Naruszenie ochrony danych osobowych, a obowiązki administratora

Naruszenie ochrony danych osobowych, a obowiązki administratora

Pojęcie naruszenia ochrony danych osobowych

Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).

Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:

  • naruszenie musi dotyczyć danych  osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  • skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp  do danych osobowych;
  • naruszenie jest skutkiem złamania zasad bezpieczeństwa  danych.

Jednocześnie – jak wskazuje Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) – można wyróżnić trzy typy naruszeń ochrony danych osobowych:

1. NARUSZENIE POUFNOŚCI – polega na ujawnieniu danych osobowych nieuprawnionej osobie

Przykład I

Przypadkowe wysłanie danych osobowych klienta do niewłaściwego działu firmy lub osoby postronnej.

Przykład II

System informatyczny administratora został zainfekowany złośliwym oprogramowaniem. Po przeprowadzeniu wstępnej analizy administrator stwierdził, że w wyniku działania tego oprogramowania osoba nieupoważniona uzyskała dostęp do danych osobowych.

2.  NARUSZENIE DOSTĘPNOŚCI – polega na czasowej bądź trwałej utracie lub zniszczeniu danych osobowych

Przykład I

Zgubienie lub kradzież nośnika zawierającego bazy danych klientów administratora przy braku kopii zapasowej.

Przykład II

Pracownik przypadkowo lub osoba nieupoważniona celowo usuwa dane ze zbioru. Administrator próbuje odzyskać dane z kopii zapasowej,jednak jego działania nie przynoszą rezultatu.

Przykład III

W wyniku przerwy w dostawie prądu lub ataku typu „odmowa usługi” (tzw. DDoS), administrator tymczasowo lub trwale traci dostęp do danych osobowych.W powyższym przykładzie III mamy do czynienia ze zdarzeniem skutkującym utratą dostępności danych osobowych przez pewien czas. Jest to naruszenie, ponieważ brak dostępu do danych może mieć znaczący wpływ na prawa lub wolności osób fizycznych. Jednak nie każda czasowa niedostępność danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw lub wolności osób fizycznych, np. w przypadku szpitala brak dostępu danych pacjentów może prowadzić do uniemożliwienia przeprowadzenia operacji medycznej, a zatem narażenia życia, co należy zaklasyfikować jako wysokie ryzyko dla praw lub wolności osób fizycznych. W przypadku kilkugodzinnego braku dostępu spółki medialnej do swoich systemów i niemożliwości wysyłania newslettera do abonentów, istnieje natomiast niskie prawdopodobieństwo naruszenia praw lub wolności osób fizycznych. Podobnie w przypadku planowanej konserwacji systemu, dane osobowe mogą być niedostępne przez pewien czas i nie należy traktować tego jako naruszenia bezpieczeństwa.

3. NARUSZENIE INTEGRALNOŚCI – polega na zmianie treści danych osobowych w sposób nieautoryzowany.Przykład„Pracownik dla żartu zmienia nazwiska klientów poprzez dopisanie litery „s” na końcu każdego z nich.

Jakie obowiązki w związku z naruszeniami ochrony danych osobowych przewiduje RODO?

RODO przewiduje następujące obowiązki administratora związane z naruszeniem ochrony danych osobowych:

  • wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych;
  • prowadzenie wewnętrznej ewidencji naruszeń;
  • zgłaszanie naruszeń organowi nadzorczemu;
  • powiadamianie osoby, której dane dotyczą, o naruszeniu;
  • podejmowanie działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

Ważnym, jeśli nie najważniejszym, elementem całego procesu związanego ze zgłaszaniem naruszenia ochrony danych, jest szybkość podjęcia niezbędnych działań, zarówno wobec organu nadzorczego, jak i osób, których dane dotyczą.

Administrator

Żeby zapewnić działania bez zbędnej zwłoki, administratorzy powinni opracować i wdrożyć procedury postępowania na wypadek wystąpienia naruszenia ochrony danych. Taka procedura pomoże ujednolicić, usprawnić oraz przyśpieszyć działania w przypadku wykrycia naruszenia ochrony danych. W tej procedurze powinno się zawrzeć m.in.:

  • cel, w jakim procedura została opracowana;
  • zakres jej stosowania;
  • katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora;
  • opis etapów zarządzania naruszeniem, począwszy od jego wykrycia, a kończąc na usunięciu;
  • opis postępowania personelu administratora w przypadku wystąpienia naruszenia ochrony danych.

Zdolność do zapobiegania naruszeniom w przypadkach, w których jest to możliwe, oraz zdolność do niezwłocznego reagowania na naruszenia w sytuacjach, w których mimo to dojdzie do ich wystąpienia, stanowi kluczowy element każdej polityki w zakresie bezpieczeństwa danych.

Dobrze zaprojektowana i wdrożona procedura postępowania na wypadek wystąpienia naruszenia ochrony danych pozwala dokonać klasyfikacji zidentyfikowanych naruszeń ochrony danych, czyli określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także w niektórych przypadkach również wobec osób, których dane dotyczą. W przypadku naruszeń, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, RODO wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO). Niezależnie od poziomu ryzyka, administrator zobowiązany jest do wprowadzenia środków zaradczych mających na celu zminimalizowanie ryzyka i zabezpieczenie danych osobowych.

Współadministratorzy

Współadministratorzy, zgodnie z art. 26 RODO, w ramach realizowanego wspólnie przedsięwzięcia, określają zakresy swojej odpowiedzialności, dotyczącej wypełniania obowiązków wynikających z RODO. Wiąże się to z koniecznością ustalenia, która strona będzie odpowiedzialna za wywiązywanie się ze zobowiązań ustanowionych w art. 33 i 34 RODO oraz jakie będą obowiązki pozostałych stron w zakresie wymiany informacji dotyczących naruszeń ochrony danych osobowych. Ważne jest, aby podjęte uzgodnienia zapewniały efektywne wywiązywanie się z obowiązków wynikających z przepisów prawa. Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) zaleca, aby uzgodnienia umowne między współadministratorami uwzględniały postanowienia wskazujące administratora, który będzie zajmował się dbaniem o wypełnianie ustanowionych w RODO obowiązków w zakresie zgłaszania naruszeń lub który będzie odpowiedzialny za wypełnianie tych obowiązków.

Podmiot przetwarzający

Administrator ponosi odpowiedzialność prawną za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu (motyw 74 RODO). Podmiot przetwarzający odgrywa istotną rolę w zapewnianiu administratorowi możliwości wywiązania się ze spoczywających na nim obowiązków. Zgodnie z art. 28 ust. 3 lit. f RODO, umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO, a zatem również obowiązków określonych w art. 33 i 34 RODO.

Zgodnie z art. 33 ust. 2 RODO, podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Bez zbędnej zwłoki oznacza najszybciej jak to możliwe i taki termin wywiązywania się z tego obowiązku powinien być nałożony na podmioty przetwarzające w umowach powierzenia. Jeżeli podmiot przetwarzający świadczy usługi na rzecz wielu administratorów, a dany incydent wywiera wpływ na wszystkich z nich, podmiot przetwarzający będzie zobowiązany do zgłoszenia naruszenia bez zbędnej zwłoki każdemu z tych administratorów.

Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Administrator powinien korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniaj’ą wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania (motyw 81 RODO).

Oznacza to na przykład, że gdy naruszenie ochrony danych osobowych wymaga podjęcia działań mających na celu jak najszybsze zablokowanie nieuprawnionego dostępu do danych osobowych, a dotyczy to danych przetwarzanych w ramach powierzenia, administrator powinien wydać odpowiednie polecenie podmiotowi przetwarzającemu i zadbać o to by żądanie organu nadzorczego zostało jak najszybciej i skutecznie zrealizowane. Pamiętać należy, że brak odpowiedniego działania po stronie podmiotu przetwarzającego w sytuacji naruszenia ochrony danych osobowych może skutkować zastosowaniem przez organ wobec podmiotu przetwarzającego uprawnień określonych w art. 58 RODO. Dotychczasowe doświadczenia Urzędu Ochrony Danych Osobowych wskazują, że nie wszystkie podmioty, przy pomocy których administratorzy przetwarzają dane osobowe, gwarantują odpowiednie bezpieczeństwo danych osobowych oraz szybkie i skuteczne rozwiązania służące prawidłowemu wywiązywaniu się z obowiązków określonych w art. 33 i 34 RODO.

O jakich naruszeniach trzeba powiadomić Prezesa UODO?

W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Trzeba jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

Więcej informacji na temat oceny ryzyka można znaleźć w dwuczęściowym poradniku Prezesa UODO, w którym odpowiedziano na pytania: Jak rozumieć podejście oparte na ryzyku według RODO? oraz Jak stosować podejście oparte na ryzyku?

W jaki sposób powiadomić Prezesa UODO o naruszeniu?

Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Zgłoszenia można dokonać za pomocą formularza dostępnego na stronie uodo.gov.pl na 4 sposoby:

  1. Elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl.
  2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP.
  3. Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl.
  4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia ochrony danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też może inny europejski organ nadzorczy.

Jakie informacje musi zawierać zgłoszenie naruszenia kierowane do Prezesa UODO?

Zgodnie z art. 33 ust. 3 RODO, administrator powinien wskazać w zgłoszeniu naruszenia następujące informacje:

  • wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych  lub oznaczenia innego punktu kontaktowego , od którego można uzyskać więcej informacji;
  • opis możliwych konsekwencji  naruszenia ochrony danych osobowych;
  • wskazanie środków, jakie zostały zastosowane lub proponowane  przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania  jego ewentualnych negatywnych skutków.

Istotne jest, aby opis charakteru naruszenia był na tyle szczegółowy i jasny, aby organ nadzorczy mógł ocenić całość zdarzenia i podjąć skuteczne działania, takie jak np. skierowanie wystąpienia do administratora o zawiadomienie bądź ponowne prawidłowe zawiadomienie osób, których dane dotyczą (gdy administrator zrezygnował z zawiadomienia bądź dokonał zawiadomienia osób w sposób nieprawidłowy). Zbyt lakoniczna informacja nie spełnia tej funkcji, a tym samym nie pozwala organowi nadzorczemu na podjęcie szybkich i właściwych działań mających na celu ochronę praw i wolności osób fizycznych. Przede wszystkim należy pamiętać, aby poinformować organ nadzorczy o zastosowanych środkach zaradczych (np. czy stosowano metody szyfrowaniu w utraconym nośniku elektronicznym zawierającym dane osobowe, a jeśli tak, to jakie to były metody).

W jakim terminie należy zgłosić naruszenie Prezesowi UODO?

Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

To czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

Ponadto administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Według Grupy Roboczej Art. 29, administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.

Należy pamiętać, że podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zobowiązany jest do zgłoszenia go administratorowi (art. 33 ust. 2 RODO). Administrator, dokonując oceny ryzyka naruszenia praw lub wolności osób fizycznych, decyduje czy zgłosić takie naruszenie organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

Czy dopuszczalne jest przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?

Administratorzy nie zawsze będą dysponować wszystkimi wymaganymi informacjami dotyczącymi naruszenia w ciągu 72 godzin od jego stwierdzenia. W związku z tym, zgodnie z art. 33 ust. 4 RODO, administrator może udzielać informacji sukcesywnie. W takim przypadku administrator powinien przekazać brakujące informacje, jak tylko wejdzie w ich posiadanie. Zawiadamianie „sukcesywne” jest dopuszczalne, pod warunkiem że administrator poda organowi nadzorczemu przyczyny opóźnienia.

Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) również niejednokrotnie podkreśla, że np. brak dostępu do szczegółowych informacji (np. informacji o dokładnej liczbie osób, których dane dotyczą, na które naruszenie wywarło wpływ) nie powinien stanowić przeszkody dla terminowego zgłoszenia naruszenia. Przepisy RODO dopuszczają możliwość wskazywania przybliżonej liczby osób fizycznych, na które dane naruszenie wywarło wpływ, oraz przybliżonej liczby wpisów danych osobowych, których dotyczy to naruszenie.

Najczęściej popełniane błędy podczas zgłaszania naruszeń

Administrator danych jest zobowiązany do zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, gdy naruszenie stwarza prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.

Najczęściej popełniane błędy przy zgłaszaniu naruszeń:

1.Brak niektórych wymaganych w art. 33 ust. 3 RODO informacji (przekazane w zgłoszeniu informacje są niekompletne). Prawidłowo wypełnione zgłoszenie naruszenia ochrony danych powinno zawierać co najmniej:

  • opis charakteru naruszenia ochrony danych osobowych – w tym w miarę możliwości wskazywanie kategorii i przybliżonej liczby osób, których dane dotyczą oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisanie możliwych konsekwencji naruszenia ochrony danych osobowych;
  • opisanie środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosowanych przypadkach środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

Przekazanie wszystkich wymaganych informacji ułatwia elektroniczny formularz, który nie jest obowiązkowy, lecz jego usystematyzowany układ pozwala administratorom na sporządzenie prawidłowego zgłoszenia, które zawiera wszystkie wymagane informacje.

Prawidłowo wypełnione zgłoszenie pozwoli organowi nadzorczemu ocenić skalę i charakter naruszenia i – w razie potrzeby – podjąć odpowiednie i szybkie działania naprawcze w związku z jego zaistnieniem. Jeżeli z jakichś względów administrator nie może skorzystać z formularza, powinien zawrzeć wszystkie informacje wskazane w art. 33 ust. 3 RODO w piśmie kierowanym do Prezesa UODO.

Zgłoszenie naruszenia powinno nastąpić w terminie do 72 godzin od jego stwierdzenia. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Gdy w chwili zgłaszania naruszenia administrator nie dysponuje wszystkimi wymaganymi informacjami, to w terminie 72 godzin od wykrycia naruszenia powinien przekazać organowi nadzorczemu te informacje, które na temat naruszenia posiada. Jeśli zgłoszenie następuje na formularzu, należy zaznaczyć pole „Zgłoszenie wstępne” w pkt 1 formularza. W takim przypadku, zgodnie z art. 33 ust. 4 RODO, administrator powinien przekazać brakujące informacje po ich uzyskaniu, bez zbędnej zwłoki.

2. Niedokładne wypełnianie zgłoszeń (informacje przekazywane w zgłoszeniu są lakoniczne i nierzetelne).

Brak rzetelnego opisu (np. wpisanie jedynie sformułowania „zagubiono dokument”) rodzi konieczność podejmowania przez organ dodatkowych czynności w celu ustalenia np. rodzaju dokumentu i zakresu danych, jaki on zawiera. Po skontaktowaniu się z inspektorem ochrony danych lub innym wskazanym przez administratora punktem kontaktowym w tej sprawie okazuje się, że dany dokument był np. oryginałem umowy zawierającym podstawowe dane identyfikacyjne wraz z numerem PESEL, adresem zamieszkania, numerem dokumentu tożsamości oraz szczegółowymi informacjami finansowymi wskazującymi na status materialny danej osoby fizycznej. „Charakter naruszenia” powinien więc zawierać szczegółowy opis stanu faktycznego oraz okoliczności naruszenia.

Nierzetelne, zdawkowe przekazywanie informacji uniemożliwia ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Jednym z najważniejszych celów zgłaszania naruszeń ochrony danych jest ograniczenie szkód dla osób fizycznych. Uzyskanie przez organ nadzorczy pełnych, wymaganych w art. 33 ust. 3 RODO informacji o określonym naruszeniu, pozwala mu na właściwą ocenę naruszenia i odpowiednią reakcję polegającą np. na zażądaniu od administratora powiadomienia osób, których dane dotyczą, w sytuacji, gdy jest to konieczne, a administrator nie uczynił tego z własnej inicjatywy. Brak odpowiedniej i szybkiej reakcji na naruszenia ochrony danych osobowych zwiększa ryzyko urzeczywistnienia się związanych z nimi szkód.

W przypadku braku w zgłoszeniu wymaganych informacji, konieczne jest wezwanie administratora do ich uzupełnienia. Brak reakcji administratora na takie wezwanie może skutkować nałożeniem administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e RODO.

3. Wypełnianie zgłoszeń w sposób rutynowy, prowadzący do błędów.

W przypadku administratorów kierujących do urzędu znaczne ilości zgłoszeń, zauważalna jest tendencja do niedbałego i szablonowego sposobu wypełniania formularza zgłoszenia naruszenia. To powoduje, że w zgłoszeniach od tych administratorów często obecne są błędy wynikające z automatycznego przenoszenia informacji dotyczących innych zdarzeń, np. wcześniej zgłoszonych naruszeń. Takie błędne, nieścisłe przekazywanie informacji powoduje konieczność prowadzenia z administratorem dalszej korespondencji lub innej formy kontaktu, a tym samym ponoszenia niepotrzebnych nakładów czasu i pracy zarówno po stronie administratora, jak i organu nadzorczego.

4. Zgłaszanie naruszeń ochrony danych osobowych przez podmiot przetwarzający bądź inny podmiot nie będący administratorem zobowiązanym do zgłoszenia naruszenia.

Podmiot przetwarzający nie zgłasza naruszeń ochrony danych osobowych organowi nadzorczemu. Obowiązek ten ciąży na administratorze. Zgodnie z art. 33 ust. 2 RODO podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Również art. 28 ust. 3 lit. f RODO zobowiązuje podmiot przetwarzający do pomagania administratorowi w wywiązaniu się z obowiązków określonych w art. 33 RODO (np. poprzez udzielenie dostępnych mu w danej sprawie informacji). Na podstawie zgromadzonych informacji administrator stwierdza naruszenie ochrony danych i podejmuje decyzję o właściwym zaklasyfikowaniu naruszenia w zależności od poziomu ryzyka dla praw lub wolności osób, których dane dotyczą, a tym samym o konieczności zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osób, których dane dotyczą.

Naruszenia nie zgłasza również podmiot, który np. w wyniku pomyłki otrzymał od innego podmiotu korespondencję z danymi osobowymi nie kierowaną do niego. W takim przypadku należy niezwłocznie powiadomić ten podmiot o zaistniałym zdarzeniu, który to, będąc administratorem, jest zobowiązany dokonać analizy i podjąć decyzję o ewentualnym zgłoszeniu naruszenia Prezesowi UODO.

Jak oceniać ryzyko naruszenia praw lub wolności osób fizycznych na wypadek stwierdzenia naruszenia?

Uzyskanie informacji przez administratora o zaistnieniu incydentu mającego znaczenie dla ochrony danych osobowych, obliguje go do dokonania rzeczowej analizy w celu stwierdzenia czy doszło do naruszenia ochrony danych osobowych, w rozumieniu art. 4 pkt 12 RODO. Według Grupy Roboczej Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.

Konsekwencją stwierdzenia naruszenia j’est konieczność przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Analiza ta pozwoli stwierdzić, czy należy wypełnić obowiązek z art. 33 ust. 1 RODO (tj. zgłosić naruszenie organowi nadzorczemu) oraz art. 34 ust. 1 RODO (tj. zawiadomić osoby, których dane dotyczą o naruszeniu).

Podczas oceny ryzyka naruszenia praw lub wolności osób fizycznych powstałego w wyniku wystąpienia naruszenia, kładzie się nacisk na inne kwestie, niż uwzględniane w ocenie skutków dla ochrony danych. W ocenie skutków dla ochrony danych bierze się pod uwagę zarówno ryzyko dla planowego przetwarzania danych, jak i ryzyko powstałe w przypadku wystąpienia naruszenia. Badając możliwe naruszenie, rozpatruje się w ujęciu ogólnym prawdopodobieństwo jego wystąpienia oraz szkody dla osób, których dane dotyczą, jakie mogą z niego wyniknąć. Innymi słowy, jest to ocena wydarzenia hipotetycznego. W przypadku faktycznego naruszenia zdarzenie już nastąpiło, więc nacisk kładzie się w całości na powstałe ryzyko, że naruszenie będzie skutkowało wpływem na osoby fizyczne.

Zgodnie z motywem 76 RODO, mówiąc o ocenie ryzyka naruszenia praw i wolności osób fizycznych konieczne jest uwzględnienie:

  • powagi  tego zdarzenia, tj. wielkości szkody, jakie zdarzenie to może spowodować w odniesieniu do osoby, której dane dotyczą oraz
  • prawdopodobieństwa  wystąpienia tego zdarzenia będącego skutkiem naruszenia.

Urzeczywistnienie się określonego zagrożenia może nie spowodować skutków dla praw lub wolności osób, których dane są przetwarzane, spowodować znikome skutki lub skutki katastrofalne. W skrajnych przypadkach, np. w systemach przetwarzania informacji medycznej, nieuprawniona modyfikacja danych lub niedostępność danych w wyniku złego ich zabezpieczenia może skutkować utratą zdrowia, a nawet życia. Dlatego oceniając ryzyko naruszenia praw i wolności osób, których dane dotyczą, osoby odpowiedzialne za przeprowadzenie tego procesu powinny przyjąć perspektywę osób, których dane są przetwarzane i właśnie z tej perspektywy oceniać stopień dotkliwości w przypadku zmaterializowania się zagrożenia.

Nie jest konieczne, aby ryzyko się zmaterializowało (by faktycznie doszło do naruszenia praw lub wolności). Administrator, który ocenił wielkość potencjalnej szkody, które naruszenie może spowodować, biorąc pod uwagę kontekst i okoliczności całego zdarzenia, powinien ocenić prawdopodobieństwo jego zaistnienia.

Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma ryzyka naruszenia praw lub wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu.

Należy jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

Do każdej sytuacji należy jednak podchodzić z dużą rozwagą i ostrożnością. Zmiana choćby jednego z kluczowych elementów zdarzenia może bowiem doprowadzić do odmiennych wniosków, np. jeżeli w przypadku opisanym w przykładzie II po czasie okaże się, że naruszono bezpieczeństwo klucza lub, że oprogramowanie narażone jest na ataki, wówczas zmieni się ryzyko naruszenia praw i wolności osób, a w związku z tym może powstać obowiązek zgłoszenia naruszenia Prezesowi UODO. Podobna sytuacja może gdy w sytuacji zaistnienia naruszenia administrator nie będzie dysponował kopią zapasową danych osobowych. W takim przypadku będziemy mieli do czynienia z naruszeniem dostępności, stanowiącym ryzyko dla praw i wolności osób fizycznych i w związku z tym sytuacja ta będzie wymagała zgłoszenia naruszenia organowi nadzorczemu.

Uwaga

W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Ryzyko naruszenia praw lub wolności osób fizycznych powstaje, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np.:

  • dyskryminacja,
  • kradzież tożsamości lub oszustwo dotyczące tożsamości,
  • nadużycia finansowe,
  • straty finansowe,
  • nieuprawnione cofnięcie pseudonimizacji,
  • utrata poufności danych osobowych chronionych tajemnicą zawodową,
  • naruszenie dobrego imienia,
  • lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Jeżeli naruszenie dotyczy danych osobowych ujawniających:

  • pochodzenie etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane dotyczące zdrowia,
  • dane dotyczące życia seksualnego,

należy uznać, że występuje duże prawdopodobieństwo takiej szkody. Niemniej jednak każde z takich zdarzeń należy rozpatrywać indywidualnie.

Praktyka organu nadzorczego

Według części administratorów zgłaszających naruszenia Prezesowi UODO, wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą nie występuje, np. w przypadku zagubienia bądź wręczenia niewłaściwej osobie dokumentacji zawierającej imię i nazwisko oraz nr PESEL. W większości takich sytuacji organ nadzorczy uznaje jednak, że tego typu naruszenie powoduje takie wysokie ryzyko. W takich przypadkach dane mogą być wykorzystane w sposób nieuprawniony np. w celu:

  • uzyskania przez osoby trzecie kredytów w instytucjach pozabankowych, na szkodę osoby, której dane dotyczą;
  • uzyskania dostępu do danych o stanie zdrowia osoby, której dane dotyczą w przypadku przełamania zabezpieczeń do systemu świadczeń opieki zdrowotnej lub korzystania ze świadczeń opieki zdrowotnej przysługujących tej osobie;
  • korzystania z praw obywatelskich osoby, której dane naruszono, np. wykorzystania danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego;
  • zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
  • wyłudzenia ubezpieczenia lub środków z ubezpieczenia;
  • zawarcia umów cywilno-prawnych, np. najmu nieruchomości;
  • posłużenia się fałszywymi danymi, np. przy otrzymywaniu mandatu.

Jak wskazuje Grupa Robocza Art. 29 w swoich wytycznych, to, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Nie budzi więc żadnych wątpliwości, że np. naruszenie poufności danych będące wynikiem kradzieży dokumentów wiąże się z wysokim ryzykiem dla osób, których dane dotyczą. W każdym przypadku, rozpatrując zgłoszone naruszenie, organ nadzorczy przyjmuje perspektywę osób, których dane dotyczą i właśnie z tej perspektywy ocenia stopień dotkliwości w przypadku zmaterializowania się zagrożenia. W ocenie Prezesa UODO, sytuacja, w której wspomniana w przykładzie korespondencja (zawierająca przynajmniej takie kategorie danych, jak imię, nazwisko i numer PESEL) jest dostarczana osobie znanej bądź nieznanej administratorowi, co do zasady wiąże się z wysokim ryzykiem dla osób, których dane dotyczą. Można przyjąć inne prawdopodobieństwo w sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi (np. innemu klientowi administratora, który poinformował o pomyłce bądź oświadczył, że nie wykorzystał przekazanych omyłkowo informacji do celów prywatnych i/lub niezgodnych z prawem), nie daje to jednak żadnej gwarancji, że intencje takiej osoby obecnie bądź w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące.

Jednym z największych zagrożeń nieuprawnionego wykorzystywania numeru PESEL wraz z imieniem i nazwiskiem jest możliwość łatwego uzyskania dowodu kolekcjonerskiego. Dowód taki trudno na pierwszy rzut oka odróżnić od dowodu będącego autentycznym dokumentem tożsamości i umożliwia on szybkie wyrządzenie szkód i krzywd osobie, której dane dotyczą. Dowód kolekcjonerski może zostać wykorzystany np. do przejęcia karty SIM, co z kolei może poskutkować uzyskaniem dostępu do konta bankowego bądź innych usług powiązanych z numerem (poczta e-mail, serwisy społecznościowe – odzyskiwanie haseł do kont bardzo często opiera się na kodach/hasłach przesyłanych na numer telefonu komórkowego). Za pomocą dowodu kolekcjonerskiego można wyłudzić kredyt bądź sprzedać czyjąś nieruchomość.

Mając świadomość zagrożeń, jakie niesie ze sobą posługiwanie się numerem PESEL wraz z imieniem i nazwiskiem, oraz w związku z tym, że art. 87 RODO upoważnia państwa członkowskie do określenia szczególnych warunków przetwarzania krajowego numeru identyfikacyjnego, jakim w Polsce jest numer PESEL, Prezes UODO podejmuje działania mające na celu ograniczenie dostępu do nr PESEL np. osób pełniących funkcje w organach osób prawnych ujawnionych w rejestrach publicznych (KRS).

Podejście oparte na takiej ocenie należy więc odzwierciedlać w przyjmowanej przez administratora metodologii oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Jakie naruszenia należy wpisywać do wewnętrznej ewidencji?

Art. 33 ust. 5 RODO nakłada na administratorów obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, czyli prowadzenia wewnętrznej ewidencji naruszeń. Użyte w ww. artykule sformułowanie „wszelkich naruszeń” oznacza, że ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. 4 pkt 12 RODO. W ewidencji powinny zatem znaleźć się zarówno naruszenia ochrony danych osobowych podlegające obowiązkowi notyfikacyjnemu Prezesowi UODO, jak i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na to,że mało prawdopodobne jest, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe. Ewidencja powinna obejmować ponadto skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora.

Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art.24 RODO. Jak wskazuje art. 33 ust. 5 (zdanie 2) RODO organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na weryfikowanie przestrzegania RODO w zakresie tych obowiązków.

Grupa Robocza Art. 29 podkreśla również, że w przypadku podjęcia decyzji o niezgłoszeniu naruszenia, wskazane jest udokumentowanie takiego faktu w ewidencji wraz z podaniem przyczyny, dla której administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne.

Jeżeli chodzi o sposób prowadzenia ewidencji, Grupa Robocza Art. 29 podkreśla, że administrator może zdecydować o dokumentowaniu naruszeń w rejestrze czynności przetwarzania prowadzonym zgodnie z art. 30 RODO. Nie ma wymogu prowadzenia osobnego rejestru naruszeń, jeżeli informacje dotyczące naruszenia można łatwo zidentyfikować i przedłożyć na żądanie.

Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.

Kiedy i w jakim celu trzeba zawiadamiać o naruszeniu osoby, których dane dotyczą?

Zgodnie z art. 34 pkt 1 RODO „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.

Do takich przypadków należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się, czyli faktycznie doszło do naruszenia praw lub wolności osoby fizycznej.

RODO wymaga, aby osoby fizyczne zostały zawiadomione o naruszeniu ich danych „bez zbędnej zwłoki”. Oznacza to, że administrator powinien zrealizować ów obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy. Należy przyjąć, że im poważniejsze jest ryzyko naruszenia praw lub wolności podmiotu danych, tym szybciej powinno nastąpić zawiadomienie, jak wskazuje motyw 86 RODO.

Jedynie w pewnych okolicznościach, gdy jest to uzasadnione, oraz zgodnie z zaleceniami organów ścigania administrator może opóźnić wysłanie zawiadomienia o naruszeniu do osób fizycznych, na które wywiera ono wpływ, do momentu, w którym takie zawiadomienie nie zaszkodzi takim postępowaniom. Sytuacja taka jest wprost przewidziana w art. 45 ust. 6 ustawy z 14 grudnia o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Jaki jest cel zawiadomienia?

Poinformowanie na czas osób fizycznych o zaistniałym naruszeniu ma na celu umożliwienie im podjęcia niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia.

Zgodnie z zaleceniami Grupy Roboczej Art. 29 dotyczącymi zgłaszania naruszeń, administratorzy powinni wybierać metody pozwalające zapewnić jak najszybszą i jak największą szansę właściwego przekazania informacji o naruszeniu wszystkim osobom fizycznym, na które to naruszenie wywiera wpływ. W związku z powyższym administrator nie może zwlekać z zawiadomieniem osób, zwłaszcza kiedy żąda tego od niego organ nadzorczy.

Kiedy można zrezygnować z zawiadomienia?

W art. 34 ust. 3 RODO określono trzy sytuacje, w których nie ma konieczności zawiadomienia osób fizycznych w przypadku wystąpienia naruszenia.

1.Administrator zastosował przed wystąpieniem naruszenia odpowiednie techniczne i organizacyjne środki w celu ochrony danych osobowych, w szczególności środki uniemożliwiające odczyt danych osobom, które nie są uprawnione do dostępu do tych danych.

Przykład

Dane zabezpieczono za pomocą najnowocześniejszego szyfrowania lub tokenizacji.

2.Natychmiast po wystąpieniu naruszenia administrator podjął działania w celu wyeliminowania prawdopodobieństwa powstania wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej.

Przykład I

Administrator natychmiast zidentyfikował osobę fizyczną, która uzyskała dostęp do danych osobowych, i podjął wobec niej działania, zanim mogła ona w jakikolwiek sposób wykorzystać te dane. Mimo to należy odpowiednio uwzględnić możliwe skutki każdego naruszenia poufności, również w tym wypadku biorąc pod uwagę charakter przedmiotowych danych.

Przykład II

Administrator zorientował się, że przesyłka zawierająca dane osobowe została zaadresowana na niewłaściwy adres i skontaktował się operatorem pocztowym, który nie dopuścił do dostarczenia jej wskazanemu początkowo adresatowi.

3.Skontaktowanie się z danymi osobami fizycznymi wymagałoby niewspółmiernie dużego wysiłku.

Przykład

Dokumentacja administratora uległa zalaniu, a dokumenty zawierające dane osobowe przechowywano tylko w formie papierowej. W takim przypadku administrator musi wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby fizyczne zostaną poinformowane o naruszeniu w równie skuteczny sposób. Jeżeli wykonanie tego działania wymagałoby niewspółmiernie dużego wysiłku, można również uzgodnić, że informacje na temat naruszenia będą dostępne na żądanie, co może okazać się przydatne dla osób, na które naruszenie mogło wywrzeć wpływ, lecz z którymi administrator nie mógł się w inny sposób skontaktować.

Jakie informacje należy przekazać osobom, których dane dotyczą w związku z naruszeniem?

Zgodnie z art. 34 ust. 2 RODO, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator, bez zbędnej zwłoki, jasnym i prostym językiem zawiadamia osoby, których naruszenie dotyczy. Zawiadomienie takie powinno zawierać wymagane przez przepisy elementy, wskazane poniżej:

  1. charakter naruszenia ochrony danych osobowych,
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  3. opis możliwych konsekwencji naruszenia ochrony danych osobowych;
  4. opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym w stosownych przypadkach – środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zawiadomienie powinno być napisane przejrzystym, łatwo zrozumiałym językiem zgodnie z art. 12 ust. 1 RODO. Najlepiej zatem używać zwrotów bezpośrednich, np. „Podajemy informacje o krokach, które może Pani podjąć w związku z incydentem”; Następstwem naruszenia ochrony Pana danych osobowych może być: założenie na Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej)”

Najważniejsze, aby osoby, których dane dotyczą, zrozumiały charakter naruszenia i wiedziały, co muszą zrobić, aby się zabezpieczyć.Dlatego komunikat kierowany do osoby musi być jasny i zrozumiały oraz zawierać spójne i logiczne zalecenia dostosowane do konkretnej sytuacji. Taki, aby osoby, do których kierowane jest zawiadomienie, mogły zrozumieć, co się stało z ich danymi osobowymi, dlaczego oraz co to dla nich oznacza. Informacje, które tych cech nie posiadają, są wewnętrznie sprzeczne, nie spełniają tej funkcji, a tym samym nie pozwalają osobom na właściwe zastosowanie się do wskazówek administratora.

Administrator powinien mieć na względzie grupę odbiorców, do której zawiadomienie będzie skierowane i dostosować do niej jego treść. Tytułem przykładu: jeżeli określony podmiot posiada klientów w zbliżonym wieku i poziomie wykształcenia to język komunikatu powinien uwzględniać te okoliczności. Jeżeli natomiast adresaci są zróżnicowani lub administrator nie posiada wystarczających danych dla dokładniejszego określenia grupy odbiorców zawiadomienia, to w takim przypadku punktem odniesienia powinien być przeciętny adresat takiej wiadomości. Celem jest przekazanie odbiorcy komunikatu łatwego do zrozumienia. Ponadto komunikat nie powinien być nadmiernie rozbudowany, gdyż długa informacja z reguły utrudnia zrozumienie istoty przekazu.

By zapewnić przejrzystość zawiadomienia zalecane jest uwzględnienie oddzielenia opisu i charakteru naruszenia od możliwych konsekwencji, środków zaradczych czy danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.