Naruszenie przepisów o ochronie danych osobowych przytrafić się może w każdej organizacji, także w tej, która stosuje zaawansowane środki zabezpieczania danych. Nowe regulacje unijne wprowadzają zasady reagowania na incydenty bezpieczeństwa, które dotąd nie występowały w naszym porządku prawnym.

Zgodnie z ogólnym rozporządzeniem o ochronie danych osobowych (potocznie zwanym „RODO”), które zaczęło być stosowane dnia 25 maja 2018 r., naruszenie ochrony danych osobowych to incydent bezpieczeństwa, który prowadzi do przypadkowego lub niezgodnego z prawem:

  • zniszczenia danych osobowych;
  • utracenia danych osobowych;
  • zmodyfikowania danych osobowych;
  • ujawnienia danych osobowych;
  • dostępu do danych osobowych.

Incydenty bezpieczeństwa, które mają miejsce w praktyce, to przykładowo:

  • wyciek danych z systemu informatycznego na skutek nieszczelnej ochrony antywirusowej lub błędu systemu;
  • zgubienie dokumentów przez pracownika;
  • ujawnienie danych w rozmowie telefonicznej podczas podróży pociągiem;
  • wgląd osoby nieuprawnionej w treść dokumentu, nad którym pracujemy na ekranie komputera;
  • zalanie pomieszczeń biurowych, itp.

Źródła tych zdarzeń mogą być różnorakie, zawinione lub niezawinione przez człowieka, czy nawet niezależne od ludzkiej aktywności. Jednak istotne jest to, w jaki sposób dana organizacja zareaguje na naruszenie danych. Rozwiązania nasuwają się tutaj dwa: przemilczenie tego faktu albo ujawnienie go poprzez przynajmniej powiadomienie osób, których dane ujawniono. Opór przed tym drugim rozwiązaniem wynikać będzie choćby z faktu, iż stanowić ono będzie przyznanie się do nieszczelności zabezpieczeń.

Na gruncie nieobowiązujących już przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych trudno było jednoznacznie określić, które z powyższych zachowań jest prawidłowe, bowiem dawna ustawa nie przewidywała obowiązku powiadomienia danego organu państwowego czy osób pokrzywdzonych naruszeniem ochrony danych, jak miało to miejsce w przypadku dostawców publicznie dostępnych usług telekomunikacyjnych. Zgodnie z art. 174a ust. 1 ustawy Prawo telekomunikacyjne byli oni jeszcze przed 25 maja 2018 roku zobowiązani do zawiadamiania Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia, a w przypadku, gdy naruszenie danych osobowych mogło mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, byli ponadto zobowiązani niezwłocznie, lecz nie później niż w terminie 3 dni od stwierdzenia naruszenia, zawiadomienia o takim naruszeniu również abonenta lub użytkownika końcowego (art. 174a ust. 3 w/w ustawy).

Omówiony dylemat istniał tylko do 24 maja 2018 r., ponieważ RODO usunęło (przynajmniej formalnie) wszelkie wątpliwości w tym zakresie.

Zgłaszanie naruszenia organowi nadzorczemu.

Zgodnie z art. 33 RODO, administrator danych osobowych zobowiązany jest powiadomić o incydencie organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych) i to w ciągu 72 godzin po stwierdzeniu naruszenia, a jeżeli administrator opóźni się z wypełnieniem obowiązku notyfikacyjnego, musi wyjaśnić przyczynę opóźnienia.

Zgłoszenie musi co najmniej:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Procedura zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu, a także formularz przy pomocy którego można zgłosić naruszenie, dostępne są na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych.

W myśl art. 33 ust. 5 RODO administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

Zawiadamianie osób fizycznych.

Na administratorze danych osobowych spoczywa również obowiązek ustalenia czy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli tak, to administrator – zgodnie z art. 34 ust. 1 RODO – bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

W zawiadomieniu tym należy jasnym i prostym językiem opisać charakter naruszenia ochrony danych osobowych oraz zawrzeć następujące informacje i środki: 

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opis możliwych konsekwencje naruszenia ochrony danych osobowych;
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Nie zawsze jednak na administratorze danych osobowych będzie spoczywał, ten uciążliwy skądinąd, obowiązek. Zawiadomienie nie jest bowiem wymagane w następujących przypadkach:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające osobom nieuprawnionym dostęp do tych danych osobowych;
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • wymagałoby ono niewspółmiernie dużego wysiłku – w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Jeżeli administrator danych osobowych nie powiadomi o naruszeniu osób zainteresowanych, to wypełnienie tego obowiązku na nim wymusić może organ nadzorczy.

Warto zatem, by nad realizacją powyższych wymogów czuwał profesjonalny podmiot – przykładowo kancelaria prawna, która wraz z władzami organizacji dokona analizy zaistniałego incydentu bezpieczeństwa lub podejrzenia jego wystąpienia, a następnie doradzi podjęcie właściwych kroków zmierzających do wypełnienia obowiązków nałożonych przez RODO.

Wpisy powiązane:

Analiza ryzyka.

Bezpieczeństwo przetwarzanych danych.

Kary pieniężne wynikające z RODO.

Kary pieniężne RODO w Polsce w 2019 r.

Zasady RODO.

Zasada rozliczalności.

Wdrożenie RODO.

Kontrola zgodności z RODO.

Środki naprawcze wg RODO.

Powierzenie przetwarzania danych osobowych.

Data publikacji: 29.06.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz