Zaktualizowana wersja poradnika "Obowiązki administratorów związane z naruszeniami ochrony danych osobowych", dostępna na stronie www.uodo.gov.pl, wywołała szereg dyskusji i wątpliwości. Wielu administratorów danych i ekspertów zwraca uwagę na zaostrzenie stanowiska Prezesa UODO w zakresie obowiązku zgłaszania naruszeń organowi nadzorczemu. PUODO twierdzi jednak, że nie nastąpiła żadna większa zmiana w podejściu do poruszonych w nim kwestii.
Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (patrz tabela). Wszędzie tam, gdzie przetwarzane są dane osobowe, może dojść do naruszenia ochrony danych osobowych.
Administratorzy mają obowiązek zgłaszać Prezesowi UODO naruszenia ochrony danych osobowych, które mogą stwarzać ryzyko naruszenia praw lub wolności osób fizycznych. Zgłoszenie naruszenia ochrony danych osobowych to oficjalne poinformowanie organu nadzorczego o naruszeniu, które może wpłynąć na poufność, integralność lub dostępność danych osobowych. Celem zgłoszenia jest ograniczenie potencjalnych szkód dla osób, których dane dotyczą, poprzez szybką reakcję administratora i współpracę z Prezesem UODO. Działania te pomagają zminimalizować konsekwencje incydentu, a także umożliwiają organowi nadzorczemu monitorowanie, czy administratorzy właściwie realizują swoje obowiązki.
Już w preambule do RODO w motywie 85 stwierdza się, że natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.
UODO zwraca uwagę, że: "Samo zgłoszenie naruszenia ochrony danych osobowych nie świadczy o winie zgłaszającego, nie przesądza o naruszeniu przez niego przepisów RODO i nie wszczyna automatycznie żadnego formalnego postępowania. Administratorzy zgłaszają incydenty, ponieważ mają największą wiedzę o procesach przetwarzania danych, a dokonanie zgłoszenia jest przede wszystkim przejawem odpowiedzialności i troski o ochronę praw osób, których prawa lub wolności mogą być zagrożone".
Naruszenia ochrony danych osobowych, w przypadku których ryzyko naruszenia praw i wolności osób fizycznych prawdopodobnie nie wystąpi, nie wymagają zgłoszenia. Są to jednak wyjątkowe sytuacje, a administratorzy muszą być w stanie wykazać brak ryzyka. Wydaje się, że właśnie to stwierdzenie wywołało największe kontrowersje. Wielu ekspertów zwróciło uwagę, iż takie stanowisko oznacza de facto konieczność zgłaszania nawet najmniejszego naruszania ochrony danych do PUODO.
Niektóre naruszenia ochrony danych osobowych mogą negatywnie wpływać na sytuację osób, których dane dotyczą, stwarzając ryzyko naruszenia ich praw lub wolności. Skutki incydentów mogą być różne. Z tego powodu administratorzy zobowiązani są do przeprowadzania indywidualnej oceny ryzyka naruszenia praw lub wolności osób fizycznych za każdym razem, gdy stwierdzą naruszenie ochrony danych osobowych. Wyniki tej oceny przesądzają o dalszych krokach podejmowanych przy każdym incydencie. Aby prawidłowo ocenić ryzyko, administratorzy powinni oszacować wagę potencjalnych konsekwencji oraz prawdopodobieństwo ich wystąpienia, uwzględniając następujące okoliczności zdarzenia:
Podczas oceny ryzyka związanego z naruszeniem ochrony danych osobowych nie ma więc znaczenia, jakie konsekwencje incydentu poniesie przetwarzająca te dane organizacja (np. osoba prawna). Administratorzy powinni przyjąć w tym procesie perspektywę osób, których dane dotyczą. Administratorzy muszą ustalić, czy naruszenie ochrony danych osobowych może wiązać się z:
Chociaż, co do zasady, naruszenia ochrony danych osobowych stwarzają pewne ryzyko naruszenia praw lub wolności osób fizycznych, zdarzają się sytuacje, w których można jednoznacznie stwierdzić, że takie ryzyko prawdopodobnie nie wystąpi. Są to przede wszystkim przypadki dotyczące np. ujawnienia danych, które są już publicznie dostępne, ujawnienia lub utracenia danych zaszyfrowanych w sposób zapewniający ich nieczytelność dla osób nieupoważnionych, jeżeli są one zabezpieczone kluczem, który nie został naruszony, a administrator ma dostęp do ich kopii zapasowej (przykład), czy też incydentów, którym administratorzy definitywnie zaradzili.
Każdy incydent należy analizować indywidualnie, uwzględniając różne kryteria. O wysokim ryzyku mogą świadczyć określone okoliczności zdarzenia, w tym m.in.: objęcie incydentem wrażliwych danych osobowych (takich jak informacje ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane finansowe, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności, orientacji seksualnej, wyroków skazujących, czynów zabronionych), a także informacje powszechnie wykorzystywane do potwierdzania tożsamości lub zawierania umów, takie jak seria i numer dowodu osobistego oraz numer PESEL, szeroki zakres danych osobowych objętych incydentem (im szerszy, tym wyższe ryzyko), szczególna dotkliwość możliwych skutków incydentu (takich jak kradzież tożsamości, oszustwa finansowe, straty finansowe, problemy zawodowe, uszczerbek na zdrowiu, silny stres, lęk i obniżone poczucie bezpieczeństwa), szczególny charakter osób objętych incydentem (takich jak dzieci, osoby starsze i osoby potrzebujące lub znajdujące się w trudnej sytuacji życiowej), duża liczba osób objętych incydentem (im większa, tym wyższe prawdopodobieństwo wystąpienia negatywnego skutku).
Przykład Laptop pracownika kliniki dentystycznej zawierający dane pacjentów został zgubiony. Urządzenie było zabezpieczone szyfrowaniem przy użyciu niezawodnej metody (przy ówczesnym stanie wiedzy technicznej), a klucz szyfrowania nie został utracony ani złamany. Ponadto klinika dysponowała kopią zapasową wszystkich informacji o pacjentach. W takim przypadku można było jednoznacznie stwierdzić brak ryzyka naruszenia praw lub wolności osób, których dane dotyczą. |
W celu zgłoszenia naruszenia ochrony danych osobowych warto skorzystać z formularza dostępnego na stronie internetowej UODO (www.uodo.gov.pl). Zgłoszenia można dokonać na kilka sposobów, tj.:
W wyjątkowych sytuacjach (np. w przypadku awarii systemów umożliwiających zgłoszenie elektroniczne) administratorzy mogą tymczasowo przesłać zgłoszenie e-mailowo na adres: kancelaria@uodo.gov.pl. Należy wówczas w najbliższym możliwym terminie (np. po ustaniu awarii) potwierdzić zgłoszenie jedną ze standardowych metod.
To administratorzy, co do zasady, zgłaszają naruszenia ochrony danych osobowych. Jeżeli administratorów jest więcej, powinni oni ustalić podział obowiązków w tym zakresie. Podmioty przetwarzające mogą zgłaszać naruszenia ochrony danych osobowych wyłącznie po uzyskaniu pisemnego zezwolenia od administratora, a kwestia ta powinna być precyzyjnie uregulowana w umowie między stronami. Ustalenia te nie zwalniają jednak administratorów z ostatecznej odpowiedzialności za zgłoszenie.
Administratorzy nie zawsze dysponują wszystkimi niezbędnymi informacjami o naruszeniu ochrony danych osobowych w ciągu pierwszych 72 godzin od jego stwierdzenia. Dlatego UODO przypomina, iż istnieją 3 rodzaje zgłoszeń, a mianowicie:
Ponieważ wdrożenie procedur umożliwiających niezwłoczne, terminowe zgłaszanie naruszeń ochrony danych osobowych jest obowiązkiem administratorów, opóźnienia powinny wynikać wyłącznie z wyjątkowych sytuacji.
Opóźnienie w zgłoszeniu naruszenia ochrony danych osobowych nie powinno być usprawiedliwiane m.in. tym, że:
Naruszeniem ochrony danych osobowych jest m.in.: |
Naruszeniem ochrony danych osobowych nie jest m.in.: |
||||||||||||||||
|
|
|