kable

Zgłaszanie naruszenia ochrony danych osobowych

Zgodnie z art. 4 pkt. 12 RODO przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W tym kontekście należy założyć, iż zgodnie z w/w definicją „naruszenie ochrony danych osobowych” jest szczególnym rodzajem incydentu bezpieczeństwa, tj. takim jego przypadkiem, w ramach którego dochodzi do naruszenia ochrony danych osobowych.

 

Wystąpienie takiego naruszenia musi zatem prowadzić do sytuacji, w której administrator nie jest w stanie zapewnić zgodności z zasadami dotyczącymi przetwarzania danych osobowych ustanowionymi w art. 5 RODO. Na przykład administrator nie gwarantuje, aby przetwarzane danych było realizowane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności). Takie założenie - zgodnie ze stanowiskiem Grupy Roboczej Art. 29 zawartym w „Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679” - stanowi element pozwalający odróżnić incydent bezpieczeństwa od zdarzenia skutkującego naruszeniem ochrony danych osobowych. Zatem, co do zasady, choć wszystkie przypadki naruszenia ochrony danych osobowych są incydentami bezpieczeństwa, nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych

 

Dodatkowo, zgodnie z rekomendacją Prezesa UODO z maja 2019 roku zatytułowanej Obowiązki administratorów związane z naruszeniami ochrony danych osobowych (Wersja 1.0), aby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:

  1. Naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  2. Skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
  3. Naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

 

 

Incydent bezpieczeństwa a naruszenie ochrony danych osobowych

Obie powyższe opinie, tj. Grupy Roboczej Art. 29 oraz Prezesa UODO, wydają się być decydujące w zakresie kwalifikowania poszczególnych incydentów bezpieczeństwa jako naruszenia danych osobowych. Można zatem przyjąć, iż aby mówić o naruszeniu danych osobowych (oprócz innych wskazanych powyżej przesłanek) oceniany przez nas incydent musi:

  1. Prowadzić do sytuacji, w której administrator nie jest w stanie zapewnić zgodności z zasadami dotyczącymi przetwarzania danych osobowych ustanowionymi w art. 5 RODO, oraz
  2. Być skutkiem złamania zasad bezpieczeństwa danych.

 

Pamiętajmy, że w praktyce ocena poszczególnych incydentów bezpieczeństwa pod kątem ich kwalifikowania jako ewentualne naruszenie danych osobowych nie jest oczywiste, a samo RODO nie ułatwia administratorom podejmowania decyzji w tym zakresie. Wprowadzenie dwóch powyższych kryteriów jako przesłanek kwalifikujących. jest bardzo pomocne przy definiowaniu przez administratorów poszczególnych zdarzeń jako naruszeń danych osobowych.

 

Warto także przypomnieć, iż Grupa Robocza Art. 29 wyróżnia trzy typy naruszeń ochrony danych osobowych:

  1. Naruszenie dotyczące poufności danych – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
  2. Naruszenie dotyczące integralności danych – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;
  3. Naruszenie dotyczące dostępności danych – naruszenie, w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych.

 

W kontekście naruszenia dotyczącego dostępności danych warto pamiętać, iż art. 32 RODO stwierdza, że przy wdrażaniu środków technicznych i organizacyjnych pozwalających zapewnić stopień bezpieczeństwa odpowiadający ryzyku, należy wziąć pod uwagę m.in. „zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania” oraz „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”. Dlatego incydent bezpieczeństwa skutkujący utratą dostępu do danych osobowych przez określony czas również stanowi rodzaj naruszenia, ponieważ brak dostępu do danych może wywrzeć istotny wpływ na prawa i wolności osób fizycznych.

 

Jakie obowiązki w związku z ewentualnym naruszeniem ochrony danych osobowych nakłada na administratorów RODO?

RODO przewiduje kilka różnych obowiązków po stronie administratora związanych ze stwierdzeniem naruszenia ochrony danych osobowych:

  1. Wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych,
  2. Prowadzenie wewnętrznej ewidencji naruszeń,
  3. Zgłaszanie naruszeń organowi nadzorczemu,
  4. Powiadamianie osoby, której dane dotyczą, o naruszeniu, oraz
  5. Podejmowanie działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

 

To, co będzie nas tutaj szczególnie interesować, to obowiązek zgłaszania naruszeń organowi nadzorczemu oraz obowiązek powiadamiania osoby, której dane dotyczą, o naruszeniu. Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W opinii Grupy Roboczej Art. 29 należy uznać, że administrator „stwierdza” wystąpienie naruszenia w momencie, w którym uzyskał wystarczającą dozą pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych. To ważne uzupełnienie suchego zapisu RODO, jednak kluczowym zadaniem administratora w tej fazie wykonywania swoich obowiązków związanych z naruszeniem ochrony danych osobowych będzie ustalenie prawdopodobieństwa oraz zakresu wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jak to zrealizować?

 

Zgodnie z motywem 76 RODO, mówiąc o ocenie ryzyka naruszenia praw i wolności osób fizycznych, konieczne jest uwzględnienie:

  1. Powagi naruszenia, które zostało stwierdzony przez administratora, tj. oszacowanie wielkości szkody, jaką to naruszenie może spowodować w odniesieniu do osoby, której dane dotyczą, oraz
  2. Prawdopodobieństwa wystąpienia zdarzenia będącego skutkiem stwierdzonego naruszenia.

 

Jak wyjaśniono powyżej, zgłoszenie naruszenia jest obowiązkowe, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw i wolności osób fizycznych, a to, czy o naruszeniu należy zawiadomić osoby, których dane dotyczą, zależy przede wszystkim od tego, czy naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Szkodami takimi mogą być np.:

  1. Dyskryminacja,
  2. Kradzież tożsamości lub oszustwo dotyczące tożsamości,
  3. Nadużycia finansowe,
  4. Straty finansowe,
  5. Nieuprawnione cofnięcie pseudonimizacji,
  6. Utrata poufności danych osobowych chronionych tajemnicą zawodową,
  7. Naruszenie dobrego imienia,
  8. Inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

 

Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

 

Grupa Robocza Art. 29 zaleca, aby w trakcie oceny poziomu ryzyka naruszenia praw i wolności osób fizycznych brano pod uwagę następujące kryteria:

  1. Rodzaj naruszenia - rodzaj stwierdzonego naruszenia może wpłynąć na poziom ryzyka dla osób fizycznych. Na przykład konsekwencje dla osoby fizycznej w przypadku naruszenia dotyczącego poufności danych, którego istotą jest ujawnienie informacji medycznych osobom nieupoważnionym, mogą być inne niż konsekwencje naruszenia polegającego na utracie informacji medycznych danej osoby, do których nie ma już dostępu.
  2. Charakter, wrażliwość i ilość danych osobowych – chodzi tutaj o rodzaj i wrażliwość danych osobowych, które zostały ujawnione w wyniku naruszenia. Co do zasady, ryzyko powstania szkody dla osób, których dotyczy naruszenie, wzrasta wraz z wrażliwością danych. Na przykład ujawnienie imienia i nazwiska oraz adresu danej osoby prawdopodobnie nie wyrządzi jej szkody w normalnej sytuacji. Jednak jeżeli imię i nazwisko oraz adres rodzica adopcyjnego zostaną ujawnione rodzicowi biologicznemu, może mieć to bardzo poważne konsekwencje zarówno dla rodzica adopcyjnego, jak i dziecka. Naruszenia powiązane z danymi dotyczącymi zdrowia, dokumentami tożsamości lub danymi finansowymi takimi jak dane kart kredytowych mogą spowodować szkody, jeżeli występują pojedynczo, lecz jeżeli wystąpią łącznie, mogą zostać wykorzystane do kradzieży tożsamości. Zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedynczy element danych osobowych.
  3. Łatwość identyfikacji osób fizycznych - łatwość, z jaką strona, która ma dostęp do ujawnionych danych osobowych, będzie w stanie zidentyfikować konkretne osoby fizyczne lub dopasować dane do innych informacji służących identyfikacji osób fizycznych w ramach niniejszego kryterium jest kluczowa. W zależności od okoliczności identyfikacja może być możliwa bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez potrzeby gromadzenia dodatkowych informacji lub pociągać za sobą konieczność uzupełnienia pozyskanych informacji o inne, które pomogą ustalić tożsamość osoby fizycznej.
  4. Waga konsekwencji dla osób fizycznych - w zależności od charakteru danych osobowych, których dotyczy naruszenie – na przykład szczególnych kategorii danych osobowych – możliwe szkody, których mogą doznać osoby fizyczne, mogą być szczególnie poważne, zwłaszcza w przypadku gdy w wyniku naruszenia nastąpi kradzież lub sfałszowanie tożsamości, uszkodzenie ciała, cierpienie psychiczne, upokorzenie lub naruszenie dobrego imienia. Należy również zwrócić uwagę na to, jak trwałe są konsekwencje wobec osób fizycznych, gdyż wpływ może być postrzegany jako poważniejszy, jeżeli dotyczy długiego okresu.
  5. Cechy szczególne danej osoby fizycznej - naruszenie może mieć wpływ na dane osobowe dotyczące dzieci lub innych osób szczególnie narażonych, w przypadku których w takiej sytuacji może występować większe ryzyko, że znajdą się w niebezpieczeństwie. Z daną osobą fizyczną mogą wiązać się również inne czynniki wpływające na wagę konsekwencji naruszenia, jakie mogą dla niej wyniknąć.
  6. Cechy szczególne administratora danych - charakter i rola administratora oraz prowadzone przez niego działania mogą mieć wpływ na poziom ryzyka dla osób fizycznych wynikającego z naruszenia. Przykładowo w organizacji medycznej przetwarzane są szczególne kategorie danych osobowych, co oznacza, że w przypadku naruszenia tych danych osobowych osoby fizyczne są narażone na większe zagrożenie niż w przypadku, gdy naruszenie dotyczy listy adresowej czasopisma.
  7. Liczba osób fizycznych, na które naruszenie wywiera wpływ - naruszenie może dotyczyć tylko jednej osoby, kilku osób lub kilku tysięcy osób – albo dużo większej ich liczby. Zazwyczaj potencjalny wpływ naruszenia wzrasta wraz z liczbą osób, których ono dotyczy, przy czym trzeba pamiętać, iż w zależności od charakteru danych osobowych oraz kontekstu, w którym zostały one ujawnione, naruszenie może mieć poważne konsekwencje nawet dla jednej osoby. Również w tym wypadku najważniejsze jest przeanalizowanie prawdopodobieństwa wystąpienia konsekwencji dla osób, na które naruszenie na wpływ, oraz tego, jak poważne będą te konsekwencje.

 

Obowiązki administratora po stwierdzeniu naruszenia danych osobowych

Zdaniem Prezesa UODO dobrze zaprojektowana i wdrożona procedura postępowania na wypadek wystąpienia naruszenia ochrony danych pozwala dokonać klasyfikacji zidentyfikowanych naruszeń ochrony danych, czyli określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. W opinii Prezesa UODO nacisk położony jest na takie zaprojektowanie regulacji, aby na podstawie jej zapisów można było „obiektywnie” określić poziom ryzyka naruszenia. Zatem wynik takiej oceny nie może być efektem subiektywnego namysłu administratora albo jego intuicji w tym zakresie. Ryzyko wystąpienia naruszenia winno wynikać bezpośrednio z wdrożonych przez administratora w ramach swojej regulacji narzędzi. Prezes UODO w swojej rekomendacji przypomina, iż Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) w swoich zaleceniach dotyczących metod oceny wagi naruszeń (ryzyka naruszenia praw i wolności osób fizycznych) wskazuje, że metodologia takiej oceny powinna się opierać na możliwie obiektywnym podejściu, a jednocześnie winna być na tyle elastycznym rozwiązaniem, aby można ją było z powodzeniem wdrożyć przez konkretnego administratora.

 

W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą:

  1. Jeśli jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych, administrator w swych działaniach ogranicza się do zarejestrowania incydentu w rejestrze naruszeń, wyjaśnienia przyczyn zaistnienia incydentu oraz wdrożenie działań naprawczych;
  2. Jeśli prawdopodobieństwo wystąpienia ryzyka naruszenie praw lub wolności osób fizycznych jest większe (niż mało prawdopodobne), administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55;
  3. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia dodatkowo osobę, której dane dotyczą, o takim naruszeniu.

 

 

Opracował

Arkadiusz Krau