Na blogu pisałem już wiele razy o tym, jakie znaczenie ma ochrona danych osobowych i na czym polega wdrożenie odpowiednich środków bezpieczeństwa, tak aby tę ochronę zapewnić.
Ale czasem zdarza się tak, że nawet pomimo podjęcia rzetelnych działań mających na celu ochronę danych osobowych, dojdzie do naruszenia ich bezpieczeństwa. Nie ma bowiem zabezpieczeń, które w stu procentach uchroniłyby nas np. przed wyciekiem albo utratą danych.
Uwaga - gdybyście zamiast czytać, woleli posłuchać o zgłaszaniu naruszeń ochrony danych, zachęcam Was do zapoznania się z poniższym filmikiem, przygotowanym przez moją wspólniczkę, Ewę Lewańską:
Jak powinniśmy zareagować w przypadku pojawienia się incydentu RODO?
Na początku powinniśmy ustalić co tak naprawdę się stało. Na potrzeby tego wpisu będę posługiwał się dwoma pojęciami:
incydent w zakresie ochrony danych osobowych,
naruszenie ochrony danych osobowych.
Incydent to sytuacja, w ramach której doszło do jakiegoś zagrożenia, związanego z ochroną danych osobowych. Najczęściej jest to zdarzenie, które potencjalnie może naruszyć bezpieczeństwo danych osobowych w naszej organizacji.
Przykładem incydentu będzie sytuacja gdy ktoś zostawił otwarte drzwi do pomieszczenia, w którym są przetwarzane dane - niezgodnie z obowiązującymi procedurami. Podobnie, do incydentu dojdzie w przypadku pozostawienia na biurku kartki z hasłem do systemu informatycznego.
RODO w swojej treści nie definiuje pojęcia „incydentu”, jednak praktycy często się nim posługują w kontekście naruszenia ochrony danych osobowych.
Sam fakt wystąpienia incydentu nie oznacza jeszcze, że doszło do naruszenia integralności, dostępności albo poufności danych - czyli tych trzech rzeczy, które zgodnie z RODO powinniśmy chronić.
Kiedy incydent jest naruszeniem ochrony danych osobowych?
Z naruszeniem ochrony danych osobowych mamy do czynienia w sytuacji gdy incydent doprowadził do naruszenia:
poufności danych - gdy dane dostały się w ręce osób niepowołanych, np. cyberprzestępców, zostały upublicznione w Internecie albo zostały ujawnione członkom naszej organizacji, którzy nie byli uprawnieni do dostępu do nich,
dostępności danych - gdy administrator utracił możliwość dostępu do danych (na pewien czas albo bezpowrotnie) - np. wobec uszkodzenia albo awarii nośnika, awarii systemu IT albo utraty haseł deszyfrujących do zaszyfrowanych plików,
integralności danych - gdy dane zostały zmodyfikowane w niepożądany sposób (również przypadkowo).
Formalnie naruszenie ochrony danych osobowych jest definiowane w RODO jako: naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Co trzeba zrobić jeśli doszło do naruszenia?
Jeżeli doszło do naruszenia, musimy zweryfikować jego "istotność" z perspektywy ochrony osób, których dane dotyczą. To bowiem determinuje czy takie naruszenie musimy zgłosić do Prezesa UODO czy nie.
Nie każde naruszenie ochrony danych osobowych musi bowiem zostać zgłoszone organowi nadzorczemu.
Są bowiem sytuacje, gdy mało prawdopodobne jest, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. W takim przypadku zgłoszenie nie jest wymagane.
Oceny czy dane zdarzenie skutkuje ryzykiem naruszenia praw i wolności osób, których dane dotyczą, musi dokonać administrator - czyli człowiek lub organizacja, która zdecydowała o celach i sposobach przetwarzania danych.
Na szczęście z pomocą przychodzi Europejska Rada Ochrony Danych, która opublikowała wytyczne w sprawie przykładów naruszeń ochrony danych.
Znajdziemy tam przykłady sytuacji, w których zgłoszenie nie jest konieczne:
pracownikowi zaginął pendrive z danymi osobowymi, który został wcześniej zaszyfrowany, a sam algorytm szyfrujący nie jest skompromitowany i istnieje małe prawdopodobieństwo, że komuś uda się złamać hasło - zwracam uwagę na to, że w takiej sytuacji mamy do czyniena z naruszeniem ochrony danych, po prostu ryzyko wystąpienia negatywnych konsekwencji dla osoby, której dane dotyczą, jest niewielkie,
doszło do wycieku imion, nazwisk, numerów telefonów oraz adresów e-mail pracowników organizacji, ale i tak były one wcześniej opublikowane na stronie internetowej organizacji.
A co z awariami sprzętu i kopiami zapasowymi? W większości przypadków sama awaria sprzętu nie będzie skutkowała ryzykiem naruszenia praw i wolności osób fizycznych. Problem może się pojawić, jeżeli:
nie mamy kopii zapasowych albo mamy ale nie działają one prawidłowo i nie możemy przywrócić danych - wtedy ryzyko naruszenia praw osób może wzrosnąć, acz dużo zależało będzie tu od tego jakie konsekwencje dla osoby niesie sama awaria,
nawet krótkotrwała awaria skutkuje przerwą w realizacji zadań, które mogą wywołać negatywne skutki dla osób - np. usterka systemu IT w szpitalu powoduje odwołanie zaplanowanych zabiegów.
Zgłoszenie naruszenia organowi nadzorczemu
Jeżeli prawdopodobne jest, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą (w stopniu większym niż niski, zgodnie z tym co napisałem powyżej), administrator ma obowiązek zgłoszenia go organowi nadzorczemu.
Właściwym organem nadzorczym do zgłaszania naruszeń jest Prezes Urzędu Ochrony Danych Osobowych, który ma swoją siedzibę w Warszawie.
Pamiętajmy, że naruszenie zgłasza do Prezesa UODO administrator - podmiot przetwarzający tego nie robi. Obowiązkiem podmiotu przetwarzającego jest poinformowanie administratora o naruszeniu ochrony danych.
Takie zgłoszenie powinno nastąpić w miarę możliwości bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Co jest stwierdzeniem naruszenia? To moment, w którym administrator (albo jego pracownicy/przedstawiciele) dowiadują się o zaistnieniu naruszenia. Przykładowo, może być to chwila:
zorientowania się, że pendrive zaginął,
otrzymania wiadomości, że e-mail z danymi osobowymi został wysłany do niewłaściwego adresata,
wykrycia tego, że dane osobowe są publicznie dostępne w Internecie.
Siedemdziesiąt dwie godziny to dość mało czasu.
Aby ułatwić sobie sprawne działanie, administrator powinien przyjąć w organizacji odpowiednie procedury dotyczące reagowania w przypadku incydentów/naruszeń. Zwykle obejmują one co najmniej:
wskazanie osoby odpowiedzialnej za wstępną analizę incydentu, do której trafiają informacje o potencjalnych naruszeniach,
opis w jaki sposób powinna przebiegać analiza danego incydentu/naruszenia,
wskazanie procedury dot. zgłaszania naruszeń do Prezesa UODO,
obowiązek natychmiastowego zgłaszania incydentów przez każdego pracownika, który je wykryje.
Jeżeli administrator z jakichś przyczyn nie dokona zgłoszenia w terminie, powinien wyjaśnić przyczyny opóźnienia.
Co musi zawierać takie zgłoszenie?
Zgłoszenie naruszenia powinno zawierać co najmniej:
opis charakteru naruszenia ochrony danych osobowych - czyli wskazanie, na czym polegało naruszenie i czym zostało spowodowane,
w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie,
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego - żeby organ wiedział z kim ma się kontaktować w celu uzyskania dodatkowych informacji,
opis możliwych konsekwencji naruszenia ochrony danych osobowych,
opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Jest to minimalny zakres informacji, jakie administrator musi przekazać organowi. Jeżeli wszystkich szczegółów nie da się przekazać w wyznaczonym czasie (biorąc pod uwagę krótki termin 72 godzin), można ich udzielać sukcesywnie.
Informacja o tym, jak dokonać zgłoszenia widnieje na stronie Urzędu Ochrony Danych Osobowych – można to zrobić zarówno elektronicznie, jak i za pomocą tradycyjnej poczty. Zgłoszenie realizuje się za pomocą specjalnego formularza, opublikowanego na stronie UODO.
Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
W niektórych sytuacjach zgłoszenie naruszenia do organu może okazać się niewystarczające. Jeżeli bowiem naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki powinien zawiadomić również osobę, której dane dotyczą, o takim naruszeniu.
Kiedy istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych i jak je ocenić? To również jest coś co powinien zweryfikować administrator po wykryciu naruszenia.
W motywach RODO możemy przeczytać, że:
Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:
- jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
- jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa;
- jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się - w celu tworzenia lub wykorzystywania profili osobistych;
- lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
Innymi słowy, wysokie ryzyko naruszenia praw i wolności osób fizycznych może powstać zwłaszcza jeśli dojdzie do naruszenia bezpieczeństwa szczególnych kategorii danych osobowych albo np. naruszenia danych dot. dzieci.
Sama analiza tego czy naruszenie ochrony danych skutkuje wysokim ryzykiem naruszenia praw osób musi być oparta o obiektywną ocenę, odnoszącą się do:
prawdopodobieństwa wystąpienia negatywnego skutku
istotności (wagi) wystąpienia takiego skutku dla osoby.
Europejska Rada Ochrony Danych wskazuje, że z wysokim ryzykiem naruszenia praw osób mamy do czynienia np. gdy może dojść do:
dyskryminacji,
kradzieży tożsamości lub oszustwa dotyczącego tożsamości,
naruszenia dobrego imienia.
W praktyce Prezes UODO uznaje, że do wysokiego ryzyka naruszenia praw i wolności osób dochodzi gdy:
wyciekowi ulegają takie dane jak PESEL albo seria i numer dowodu osobistego - decyzja z dnia 5 stycznia 2021 r., znak DKN.5131.6.2020,
wyciekowi ulegają dane dotyczące stanu zdrowia albo postępowania sądowego - decyzja z dnia 19 grudnia 2023 r., znak DKN.5131.42.2022,
Co trzeba uwzględnić w zawiadomieniu osoby o naruszeniu bezpieczeństwa jej danych osobowych?
Przede wszystkim musisz opisać jasnym i prostym językiem jaki charakter miało naruszenie ochrony danych osobowych - powinieneś więc w sposób zrozumiały dla odbiorcy wyjaśnić mu, co się wydarzyło.
Dodatkowo, zawiadomienie powinno również zawierać:
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
opis możliwych konsekwencji naruszenia ochrony danych osobowych,
opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Nie w każdej sytuacji konieczne będzie zawiadomienie podmiotu danych osobowych o naruszeniu. RODO w tym zakresie wskazuje na kilka wyjątków:
gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie (w szczególności środki takie jak szyfrowanie) uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
gdy administrator zastosował następnie (czyli po wystąpieniu naruszenia) środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
jeśli zawiadomienie wymagałoby niewspółmiernie dużego wysiłku (w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób – przykładowo może to być ogłoszenie na stronie internetowej administratora).
Decyzja o zawiadomieniu podmiotu danych o naruszeniu podlega kontroli organu nadzorczego.
Jeżeli administrator nie zawiadomił osoby o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko naruszenia praw i wolności osoby fizycznej - może od niego tego zażądać.
Co grozi administratorowi, który nie zgłosi naruszenia?
Zaniechanie obowiązkom przez administratora może wiązać się dla niego z odpowiedzialnością administracyjną. Organ może nałożyć na niego karę pieniężną w wysokości nawet do 10 mln euro, a w przypadku przedsiębiorstwa – do 2 procent całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (organ może przyjąć tę kwotę maksymalną, która jest wyższa).
Obowiązek prowadzenia dokumentacji dot. naruszeń
Zgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO to nie wszystko.
W myśl jednej z podstawowych zasad RODO – zasady rozliczalności – administrator powinien dokumentować naruszenia, ich okoliczności, skutki oraz podjęte działania zaradcze. Innymi słowy, musimy prowadzić dokumentację wskazującą na to, że:
w naszej organizacji wystąpiło naruszenie ochrony danych - powinniśmy mieć dokument, który opisuje szczegóły naruszenia,
oszacowaliśmy związane z nim ryzyko naruszenia praw osób,
dokonaliśmy zgłoszenia naruszenia Prezesowi UODO oraz osobom, których dane dotyczą (jeśli naruszenie podlega takim zgłoszeniom),
podjęliśmy działania mające na celu zapobiegnięcie podobym sytuacjom w przyszłości.
WAŻNE! Dokumentować należy również te naruszenia, które nie podlegały zgłoszeniu.
W praktyce wiele organizacji, wdrażając przepisy RODO, przyjmuje ustandaryzowaną dokumentację dot. reagowania w przypadku naruszeń, obejmująca procedury, formularze oceny ryzyk czy też rejestry incydentów, w których wskazuje się na czym polegał incydent, jakie były jego skutki i jakie działania zaradcze zostały podjęte przez administratora.
Jak w praktyce realizować te wszystkie obowiązki?
Reagowanie w sytuacji pojawienia się naruszenia ochrony danych jest dużym wyzwaniem dla administratorów. Czasu na działanie jest bowiem niewiele, a liczba obowiązków może być przytłaczająca.
W mojej ocenie aby poradzić sobie z naruszeniem ochrony danych, musimy się do niego przygotować zanim on wystąpi. Prawidłowym rozwiązaniem jest więc wprowadzenie szczegółowych, wewnętrznych procedur w ramach organizacji – przykładowo, instrukcji postępowania w sytuacjach naruszenia ochrony danych osobowych dla Twoich pracowników.
Jeżeli potrzebujesz wsparcia przy wdrożeniu odpowiednich procedur skontaktuj się z nami, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego poniżej.
