Zgłoszenie naruszenia ochrony danych osobowych

6.11.2017r.

Zgłaszanie naruszeń w świetle nowych wytycznych Grupy Roboczej Art. 29

W dniu 03.10.2017 r. Grupa Robocza Art. 29 przyjęła projekt nowych wytycznych dot. obowiązku zgłoszenia naruszenia ochrony danych osobowych (obecnie można zgłaszać uwagi do przyjętych wytycznych więc ich ostateczny kształt może ulec zmianie). Grupa Robocza zauważa, że nowe obowiązki mogą przynieść wiele korzyści, np. organ nadzorczy może pomóc administratorowi zdecydować, czy koniecznym jest zawiadomienie osób fizycznych o fakcie naruszenia ich danych osobowych. Niezastosowanie się do obowiązujących regulacji będzie wiązało się z ryzykiem nałożenia na przedsiębiorcą wysokich kar pieniężnych.

Wymogi bezpieczeństwa

RODO wymaga, by poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych, dane osobowe przetwarzane były w sposób, który zapewni im odpowiedni poziom ochrony, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Przez naruszenie ochrony danych osobowych rozumiemy naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Można wyróżnić kilka zasadniczych typów naruszeń – naruszenie poufności, dostępności, integralności lub odporności. Mogą one występować oczywiście w najróżniejszych konfiguracjach. Najwięcej problemów praktycznych może sprawiać naruszenie dostępności danych osobowych. Przykładem może być tutaj usunięcie danych lub zgubienie klucza w przypadku szyfrowania danych. Niewątpliwie jest to naruszenie ochrony danych osobowych i musi zostać udokumentowane, ale w zależności od konkretnego przypadku (okoliczności, czy naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych), może wymagać lub nie, zgłoszenia naruszenia do organu nadzorczego. Przykładowo, gdy dane medyczne pacjenta szpitala są czasowo niedostępne, powstanie obowiązek zgłoszenia organowi nadzorczemu.

Obowiązek zgłoszenia naruszenia organowi nadzorczemu

Przyjrzyjmy się teraz bliżej regulacji art. 33 RODO i problemom, które są z nią związane. Zgodnie z RODO administrator danych ma obowiązek zgłaszania do organu nadzorczego przypadków naruszenia ochrony danych osobowych w ciągu 72 godzin od stwierdzenia naruszenia. Powstaje zatem pytanie kiedy administrator danych „stwierdza naruszenie”? Grupa Robocza jest zdania, że fakt taki następuje, gdy administrator ma umiarkowaną pewność, że nastąpiło naruszenie bezpieczeństwa skutkujące narażeniem na szwank danych osobowych. Po poinformowaniu administratora o incydencie, może on wszcząć krótkie dochodzenie, które ma na celu ustalenie, czy rzeczywiście doszło do naruszenia. Jednocześnie administrator powinien oszacować ryzyko naruszenia praw lub wolności osób fizycznych, a także działania, które muszą zostać podjęte w związku z naruszeniem. Z tego powodu, administrator powinien mieć już wcześniej wdrożone wewnętrzne procedury, które pomogą mu zauważyć naruszenie i przeciwdziałać jego skutkom. Warto wziąć pod uwagę poniższe kroki w konstruowaniu odpowiednich procedur, a także reagowaniu na naruszenia:

  • skierowanie wszelkich informacji o potencjalnych naruszeniach do osoby odpowiedzialnej za stwierdzenie naruszenia i szacowanie ryzyka;
  • szacowanie ryzyka dla osób fizycznych;
  • jeśli jest to wymagane – zgłoszenie do organu nadzorczego i, potencjalnie, zawiadomienie osób fizycznych;
  • w tym samym czasie – przeciwdziałanie i powstrzymywanie naruszenia.

Gdy precyzyjne informacje nie są dostępne, nie powinno stanowić to przeszkody dla terminowego zgłoszenia naruszenia do organu nadzorczego. RODO pozwala podawać orientacyjne wartości, np. w przypadku liczby osób fizycznych, których dane zostały dotknięte naruszeniem. Istnieje możliwość zgłaszania informacji organowi nadzorczemu sukcesywnie, w miarę odkrywania prawdziwych rozmiarów i innych okoliczności dotyczących naruszenia. Warto także mieć na uwadze, że w przypadku powierzenia danych osobowych do przetwarzania podmiotom trzecim (np. outsourcing usług kadrowych), na procesorach ciąży obowiązek „niezwłocznego” poinformowania administratora o przypadku naruszenia bezpieczeństwa danych przy ich przetwarzaniu przez procesora. W opinii Grupy Roboczej administrator jest świadomy naruszenia już wtedy, gdy procesor stwierdzi naruszenie – od tego momentu biegnie termin 72 godzin na zgłoszenie naruszenia.

Kiedy zgłoszenie do organu nadzorczego nie będzie konieczne?

Zgodnie z art. 33 nie wymagają zgłoszenia naruszenia, które cechuje małe prawdopodobieństwo, że naruszenie skutkować może ryzykiem naruszenia praw lub wolności osób fizycznych. Dla przykładu, dane są w danej chwili publicznie dostępne i ich ujawnienie nie spowoduje ryzyka dla danej osoby. Kolejną sytuacją, która nie będzie wymagała zgłoszenia jest, np. zgubienie bezpiecznie zaszyfrowanego urządzenia mobilnego, wykorzystywanego przez administratora i jego personel. Zakładając, że klucz jest w bezpiecznym posiadaniu administratora i nie jest to jedyna kopia danych osobowych, dane osobowe będą niedostępne. Stąd, istnieje małe ryzyko, aby takie naruszenie skutkowało naruszeniem praw i wolności osób. Gdy jednak okaże się później, że klucz został złamany lub uzyskany w inny sposób albo algorytm jest podatny na ataki, zmieni się ryzyko dla osób fizycznych i możliwe, że zgłoszenie stanie się obowiązkowe.

Zawiadomienie osób fizycznych o naruszeniu danych osobowych

Administratorzy powinni pamiętać, że zgłoszenie do organu nadzorczego jest obowiązkowe, gdy naruszenie może skutkować ryzykiem dla osób fizycznych. Natomiast, gdy naruszenie może powodować wysokie ryzyko dla osób fizycznych, istnieje dodatkowo obowiązek zawiadomienia tych osób o naruszeniu. Nie wszystkie zatem naruszenia będą musiały być raportowane osobom fizycznym, lecz tylko takie, które mogą powodować wysokie ryzyko. Głównym celem zawiadomienia jest uświadomienie osobom fizycznym, że ochrona ich danych osobowych została naruszona i poinformowanie ich o krokach, które powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami. Administrator powinien wybrać metodę kontaktu, która zmaksymalizuje szanse właściwego zawiadomienia osoby fizycznej. Także podawanie zawiadomienia w języku zrozumiałym, ojczystym dla osoby pomoże zapewnić, że zawiadomienie zostanie właściwie przez nią zrozumiane.

Wysokim ryzykiem naruszenia praw i wolności może być sytuacja, gdy takie naruszenie prowadzi, np. do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Gdy naruszenie dotyczy danych wrażliwych, możemy niejako zakładać, że jest prawdopodobnym, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Gdy szacujemy ryzyko, powinniśmy wziąć przede wszystkim pod uwagę prawdopodobieństwo wystąpienia i powagę (ciężar) ryzyka, a także potencjalny negatywny wpływ na prawa i wolności osób fizycznych. Pomogą nam w tym następujące kryteria: typ naruszenia; delikatna natura i ilość danych; łatwość identyfikacji osób fizycznych na podstawie danych; powaga konsekwencji dla osób dotkniętych naruszeniem; cechy szczególne osoby fizycznej, której dane zostały naruszone (np. dziecko); liczba dotkniętych osób fizycznych; specjalna sytuacja administratora danych (np. podmiot medyczny). Gdy administrator ma wątpliwości, lepiej by był nadmiernie ostrożny niż zbytnio lekkomyślny.

Obowiązek prowadzenia dokumentacji

Niezależnie, czy administrator posiada obowiązek zgłoszenia naruszenia organowi nadzorczemu, czy zawiadomienia osoby fizycznej, powinien on prowadzić dokumentację  każdego zaistniałego naruszenia. Dokumentacja taka powinna zawierać szczegóły dotyczące naruszenia (powody, przebieg, naruszone dane osobowe), efekty i konsekwencje naruszenia, działania podjęte przez administratora, by zaradzić sytuacji wraz z ich uzasadnieniem, a także, gdy nie zgłoszono naruszenia organowi nadzorczemu – uzasadnienie tej decyzji wraz z przytoczeniem powodów, dlaczego administrator uważa, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności osób fizycznych.

 

 

Jarosław Kamiński

 

 

 

Marta Wiśniewska