top of page
Szukaj

Sposób postępowania w przypadku naruszenia ochrony danych osobowych

Definicja naruszenia ochrony danych osobowych, obowiązki administratora danych, jak oceniać naruszenie, obsługa naruszenia i konsekwencje jego niezgłoszenia.

Sposób postępowania w przypadku naruszenia ochrony danych osobowych
Niniejszy tekst ma na celu wskazanie sposobu postępowania w przypadku stwierdzenia zaistnienia naruszenia lub zdarzenia, które być może jest naruszeniem. Istotną kwestią jest odnotowywanie wszelkich zdarzeń, które mogłyby prowadzić do utraty przez dane osobowe poufności, dostępności lub integralności. Nawet jeżeli w ostateczności okaże się, że zasygnalizowane zdarzenie nie wymaga wszczęcia odpowiedniej procedury, to o wiele bardziej korzystnym jest rozważenie każdego zdarzenia pod kątem potencjalnego naruszenia, niż zignorowanie faktycznie zaistniałego.

Naruszenie ochrony danych osobowych – definicja


Zgodnie z art. 4 pkt 12 RODO naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zatem pod pojęciem naruszenia będziemy rozumieli sytuację, w której będziemy zobowiązani do zgłoszenia jej do organu nadzorczego, czyli takie zdarzenie, które może skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Oznacza to, że po zaistnieniu zdarzenia, polegającego np. na przesłaniu danych osobowych do niewłaściwego odbiorcy, musimy dokonać jego oceny. Dokonując oceny musimy uwzględnić m.in.:

  • kategorie przesyłanych danych,

  • ilość odbiorców nieuprawnionych do podjęcia określonych informacji,

  • ilość rekordów, które zostały przesłane,

  • czy przesyłane dane były wcześniej dostępne publicznie,

  • prawdopodobieństwo identyfikacji danej osoby,

  • możliwość odzyskania danych,

  • zastosowane środki techniczne uniemożliwiające wgląd w dane (szyfrowanie).


Na tym etapie jako narzędzie pomocnicze można wykorzystać jedną z metodyk oceny zdarzenia, która pozwoli nam na uzyskanie wyniku liczbowego wskazującego na wagę naruszenia, od której zależeć będzie czy dane zdarzenie kwalifikuje się do zgłoszenia go.

Do najczęściej występujących typów naruszeń można zaliczyć:

  • udostępnianie danych osobowych nieuprawnionym odbiorcom w związku z wysyłką korespondencji (zarówno drogą tradycyjną, jak i elektroniczną);

  • zgubienie lub kradzież niezabezpieczonych nośników informacji zawierających dane osobowe (pendrive’y, smartfony, laptopy);

  • zgubienie dokumentów zawierających dane osobowe;

  • utratę dostępu do danych osobowych (ransomware, ataki hakerskie, działania niezamierzone);

  • nieuprawnione upublicznienie wizerunków osób, które nie wyraziły na to zgody.

 

Obowiązki administratora danych


W zależności od sytuacji (naruszenia) administrator danych zobowiązany będzie zobowiązany do wypełnienia konkretnych obowiązków przewidzianych w RODO.

Niezależnie od rodzaju naruszenia (jego „wagi”, skutków dla osób dotkniętych naruszeniem itd.) administrator danych zobowiązany jest do wewnętrznego dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działaniach zaradczych. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania przez administratora danych przepisów RODO.


W zależności od sytuacji po stronie administratora danych mogą pojawić się jeszcze dwa obowiązki


  • zawiadomienie o naruszeniu organu nadzorczego;

  • powiadomienie o naruszeniu osób, których dane dotyczyły.

 

Obsługa naruszenia


Jeżeli po przeprowadzonej ocenie zdarzenia uznaliśmy, że zachodzi wysokie ryzyko naruszenia praw lub wolności osób, których danych dotyczy naruszenie, w pierwszej kolejności musimy przeprowadzić działania wyjaśniające, które pozwolą nam ustalić szczegóły niezbędne do zgłoszenia. W tym celu sporządzamy raport, który powinien zawierać:


  • określenie daty stwierdzenia naruszenia (najlepiej jak najdokładniej, gdyż czas na złożenie zgłoszenia wynosi 72 godziny od momentu stwierdzenia, że doszło do naruszenia)

  • określenie osoby, która dostrzegła lub zgłosiła nam naruszenie,

  • lokalizację zdarzenia,

  • rodzaj naruszenia oraz towarzyszące mu okoliczności,

  • wskazanie możliwych konsekwencji do osób, których danych dotyczyło naruszenie,

  • określenie przyczyn wystąpienia naruszenia,

  • opis postępowania wyjaśniającego,

  • wskazanie podjętych działań naprawczych.


Powyższe elementy stanowią wyczerpujący opis, który będzie bardzo przydatny podczas kolejnego kroku, czyli zgłoszenia naruszenia do UODO. Zanim jednak to nastąpi, warto skupić się na jeszcze jednej kwestii. Jest nią powiadomienie osób, których dotyczyło naruszenie, o jego zaistnieniu. Jest to o tyle istotne, że po pierwsze osoba ta powinna mieć szansę jak najszybciej zabezpieczyć się przed negatywnymi skutkami naruszenia, po drugie, jest to krok, który dość często jest pomijany w trakcie zgłaszania, a który powoduje, że odnosząc się do zgłoszenia, urzędnik reprezentujący UODO, wskaże brak powiadomienia osoby jako nieprawidłowość. Powiadomienie osoby powinno zatem nastąpić albo równolegle ze zgłoszeniem albo tuż przed nim. Administrator zobligowany jest przekazać osobie, której danych dotyczyło naruszenie, następujące informacje:


  • charakter naruszenia ochrony danych osobowych,

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

  • możliwe konsekwencje naruszenia ochrony danych osobowych;

  • środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

 

Po podjęciu wszystkich wymienionych kroków możemy przejść do właściwego zgłoszenia. Dokonać go można zarówno drogą elektroniczną jak i tradycyjną. Na stronie internetowej UODO (https://uodo.gov.pl/pl/492/2278) wskazano, że zgłoszenia dokonuje się:


  • korzystając z dedykowanego formularza,

  • wysyłając wypełniony formularz na skrzynkę podawczą UODO

  • korzystając z pisma ogólnego,

  • przesyłając zgłoszenie drogą pocztową,


Zgłoszenie zawiera, zgodnie z art. 33 ust. 2 RODO:


  • opis charakteru naruszenia,

  • kategorie danych oraz liczbę osób, których naruszenie dotyczyło,

  • liczbę rekordów danych, których naruszenie dotyczyło,

  • imię i nazwisko oraz dane kontaktowe IOD lub innego punktu kontaktowego,

  • opis możliwych konsekwencji naruszenia,

  • opis zastosowanych lub proponowanych środków minimalizujących negatywne skutki naruszenia.


Jak zatem widać, wszystkie te informacje możemy przepisać z wcześniej sporządzonego raportu. Raport jest jednym z elementów dokumentowania działań podjętych przez administratora, które mogą być weryfikowane przez organ nadzorczy w ramach sprawdzenia przestrzegania art. 33 RODO. Każdy raport powinien być ewidencjonowany.


Możliwe opcje postępowania w przypadku wystąpienia naruszenia


Należy pamiętać o tym, że to administrator danych decyduje, czy dane naruszenie ochrony danych osobowych zgłosi do Prezesa Urzędu Ochrony Danych Osobowych i czy powiadomi o naruszeniu osoby, których dane naruszono. Powołany inspektor ochrony danych może mu jedynie zasugerować zasadność podjęcia konkretnych działań na bazie swojej wiedzy i doświadczenia. Decyzja leży zawsze po stronie administratora danych i to on ponosi za nią odpowiedzialność.

Zgłaszając naruszenie administrator danych sygnalizuje Prezesowi Urzędu Ochrony Danych Osobowych wystąpienie w swojej organizacji pewnych nieprawidłowości. W związku z tym organ nadzorczy może wystąpić do administratora danych o dodatkowe wyjaśnienia względem przekazanych w zawiadomieniu o naruszeniu informacji, np. w zakresie przeprowadzanych w organizacji szkoleń z zakresu ochrony danych osobowych (odbytych, ale i planowanych w związku z zaistniałym naruszeniem), funkcjonujących procedur czy też dodatkowych działań podjętych na rzecz minimalizacji negatywnych skutków naruszenia. W razie braku odpowiedzi lub niezadawalających odpowiedzi, może też wszcząć odpowiednie postępowanie i kontrolę w organizacji, co w najgorszym wypadku może zakończyć się nałożeniem kary administracyjnej na administratora danych osobowych (do 20 000 000 EUR lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).

 

Jak oceniać naruszenie ochrony danych osobowych?


Niestety RODO nie daje administratorom danych jasnych i precyzyjnych wytycznych, jak rozumieć prawa i wolności osób fizycznych (odsyła jedynie w motywie 75 do potencjalnych skutków naruszenia dla osób, takich jak dyskryminacja, kradzież tożsamości lub szkoda materialna/niematerialna) ani jak szczegółowo oceniać ryzyko naruszenia wspomnianych praw lub wolności. W takiej sytuacji administratorzy danych muszą posiłkować się dotychczas wydanymi decyzjami Prezesa Urzędu Ochrony Danych Osobowych i/lub decyzjami innych europejskich organów nadzorczych. Pomocna w tym zakresie może okazać się metodyka oceny wagi naruszeń ochrony danych osobowych, zaproponowana przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), która jest uznawana przez europejskie organy nadzorcze w zakresie ochrony danych osobowych, w tym przez Prezesa Urzędu Ochrony Danych Osobowych, jako metoda posiłkowa przy ocenie naruszeń ochrony danych osobowych.

 

Konsekwencje niezgłoszenia wystąpienia naruszenia ochrony danych osobowych


Może zdarzyć się sytuacja, w której administrator danych po przeprowadzonej analizie uzna, że dane naruszenie ochrony danych osobowych nie kwalifikuje się do zgłoszenia do organu nadzorczego (mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych) lub też nie zgłosi go z pełną świadomością, gdyż boi się ewentualnych konsekwencji. W takiej sytuacji należy pamiętać, że o naruszeniu ochrony danych osobowych organ nadzorczy może dowiedzieć się też od osób, które zostały dotknięte naruszeniem lub z innych źródeł (np. z mediów czy też Policji). W takiej sytuacji organ nadzorczy może nałożyć na administratora danych karę administracyjną za niezgłoszenie naruszenia ochrony danych osobowych jeżeli uzna, że takie wystąpiło i kwalifikowało się ono do zgłoszenia organowi nadzorczemu.

 

Podsumowanie


Przypominamy, by nie lekceważyć naruszeń ochrony danych osobowych w organizacji, gdyż mogą one doprowadzić do bardzo negatywnych skutków dla osób fizycznych. Wartością nadrzędną, wskazaną wprost w tytule RODO jako aktu prawnego, jest ochrona osób fizycznych w związku z przetwarzaniem ich danych osobowych. Pamiętajmy, że bagatelizowanie kwestii związanych z naruszeniami ochrony danych osobowych w organizacji może doprowadzić do nałożenia na nią dotkliwych kar administracyjnych, a także odpowiedzialności cywilnej z uwagi na to, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.



Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych oraz innych ważnych tematach dla oświaty. Jeżeli masz pytanie lub ciekawe tematy na POSTY, wyślij do nas taką informację - opublikujemy odpowiedź na BLOGU.



Dodatkowe informacje:

 
 

Chcesz otrzymywać bezpłatne aktualności - Zarejestruj się

bottom of page