Kiedy można mówić o naruszeniu ochrony danych osobowych?
Pojęcie naruszenia ochrony danych osobowych zostało zdefiniowane w art. 4 pkt 12 rozporządzenia RODO. W ten sposób należy rozumieć naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem:
- zniszczenia;
- utracenia;
- zmodyfikowania;
- nieuprawnionego ujawnienia lub
- nieuprawnionego dostępu do danych osobowych przesyłanych
– przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Te przesłanki muszą być spełnione łącznie, przy czym Grupa Robocza Art. 29 wyróżniła trzy typy naruszeń.
Naruszenie poufności danych polega na ujawnieniu ich niewłaściwej osobie. Przykładem takiego działania może być przypadkowe wysłanie wiadomości e-mail zawierającej dane osobowe klienta firmy do osoby postronnej.
Drugi typ naruszenia polega na czasowej lub trwałej utracie danych osobowych przy braku ich kopii zapasowej. Dobrym przykładem takiego działania są ataki typu Denial of Service polegające na zablokowaniu hosta ilością danych na tyle dużą, że uniemożliwia połączenie się z nim.
Trzeci typ to naruszenie integralności danych, czyli ich nieuprawniona modyfikacja, np. poprzez zmianę nazwiska, daty urodzenia lub wykształcenia czy w związku z ryzykiem naruszenia praw lub wolności osób fizycznych w zakresie ochrony danych osobowych czy naruszeń ochrony danych lub naruszenie bezpieczeństwa prowadzące do postępowania przez urząd ochrony danych osobowych.
Zobacz również: Szacowanie ryzyka w zakresie RODO i DPIA. Jak do nich podejść?
Czy każde naruszenie danych osobowych stanowi incydent?
Przepisy rozporządzenia RODO nakładają na administratora obowiązek zgłaszania naruszeń organowi nadzorczemu (w Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych). Nie dotyczy on jednak wszystkich naruszeń, a jedynie tych, co do których istnieje ryzyko większe niż małe, że naruszenie może skutkować naruszeniem praw lub wolności osób fizycznych (art. 33 ust. 1 rozporządzenia).
W pierwszej kolejności administrator powinien więc ocenić, na ile zagrożenie sytuacji osób fizycznych rzeczywiście jest realne. Niezależnie od wyniku takiej analizy należy dokumentować wewnętrznie przypadki naruszenia. W ten sposób w razie kontroli przedsiębiorca ma możliwość przedstawienia przekonujących dowodów uzasadniających niepodejmowanie działań.
Pojęcie naruszenia praw lub wolności osób fizycznych powinno być rozumiane bardzo szeroko. Szkoda może mieć wymiar zarówno materialny, niematerialny, jak i czysto fizyczny. W wytycznych Prezesa UODO jako przykłady takiego uszczerbku podaje się:
- dyskryminację;
- oszustwo lub kradzież dotyczące tożsamości;
- nadużycia lub straty finansowe;
- cofnięcie pseudonimizacji, czyli przetwarzania danych osobowych w taki sposób, aby nie można było ich przypisać konkretnej osobie bez użycia specjalnego klucza;
- utrata poufności danych niejawnych.
Oceny wagi naruszenia każdorazowo trzeba dokonywać indywidualnie.
Przyjmuje się, że w sytuacji, kiedy naruszenie ochrony danych osobowych dotyczy danych wrażliwych, z reguły zawsze będzie występowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Do danych wrażliwych zalicza się informacje wymienione w art. 9 ust. 1 RODO, tj. ujawniające:
- pochodzenie rasowe lub etniczne;
- poglądy polityczne;
- przekonania religijne lub światopoglądowe;
- przynależność do związków zawodowych;
- dane biometryczne, genetyczne przetwarzanych w celu identyfikacji osoby fizycznej;
- szczegóły dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.
W takich przypadkach ADO musi zawiadomić zarówno organ nadzorczy, jak i osoby, których sytuacja została zagrożona w związku z incydentem.
Zobacz również: Prawnie uzasadniony interes administratora danych jako podstawa przetwarzania danych osobowych
Jakie obowiązki nakłada RODO w związku z potrzebą ochrony danych na administratora danych osobowych?
Świadomość naruszenia danych osobowych ma kluczowe znaczenie dla administratorów, ale warto również znać obowiązki, jakie w związku z koniecznością ochrony informacji nakłada na te podmioty RODO. Przede wszystkim ADO powinien pamiętać o zaprojektowaniu procedury postępowania z naruszeniami ochrony danych. Poprzez sformalizowanie i zunifikowanie wewnętrznych procesów można znacząco skrócić czas niezbędny do dokonania oceny naruszenia oraz podjęcia decyzji co do ewentualnego zgłoszenia, a także zapewnić odpowiedni poziom ochrony danych osobowych. Do istotnych elementów takiej procedury należy zaliczyć określenie:
- celu i zakresu wdrożenia procedury;
- przykładowej (możliwie szerokiej) listy potencjalnych naruszeń, do jakich może dojść z uwzględnieniem specyfiki prowadzonej działalności gospodarczej;
- poszczególnych etapów zarządzania naruszeniem – od momentu jego identyfikacji, aż po zgłoszenie naruszenia do organu nadzorczego i usunięcie skutków zdarzenia;
- kryteriów pozwalających na stwierdzenie czy doszło do naruszenia ochrony danych osobowych uzasadniające zgłoszenie do organu nadzorczego.
Bardzo ważne jest, aby procedura była stosowana przez cały czas, ponieważ administrator musi być w stanie zachować ciągłość zarządzania incydentami. W zależności od stopnia naruszenia danych postępowanie będzie wyglądało nieco inaczej. Jeżeli ma ono nieznaczący charakter, wystarczy wpisać je do wewnętrznej ewidencji. Jeśli zagraża prawom lub wolnościom osób fizycznych, trzeba już raportować incydenty organowi nadzorczemu. W sytuacji, kiedy naruszenie powoduje duże ryzyko naruszenia praw lub wolności (np. dotyczy danych wrażliwych), należy liczyć się z dodatkowymi obowiązkami w postaci poinformowania o tym fakcie osób, które dane dotyczą (art. 34 RODO).
Warto pamiętać, że administrator danych osobowych ma obowiązek zastosować środki organizacyjne i techniczne, które minimalizują ryzyko naruszenia danych osobowych. Skala i stopień zaawansowania takich zabezpieczeń powinny być dopasowane do rozmiarów i rodzaju prowadzonej działalności gospodarczej. Jako przykład środków organizacyjnych można wskazać np. szkolenia pracowników lub stworzenie wspomnianej wyżej procedury. Z kolei zabezpieczenia techniczne mogą obejmować implementację programu antywirusowego czy zabezpieczeń kryptograficznych, jak szyfrowanie AES czy uwierzytelnianie dwuskładnikowe.
Jaką rolę odgrywa podmiot przetwarzający w zarządzaniu incydentami?
Rozporządzenie RODO dopuszcza, aby dane osobowe przetwarzał nie tylko administrator, ale także podmiot działający w jego imieniu, określany mianem procesora. Podmiot przetwarzający dane osobowe może przetwarzać te dane wyłącznie w granicach i w celu zakreślonych przez administratora. Ma również obowiązek – zgodnie z art. 28 ust. 3 lit f RODO – pomagać administratorowi wywiązać się z obowiązków dotyczących incydentów z uwzględnieniem charakteru przetwarzania oraz dostępnych mu informacji.
W razie stwierdzenia naruszenia podmiot przetwarzający powinien przekazać stosowne informacje administratorowi niezwłocznie, zgodnie z art. 32 ust. 3 RODO. Jeśli dane są przetwarzane przez kilku administratorów, procesor przekazuje informację o naruszeniu każdemu z nich, chyba że naruszenie wpływa na sytuację jedynie niektórych administratorów.
Zobacz również: Szkolenie RODO
Jak prawidłowo zgłosić incydent naruszenia ochrony danych osobowych do UODO?
Wiemy już, kiedy i kto powinien zgłosić incydent naruszenia ochrony danych osobowych. Jak zrobić to prawidłowo? Obecnie naruszenie ochrony danych osobowych można zgłosić na jeden z czterech sposobów:
- poprzez wypełnienie formularza elektronicznego;
- przez elektroniczną skrzynkę podawczą ePUAP;
- poprzez wysłanie formularza dostępnego na biznes.gov.pl w formie elektronicznej;
- tradycyjną pocztą na adres UODO.
Warto pamiętać, że Prezes UODO nie zawsze musi być właściwym organem do zgłoszenia naruszenia. Jeśli doszło do incydentu transgranicznego (np. wycieku danych sklepu internetowego działającego na kilku rynkach równolegle), może się okazać, że wiodącym będzie urząd o kompetencjach analogicznych dla UODO działający na terytorium danego państwa członkowskiego.
Samo zgłoszenie powinno być dokonane w czasie bez zbędnej zwłoki w terminie nie dłuższym niż 72 godziny od stwierdzenia naruszenia. Samo pojęcie „stwierdzenia” należy rozumieć jako pozyskanie odpowiednio wysokiego stopnia pewności, że do naruszenia doszło. Nie wystarczy więc samo przypuszczenie, ADO powinien dysponować wiarygodnymi informacjami na potwierdzenie zasadności zgłoszenia. Po przekroczeniu tego terminu do zgłoszenia załącza się wyjaśnienie przyczyn opóźnienia. Zgodnie z art. 33 ust. 3 RODO zgłoszenie musi zawierać co najmniej:
- charakter naruszenia ochrony danych osobowych, w tym – w miarę możliwości – wskazanie kategorii i liczby osób dotkniętych naruszeniem oraz liczby wpisów danych osobowych dotkniętych naruszeniem;
- imię i nazwisko oraz dane kontaktowe IOD albo innego punktu kontaktowego, w którym organ nadzorczy może zasięgnąć więcej informacji;
- opis możliwych konsekwencji naruszenia danych osobowych;
- opis środków proponowanych przez ADO w celu zaradzenia naruszenia ochrony danych osobowych, a także działań podjętych w celu minimalizacji negatywnych skutków takiego naruszenia.
Jeśli informacji nie można podać od razu (np. ADO czeka na wyniki analizy z działu IT), powinny być one nadsyłane sukcesywnie. Jednocześnie należy dokumentować podejmowane działania zaradcze tak, aby organ nadzoru mógł zweryfikować wywiązanie się z obowiązków sprawozdawczych. Ważne jest, aby informacje w zgłoszeniu były podane w sposób możliwie precyzyjny tak, aby organ nadzorczy mógł możliwie szybko podjąć działania zaradcze. W swoich wytycznych UODO zwraca uwagę, aby w toku wypełniania formularza zgłoszeniowego unikać następujących błędów:
- niekompletnego przekazywania informacji;
- wypełniania zgłoszeń w sposób lakoniczny, nierzetelny lub rutynowy (np. poprzez ograniczenie się do stwierdzenia, że zagubiono nośnik pamięci z danymi klientów);
- zgłaszania naruszeń przez podmiot nieuprawniony (np. procesora lub podmiot trzeci, który zauważył naruszenie).
Zobacz również: Audyt RODO – jak powinien wyglądać i kiedy go przeprowadzać
Kiedy o incydencie trzeba poinformować osoby, których dane dotyczą?
Niezależnie od zgłoszenia incydentu do UODO administrator ma obowiązek poinformować osoby, których dane dotyczą o naruszeniu, jeżeli istnieje wysokie ryzyko naruszenia praw i wolności osób fizycznych. Taką wiadomość należy przekazać bez zbędnej zwłoki, opisując naruszenie jasnym i prosty językiem, ale rzetelnie i w sposób wyczerpujący. Informacja powinna zawierać przynajmniej dane IOD, możliwe konsekwencje dla danych osobowych oraz środki zapobiegawcze podjęte przez administratora.
Wypada zaznaczyć, że informacje o naruszeniu danych powinny być wysyłane osobno i być odpowiednio oznaczone. Nie należy wysyłać ich razem z innymi wiadomościami, w szczególności takimi, które często są usuwane bez czytania (np. newsletter).
Jednocześnie ADO może zwolnić się z obowiązku przekazania informacji, jeżeli:
- wdrożył odpowiednie środki techniczne i organizacyjne, w szczególności szyfrowanie;
- podjął działania zmierzające do wyeliminowania wysokiego ryzyka naruszenia praw i wolności osoby fizycznej;
- indywidualne powiadomienie wymagałoby niewspółmiernie dużego wysiłku. W takiej sytuacji administrator może ograniczyć się do publicznego komunikatu w sprawie naruszenia danych osobowych.
Co grozi za niezgłoszenie incydentu do Prezesa UODO?
Naruszenie obowiązków ADO związanych z incydentem rodzi ryzyko nałożenia przez organ nadzorczy wysokiej kary pieniężne. Zgodnie z art. 83 ust. 4 pkt a wysokość sankcji może wynieść do 10 milionów euro, a w przypadku przedsiębiorstwa – do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, z zastrzeżeniem, że zastosowanie ma kwota wyższa.
Niezależnie od kary administracyjnej RODO w art. 82 ust. 1 przyznaje prawo do dochodzenia odszkodowania za szkodę majątkową oraz niemajątkową poniesioną w wyniku naruszenia przepisów rozporządzenia.
Prawidłowe zarządzanie incydentami ma ogromne znaczenie zarówno z punktu widzenia administratora, jak i podmiotu przetwarzającego dane osobowe. Dlatego już na etapie planowania modelu biznesowego działalności należy rozważyć, jak powinny być skonstruowane wewnętrzne procedury oraz jakie zabezpieczenia techniczne i organizacyjne stosować, aby zminimalizować ryzyko powstania odpowiedzialności.
Kancelaria Prawna RPMS świadczy kompleksowe wsparcie prawne w zakresie implementacji przepisów RODO w firmie. Nasi prawnicy pomogą przygotować niezbędną dokumentację RODO z uwzględnieniem specyfiki prowadzonej działalności gospodarczej. Służą także wsparciem w zakresie zgłoszenia i obsługi incydentów przed organem nadzorczym.
Pytania i odpowiedzi
W przypadku współadministrowania danymi osobowymi podmioty, które przetwarzają dane, ustalają ze sobą cele i sposoby przetwarzania tych informacji (art. 26 RODO). Powinny też w przejrzysty sposób określić zakresy swojej odpowiedzialności, w tym w zakresie dotyczącym zarządzania incydentami i przekazywania sobie informacji o naruszeniach ochrony danych osobowych. Niezależnie od podziału osoba, której dane dotyczą może wykonywać swoje prawa wobec każdego ze współadministratorów. Dotyczy to także złożenia skargi na przetwarzanie danych niezgodnie z prawem.
Stosownie do art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie przebiegało zgodnie z prawem i chroniło osoby, których dane dotyczą. Jednocześnie w motywie 81 RODO zwraca się szczególną uwagę na to, aby procesor dysponował wiedzą fachową, wiarygodnością i zasobami, bazował na zatwierdzonym kodeksie postępowania lub certyfikacji. Sama umowa między ADO a procesorem powinna podlegać prawu Unii Europejskiej lub państwa członkowskiego.
W takiej sytuacji należy dokonać analizy, który z organów nadzorczych ma charakter wiodący. Warto rozważyć zgłoszenie do Úřad pro ochranu osobních údajů, czyli polskiego odpowiednika UODO.
Zaufali nam: