratorów związane z naruszeniami ochrony danych osobowych" wskazuje trzy główne grupy naruszeń:
- naruszenie poufności - polega na ujawnieniu danych osobowych nieuprawnionej osobie, np. przypadkowe wysłanie danych osobowych klienta do niewłaściwego działu firmy lub osoby postronnej,
- naruszenie dostępności - polega na czasowej bądź trwałej utracie lub zniszczeniu danych osobowych, np. zgubienie lub kradzież nośnika zawierającego bazy danych klientów administratora przy braku kopii zapasowej; w tym miejscu należy wspomnieć, że UODO zwraca uwagę, iż nie każda czasowa niedostępność danych jest od razu naruszeniem ochrony danych; będzie nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw lub wolności osób fizycznych; jako przykład Urząd podaje np. brak dostępu do danych pacjentów w szpitalu, który może prowadzić do uniemożliwienia przeprowadzenia pilnej operacji,
- naruszenie integralności - polega na zmianie treści danych osobowych w sposób nieautoryzowany, np. pracownik zmienia nazwiska klientów poprzez dopisanie innej litery na końcu każdego z nich.
Postępowanie administratora
W związku z zaistnieniem naruszenia ochrony danych RODO przewiduje różne obowiązki, które obciążają administratorów danych. Ich zakres zależy od stopnia takiego naruszenia i skutków dla osób, których dotyczył incydent.
Przede wszystkim każdy administrator danych musi wprowadzić w swojej jednostce takie procedury, które będą umożliwiać szybkie wykrycie takiego naruszenia i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Ponadto administrator musi prowadzić wewnętrzną ewidencję naruszeń, zgłaszać zaistniałe naruszenia organowi nadzorczemu, powiadamiać osoby, których dane dotyczą, o naruszeniu oraz podejmować działania mające na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości. Zgłoszenia do UODO należy dokonać nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Właśnie dlatego po zaistnieniu naruszenia ochrony danych administrator musi przeprowadzić analizę, której celem jest ustalenie, czy w wyniku naruszenia doszło do ryzyka naruszenia praw i wolności osób fizycznych czy nie.
Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem, jest Prezes UODO czy może inny europejski organ nadzorczy.
Ryzyko wystąpienia szkód
Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Jak tłumaczy UODO w swoim opracowaniu, szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.
Jeśli w wyniku dokonania takiej analizy administrator danych uzna, że takie prawdopodobieństwo jest małe, wówczas nie ma obowiązku zgłoszenia naruszenia Prezesowi UODO. Wskazane naruszenie musi jednak wpisać do wewnętrznej ewidencji naruszeń. Co istotne, niezależnie od poziomu ryzyka, obowiązkiem administratora jest wprowadzenie środków zaradczych i naprawczych mających na celu zminimalizowanie ryzyka i zabezpieczenie danych osobowych w przyszłości.
Jeżeli ryzyko wystąpienia naruszenia praw i wolności osób fizycznych jest wysokie, to oprócz wpisu w ewidencji naruszeń i zgłoszenia naruszenia ochrony danych do PUODO, w niektórych przypadkach będzie konieczne powiadomienie o naruszeniu osób, których dane dotyczą. Jak informuje UODO, opis charakteru naruszenia jest istotnym elementem informacji przekazywanej osobom, których dane dotyczą. Powinien on być na tyle szczegółowy i jasny, aby osoby, do których jest kierowany, mogły zrozumieć, co się stało z ich danymi osobowymi, dlaczego oraz co to dla nich oznacza.
Dokumentowanie incydentów
RODO w art. 33 ust. 5 nakłada na administratorów danych obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Użyte w tym artykule sformułowanie "wszelkich naruszeń" oznacza, że ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. 4 pkt 12 RODO. Są to zarówno naruszenia, które nie wymagały dokonania zgłoszenia, jak i te podlegające temu obowiązkowi.
Jeżeli chodzi o sposób prowadzenia ewidencji, to Grupa Robocza Art. 29 stoi na stanowisku, że administrator może zdecydować o dokumentowaniu naruszeń w rejestrze czynności przetwarzania prowadzonym zgodnie z art. 30 RODO. Nie ma wymogu prowadzenia osobnego rejestru naruszeń, gdy informacje dotyczące naruszenia można łatwo zidentyfikować i przedłożyć na żądanie.
Zawiadomienie osób fizycznych nie jest wymagane, gdy:
| -
|
administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki, takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
|
| -
|
administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, np. administrator zorientował się, że przesyłka zawierająca dane osobowe została zaadresowana na niewłaściwy adres i skontaktował się z operatorem pocztowym, który nie dopuścił do dostarczenia jej wskazanemu początkowo adresatowi,
|
| -
|
wymagałoby ono niewspółmiernie dużego wysiłku; w takim jednak przypadku będzie musiał zostać wydany publiczny komunikat lub inny podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób, np. dokumentacja zawierająca dane osobowe była prowadzona jedynie w wersji papierowej i uległa zalaniu; w takim przypadku administrator musi wydać publiczny komunikat, w którym osoby fizyczne zostaną poinformowane o naruszeniu.
|
|
