RODO nakłada na administratorów danych konkretne obowiązki w sytuacji wystąpienia naruszenia ochrony danych osobowych. Poznaj zagadnienie naruszenia, niezbędne definicje, obowiązki administratora, ryzyko wystąpienia oraz kwestie odpowiedzialności.
Naruszenie ochrony danych osobowych – definicja
Zgodnie z art. 4 pkt 12 RODO naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Obowiązki administratora danych
W zależności od sytuacji (naruszenia) administrator danych zobowiązany będzie do wypełnienia konkretnych obowiązków przewidzianych w RODO.
Niezależnie od rodzaju naruszenia (jego „wagi”, skutków dla osób dotkniętych naruszeniem itd.) administrator danych zobowiązany jest do wewnętrznego dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działaniach zaradczych. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania przez administratora danych przepisów RODO.
W zależności od sytuacji po stronie administratora danych mogą pojawić się jeszcze dwa obowiązki – zawiadomienia o naruszeniu organu nadzorczego i powiadomieniu o naruszeniu osób, których dane naruszono.
Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
Zgodnie z art. 33 RODO administrator danych zobowiązany jest zgłosić naruszenie organowi nadzorczemu (Prezes Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator danych zgłasza naruszenie bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Konstrukcja art. 33 RODO oznacza dla administratorów danych to, że nie każde naruszenie ochrony danych osobowych kwalifikować się będzie do zgłoszenia organowi nadzorczemu – może wystąpić taka sytuacja, w której dane naruszenie będzie wiązać się z „małym” ryzykiem naruszenia praw lub wolności dla osób fizycznych.
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Drugim obowiązkiem, jaki może pojawić się przy naruszeniu, jest obowiązek powiadomienia osób, których dane naruszono. Mówi o tym art. 34 RODO i wskazuje, że obowiązek powiadamiania osób pojawia się w sytuacji, w której naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Zawiadomienie osoby o naruszeniu ochrony jej danych osobowych ma służyć temu, by zapewnić jej odpowiednie informacje w zakresie naruszenia dotyczącego jej danych osobowych. Opis charakteru naruszenia jest istotnym elementem informacji przekazywanej osobie, której dane dotyczą. Zgodnie z art. 34 RODO informacja przekazywana osobie musi być przekazana jasnym i prostym językiem, aby osoba, do której kierowany jest przekaz, mogła zrozumieć, co stało się z jej danymi osobowymi, z jakiego powodu i co to może dla niej oznaczać.
Administrator zobligowany jest przekazać następujące informacje:
charakter naruszenia ochrony danych osobowych,
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
możliwe konsekwencje naruszenia ochrony danych osobowych;
środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Jak oceniać naruszenie ochrony danych osobowych?
Niestety RODO nie daje administratorom danych jasnych i precyzyjnych wytycznych, jak rozumieć prawa i wolności osób fizycznych (odsyła jedynie w motywie 75 do potencjalnych skutków naruszenia dla osób, takich jak dyskryminacja, kradzież tożsamości lub szkoda materialna/niematerialna) ani jak szczegółowo oceniać ryzyko naruszenia wspomnianych praw lub wolności. W takiej sytuacji administratorzy danych muszą posiłkować się dotychczas wydanymi decyzjami Prezesa Urzędu Ochrony Danych Osobowych i/lub decyzjami innych europejskich organów nadzorczych. Pomocna w tym zakresie może okazać się metodyka oceny wagi naruszeń ochrony danych osobowych zaproponowana przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), która jest uznawana przez europejskie organy nadzorcze w zakresie ochrony danych osobowych, w tym przez Prezesa Urzędu Ochrony Danych Osobowych, jako metoda posiłkowa przy ocenie naruszeń ochrony danych osobowych.
Możliwe opcje postępowania w przypadku wystąpienia naruszenia
Należy pamiętać o tym, że to administrator danych decyduje, czy dane naruszenie ochrony danych osobowych zgłosi do Prezesa Urzędu Ochrony Danych Osobowych i czy powiadomi o naruszeniu osoby, których dane naruszono. Powołany inspektor ochrony danych może mu jedynie zasugerować zasadność podjęcia konkretnych działań na bazie swojej wiedzy i doświadczenia. Decyzja leży zawsze po stronie administratora danych i to on ponosi za nią odpowiedzialność.
Zgłaszając naruszenie administrator danych sygnalizuje Prezesowi Urzędu Ochrony Danych Osobowych wystąpienie w swojej organizacji pewnych nieprawidłowości. W związku z tym organ nadzorczy może wystąpić do administratora danych o dodatkowe wyjaśnienia względem przekazanych w zawiadomieniu o naruszeniu informacji, np. w zakresie przeprowadzanych w organizacji szkoleń z zakresu ochrony danych osobowych (odbytych, ale i planowanych w związku z zaistniałym naruszeniem), funkcjonujących procedur czy też dodatkowych działań podjętych na rzecz minimalizacji negatywnych skutków naruszenia. W razie braku odpowiedzi lub niezadawalających odpowiedzi może też wszcząć odpowiednie postępowanie i kontrolę w organizacji, co w najgorszym wypadku może zakończyć się nałożeniem kary administracyjnej na administratora danych osobowych (do 20 000 000 EUR lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).
Konsekwencje niezgłoszenia wystąpienia naruszenia ochrony danych osobowych
Może zdarzyć się sytuacja, w której administrator danych po przeprowadzonej analizie uzna, że dane naruszenie ochrony danych osobowych nie kwalifikuje się do zgłoszenia do organu nadzorczego (mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych) lub też nie zgłosi go z pełną świadomością, gdyż boi się ewentualnych konsekwencji. W takiej sytuacji należy pamiętać, że o naruszeniu ochrony danych osobowych organ nadzorczy może dowiedzieć się też od osób, które zostały dotknięte naruszeniem lub z innych źródeł (np. z mediów czy też Policji). W takiej sytuacji organ nadzorczy może nałożyć na administratora danych karę administracyjną za niezgłoszenie naruszenia ochrony danych osobowych, jeżeli uzna, że takie wystąpiło i kwalifikowało się ono do zgłoszenia organowi nadzorczemu.
Przypominamy, by nie lekceważyć naruszeń ochrony danych osobowych w organizacji, gdyż mogą one doprowadzić do bardzo negatywnych skutków dla osób fizycznych. Wartością nadrzędną, wskazaną wprost w tytule RODO jako aktu prawnego, jest ochrona osób fizycznych w związku z przetwarzaniem ich danych osobowych. Pamiętajmy, że bagatelizowanie kwestii związanych z naruszeniami ochrony danych osobowych w organizacji może doprowadzić do nałożenia na nią dotkliwych kar administracyjnych, a także odpowiedzialności cywilnej z uwagi na to, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Jeżeli potrzebują Państwo profesjonalnej pomocy w zakresie obsługi naruszeń ochrony danych osobowych, to zapraszamy do kontaktu.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.
Dodatkowe informacje: