Mimo upływu niemal roku od momentu wejścia w życie rozporządzenia RODO, nowe przepisy o ochronie danych osobowych stanowią wciąż gorący temat, a ich poprawna interpretacja budzi wiele wątpliwości. RODO nakłada na wszystkie podmioty przetwarzające dane osobowe obowiązek szczególnej dbałości i zabezpieczenia danych, a także wskazuje działania, które administrator danych musi podjąć w przypadku, w którym dojdzie do naruszenia zasad ich ochrony.Czy każdy incydent bezpieczeństwa podlega zgłoszeniu do organów kontrolnych
Czy każdy incydent bezpieczeństwa stanowi naruszenie danych?
Każdy przedsiębiorca musi dokładnie przeanalizować, jakie dane osobowe, w jakim celu i w jakim zakresie przetwarza. W zależności od wyników tej analizy konieczne jest wdrożenie takich zabezpieczeń, jakie będą niezbędne z uwagi na potrzebę zapewnienia przetwarzanym i przechowywanym danym pełnego bezpieczeństwa. Środki bezpieczeństwa w zależności od rodzaju przedsiębiorstwa będą się diametralnie różnić. Niestety, żadne, nawet najbardziej wymyślne środki nie są w stanie zagwarantować, że nie dojdzie do naruszenia danych osobowych. Przedsiębiorca powinien być przygotowany na taką sytuację, przepisy RODO nakładają bowiem na niego określone obowiązki związane z koniecznością zgłaszania tzw. incydentów bezpieczeństwa (tzw. data breach notification).
„Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych".
Z definicji przyjętej przez przepisy RODO wynika, że incydentem bezpieczeństwa jest każde zdarzenie, którego skutkiem jest:
-
zniszczenie;
-
utrata;
-
modyfikacja;
-
nieuprawnione ujawnienie;
-
nieuprawniony dostęp innego podmiotu do danych osobowych, które przedsiębiorca przesyła, przechowuje lub w inny sposób przetwarza.
Nie każdy błąd przedsiębiorcy związany z wdrożeniem i stosowaniem przepisów RODO będzie stanowił incydent bezpieczeństwa podlegający obowiązkowi zgłoszenia. Przykładowo, sformułowanie zgody na przetwarzanie danych w sposób sprzeczny z wytycznymi podanymi przez RODO albo błędne poinformowanie osoby, której dane przedsiębiorca przetwarza, o braku możliwości usunięcia danych nie będą stanowiły incydentu bezpieczeństwa.
Zdarzenia, które stanowią incydenty bezpieczeństwa podlegające zgłoszeniu, winny być oceniane z punktu widzenia ich skutków. Jeśli – niezależnie od jego rodzaju (np. włamania do systemu informatycznego czy kradzieży laptopa zawierającego dane klientów przedsiębiorcy) – zdarzenie skutkuje jednym z rezultatów podanych powyżej, wówczas administrator danych ma obowiązek podjęcia stosownej reakcji. Z tego względu każdy przedsiębiorca winien przygotować się na potencjalne naruszenie ochrony danych osobowych i przygotować model postępowania w przypadku takiego zdarzenia.
Administrator danych musi zawiadomić właściciela danych
Obowiązki administratora danych związane z incydentami bezpieczeństwa zostały precyzyjnie wskazane w przepisie art. 33 i 34 rozporządzenia RODO. Musi on powiadomić o ich naruszeniu dwa podmioty – osobę, której dane dotyczą oraz organ nadzorczy.
W razie naruszenia ochrony danych osobowych administrator danych ma dwa podstawowe obowiązki:
1. zawiadomienie osoby, której dane dotyczą,
2. zawiadomienie organu nadzorczego
- o zaistniałym incydencie bezpieczeństwa.
Obowiązek notyfikacji osoby, której dane dotyczą, o incydencie bezpieczeństwa nie ma charakteru bezwzględnego – przedsiębiorca musi powiadomić tę osobę tylko wówczas, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności. Przez „ryzyko naruszenia praw lub wolności” należy rozumieć wszystkie sytuacje, w których incydent bezpieczeństwa może nieść za sobą istotne negatywne skutki dla osoby, której dane zostały naruszone (np. popełnienie przestępstwa na jej szkodę, kradzież tożsamości, naruszenie dobrego imienia itd.).
Zawiadomienie jest konieczne przede wszystkim z uwagi na konieczność zabezpieczenia interesów osoby, której dane zostały wykradzione, lecz również z uwagi na konieczność wykazania zawiadomienia przed organem nadzorczym.
W razie naruszenia ochrony danych osobowych przedsiębiorca ma obowiązek powiadomienia osoby, której dane dotyczą, o zaistniałym zdarzeniu, jeśli incydent ten naraża właściciela danych na naruszenie jego praw lub wolności (np. popełnienie oszustwa na szkodę tej osoby przy wykorzystaniu skradzionych danych). Przedsiębiorca powinien uczynić to niezwłocznie, najlepiej zaraz po wykryciu naruszenia. Zawiadomienie musi zostać sformułowane prostym, czytelnym, zrozumiałym językiem.
Jednocześnie, administrator danych nie musi zawiadamiać osoby fizycznej o incydencie bezpieczeństwa, jeśli:
-
wdrożył uprzednio odpowiednie środki ochrony (środki techniczne i organizacyjne), które zostały zastosowane do danych osobowych, których dotyczy naruszenie (w szczególności szyfrowanie danych, które uniemożliwia dostęp osób nieuprawnionych albo inne środki np. pseudonimizację);
-
zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
-
zawiadomienie wymagałoby niewspółmiernie dużego wysiłku (np. z uwagi na rozmiar naruszenia i dużą liczbę potencjalnych poszkodowanych). W takim wypadku administrator danych ma obowiązek wydania publicznego komunikatu lub innego środka o podobnym zasięgu oddziaływania, za którego pomocą osoby zostaną poinformowane w skuteczny sposób.
Obowiązek zawiadomienia organu nadzorczego
Niezależnie od obowiązku zawiadomienia o incydencie bezpieczeństwa osoby, której dane dotyczą, administrator danych ma również obowiązek notyfikacji organu nadzorczemu. Procedura zgłaszania naruszeń została uregulowana w przepisie art. 33 rozporządzenia RODO. Organem nadzorczym, do którego winny być kierowane zawiadomienia, jest UODO – Urząd Ochrony Danych Osobowych.
W przypadku naruszenia ochrony danych osobowych administrator danych musi powiadomić UODO o zaistniałym incydencie niezwłocznie, maksymalnie w terminie 72 godzin liczonych od momentu stwierdzenia naruszenia.
Przedsiębiorca jest zwolniony z obowiązku zawiadomienia UODO tylko wówczas, gdy prawdopodobieństwo szkody dla osoby fizycznej (wspomniane powyżej „ryzyko naruszenia praw lub wolności”) jest bardzo niskie (przykładowo, gdy wykradzione dane były chronione poprzez zastosowanie pseudonimizacji).
W zgłoszeniu należy podać:
-
dokładny opis incydentu (w tym kategorię oraz przybliżoną liczbę osób, których dane zostały wykradzione wraz z kategorią i liczbą wpisów danych osobowych, których dotyczy naruszenie);
-
dane kontaktowe inspektora danych osobowych lub innego źródła informacji;
-
możliwe konsekwencje zdarzenia;
-
zastosowane lub proponowane środki ochrony, które pozwolą na zminimalizowanie ewentualnych negatywnych skutków naruszenia.
Jeśli administrator danych dokonuje zgłoszenia incydentu po upływie 72 godzin, winien również wskazać przyczynę opóźnienia.
Niezależnie od powyższych obowiązków przedsiębiorca jest również zobligowany do dokumentowania wszystkich naruszeń ochrony danych osobowych, ich okoliczności, skutków i podjętych w rezultacie działań – obowiązek ten dotyczy również tych incydentów, które z uwagi na wskazane powyżej przepisy nie podlegają zgłoszeniu.