Jak rozumieć nowe zalecenia PUODO w sprawie naruszeń ochrony danych?

Zaktualizowana wersja poradnika "Obowiązki administratorów związane z naruszeniami ochrony danych osobowych", dostępna na stronie www.uodo.gov.pl, wywołała szereg dyskusji i wątpliwości. Wielu administratorów danych i ekspertów zwraca uwagę na zaostrzenie stanowiska Prezesa UODO w zakresie obowiązku zgłaszania naruszeń organowi nadzorczemu. PUODO twierdzi jednak, że nie nastąpiła żadna większa zmiana w podejściu do poruszonych w nim kwestii.

Czym jest naruszenie ochrony danych?

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (patrz tabela). Wszędzie tam, gdzie przetwarzane są dane osobowe, może dojść do naruszenia ochrony danych osobowych.

Kiedy naruszenie danych trzeba zgłosić?

Administratorzy mają obowiązek zgłaszać Prezesowi UODO naruszenia ochrony danych osobowych, które mogą stwarzać ryzyko naruszenia praw lub wolności osób fizycznych. Zgłoszenie naruszenia ochrony danych osobowych to oficjalne poinformowanie organu nadzorczego o naruszeniu, które może wpłynąć na poufność, integralność lub dostępność danych osobowych. Celem zgłoszenia jest ograniczenie potencjalnych szkód dla osób, których dane dotyczą, poprzez szybką reakcję administratora i współpracę z Prezesem UODO. Działania te pomagają zminimalizować konsekwencje incydentu, a także umożliwiają organowi nadzorczemu monitorowanie, czy administratorzy właściwie realizują swoje obowiązki.

Już w preambule do RODO w motywie 85 stwierdza się, że natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

UODO zwraca uwagę, że: "Samo zgłoszenie naruszenia ochrony danych osobowych nie świadczy o winie zgłaszającego, nie przesądza o naruszeniu przez niego przepisów RODO i nie wszczyna automatycznie żadnego formalnego postępowania. Administratorzy zgłaszają incydenty, ponieważ mają największą wiedzę o procesach przetwarzania danych, a dokonanie zgłoszenia jest przede wszystkim przejawem odpowiedzialności i troski o ochronę praw osób, których prawa lub wolności mogą być zagrożone".

Kiedy naruszenia danych nie zgłasza się?

Naruszenia ochrony danych osobowych, w przypadku których ryzyko naruszenia praw i wolności osób fizycznych prawdopodobnie nie wystąpi, nie wymagają zgłoszenia. Są to jednak wyjątkowe sytuacje, a administratorzy muszą być w stanie wykazać brak ryzyka. Wydaje się, że właśnie to stwierdzenie wywołało największe kontrowersje. Wielu ekspertów zwróciło uwagę, iż takie stanowisko oznacza de facto konieczność zgłaszania nawet najmniejszego naruszania ochrony danych do PUODO.

Ocena ryzyka

Niektóre naruszenia ochrony danych osobowych mogą negatywnie wpływać na sytuację osób, których dane dotyczą, stwarzając ryzyko naruszenia ich praw lub wolności. Skutki incydentów mogą być różne. Z tego powodu administratorzy zobowiązani są do przeprowadzania indywidualnej oceny ryzyka naruszenia praw lub wolności osób fizycznych za każdym razem, gdy stwierdzą naruszenie ochrony danych osobowych. Wyniki tej oceny przesądzają o dalszych krokach podejmowanych przy każdym incydencie. Aby prawidłowo ocenić ryzyko, administratorzy powinni oszacować wagę potencjalnych konsekwencji oraz prawdopodobieństwo ich wystąpienia, uwzględniając następujące okoliczności zdarzenia:

• rodzaj naruszenia ochrony danych osobowych,
• charakter, wrażliwość i zakres danych osobowych,
• łatwość identyfikacji osób, których dane dotyczą,
• dotkliwość konsekwencji dla osób, których dane dotyczą,
• cechy szczególne osób, których dane dotyczą,
• cechy szczególne administratora,
• liczbę osób, których dane dotyczą.

Podczas oceny ryzyka związanego z naruszeniem ochrony danych osobowych nie ma więc znaczenia, jakie konsekwencje incydentu poniesie przetwarzająca te dane organizacja (np. osoba prawna). Administratorzy powinni przyjąć w tym procesie perspektywę osób, których dane dotyczą. Administratorzy muszą ustalić, czy naruszenie ochrony danych osobowych może wiązać się z:

• brakiem ryzyka,
• ryzykiem, co wymaga zgłoszenia Prezesowi UODO lub
• wysokim ryzykiem, co oznacza obowiązek zgłoszenia go Prezesowi UODO oraz zawiadomienia osób, których dane dotyczą.

Chociaż, co do zasady, naruszenia ochrony danych osobowych stwarzają pewne ryzyko naruszenia praw lub wolności osób fizycznych, zdarzają się sytuacje, w których można jednoznacznie stwierdzić, że takie ryzyko prawdopodobnie nie wystąpi. Są to przede wszystkim przypadki dotyczące np. ujawnienia danych, które są już publicznie dostępne, ujawnienia lub utracenia danych zaszyfrowanych w sposób zapewniający ich nieczytelność dla osób nieupoważnionych, jeżeli są one zabezpieczone kluczem, który nie został naruszony, a administrator ma dostęp do ich kopii zapasowej (przykład), czy też incydentów, którym administratorzy definitywnie zaradzili.

Każdy incydent należy analizować indywidualnie, uwzględniając różne kryteria. O wysokim ryzyku mogą świadczyć określone okoliczności zdarzenia, w tym m.in.: objęcie incydentem wrażliwych danych osobowych (takich jak informacje ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane finansowe, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności, orientacji seksualnej, wyroków skazujących, czynów zabronionych), a także informacje powszechnie wykorzystywane do potwierdzania tożsamości lub zawierania umów, takie jak seria i numer dowodu osobistego oraz numer PESEL, szeroki zakres danych osobowych objętych incydentem (im szerszy, tym wyższe ryzyko), szczególna dotkliwość możliwych skutków incydentu (takich jak kradzież tożsamości, oszustwa finansowe, straty finansowe, problemy zawodowe, uszczerbek na zdrowiu, silny stres, lęk i obniżone poczucie bezpieczeństwa), szczególny charakter osób objętych incydentem (takich jak dzieci, osoby starsze i osoby potrzebujące lub znajdujące się w trudnej sytuacji życiowej), duża liczba osób objętych incydentem (im większa, tym wyższe prawdopodobieństwo wystąpienia negatywnego skutku).

Jak dokonać zgłoszenia?

W celu zgłoszenia naruszenia ochrony danych osobowych warto skorzystać z formularza dostępnego na stronie internetowej UODO (www.uodo.gov.pl). Zgłoszenia można dokonać na kilka sposobów, tj.:

• elektronicznie, poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl,
• elektronicznie, poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą na platformie epuap.gov.pl:/UODO/SkrytkaESP,
• elektronicznie, poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl lub platformie epuap.gov.pl,
• pocztą tradycyjną, poprzez wysłanie wypełnionego formularza na adres UODO.

W wyjątkowych sytuacjach (np. w przypadku awarii systemów umożliwiających zgłoszenie elektroniczne) administratorzy mogą tymczasowo przesłać zgłoszenie e-mailowo na adres: kancelaria@uodo.gov.pl. Należy wówczas w najbliższym możliwym terminie (np. po ustaniu awarii) potwierdzić zgłoszenie jedną ze standardowych metod.

To administratorzy, co do zasady, zgłaszają naruszenia ochrony danych osobowych. Jeżeli administratorów jest więcej, powinni oni ustalić podział obowiązków w tym zakresie. Podmioty przetwarzające mogą zgłaszać naruszenia ochrony danych osobowych wyłącznie po uzyskaniu pisemnego zezwolenia od administratora, a kwestia ta powinna być precyzyjnie uregulowana w umowie między stronami. Ustalenia te nie zwalniają jednak administratorów z ostatecznej odpowiedzialności za zgłoszenie.

Administratorzy nie zawsze dysponują wszystkimi niezbędnymi informacjami o naruszeniu ochrony danych osobowych w ciągu pierwszych 72 godzin od jego stwierdzenia. Dlatego UODO przypomina, iż istnieją 3 rodzaje zgłoszeń, a mianowicie:

• zgłoszenia wstępne, pozwalające przekazać podstawowe informacje w wymaganym terminie, z obowiązkiem późniejszego uzupełnienia,
• zgłoszenia uzupełniające, umożliwiające aktualizowanie informacji o incydencie w miarę ich gromadzenia,
• zgłoszenia kompletne, zawierające wszystkie wymagane informacje już przy pierwszym zgłoszeniu.

Ponieważ wdrożenie procedur umożliwiających niezwłoczne, terminowe zgłaszanie naruszeń ochrony danych osobowych jest obowiązkiem administratorów, opóźnienia powinny wynikać wyłącznie z wyjątkowych sytuacji.

Opóźnienie w zgłoszeniu naruszenia ochrony danych osobowych nie powinno być usprawiedliwiane m.in. tym, że:

• termin zgłoszenia przypadł na weekend lub inny dzień wolny od pracy, a kluczowy personel był niedostępny (przepisy RODO nie przewidują wstrzymywania biegu terminu z takiego powodu),
• osoba odpowiedzialna za zgłoszenie była na urlopie lub zwolnieniu lekarskim, a administrator nie zapewnił odpowiedniego zastępstwa,
• kierownictwo organizacji nie miało czasu na zatwierdzenie zgłoszenia, mimo że wewnętrzne procedury powinny uwzględniać konieczność niezwłocznego działania,
• administrator czekał na zakończenie wewnętrznego dochodzenia w sprawie incydentu (by dokonać jego kwalifikacji) lub procesu oceny ryzyka związanego z naruszeniem ochrony danych osobowych,
• administrator potrzebował dodatkowego czasu na zgromadzenie wszystkich wymaganych informacji (w takich przypadkach można skorzystać ze zgłoszenia wstępnego i późniejszego uzupełnienia).