Poczucie bezpieczeństwa jest tym, czym się staje.
Zgodnie z art. 4 pkt. 12 RODO przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W tym kontekście należy założyć, iż zgodnie z w/w definicją „naruszenie ochrony danych osobowych” jest szczególnym rodzajem incydentu bezpieczeństwa, tj. takim jego przypadkiem, w ramach którego dochodzi do naruszenia ochrony danych osobowych.
Wystąpienie takiego naruszenia musi zatem prowadzić do sytuacji, w której administrator nie jest w stanie zapewnić zgodności z zasadami dotyczącymi przetwarzania danych osobowych ustanowionymi w art. 5 RODO. Na przykład administrator nie gwarantuje, aby przetwarzane danych było realizowane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności). Takie założenie - zgodnie ze stanowiskiem Grupy Roboczej Art. 29 zawartym w „Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679” - stanowi element pozwalający odróżnić incydent bezpieczeństwa od zdarzenia skutkującego naruszeniem ochrony danych osobowych. Zatem, co do zasady, choć wszystkie przypadki naruszenia ochrony danych osobowych są incydentami bezpieczeństwa, nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych
Dodatkowo, zgodnie z rekomendacją Prezesa UODO z maja 2019 roku zatytułowanej Obowiązki administratorów związane z naruszeniami ochrony danych osobowych (Wersja 1.0), aby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:
Incydent bezpieczeństwa a naruszenie ochrony danych osobowych
Obie powyższe opinie, tj. Grupy Roboczej Art. 29 oraz Prezesa UODO, wydają się być decydujące w zakresie kwalifikowania poszczególnych incydentów bezpieczeństwa jako naruszenia danych osobowych. Można zatem przyjąć, iż aby mówić o naruszeniu danych osobowych (oprócz innych wskazanych powyżej przesłanek) oceniany przez nas incydent musi:
Pamiętajmy, że w praktyce ocena poszczególnych incydentów bezpieczeństwa pod kątem ich kwalifikowania jako ewentualne naruszenie danych osobowych nie jest oczywiste, a samo RODO nie ułatwia administratorom podejmowania decyzji w tym zakresie. Wprowadzenie dwóch powyższych kryteriów jako przesłanek kwalifikujących. jest bardzo pomocne przy definiowaniu przez administratorów poszczególnych zdarzeń jako naruszeń danych osobowych.
Warto także przypomnieć, iż Grupa Robocza Art. 29 wyróżnia trzy typy naruszeń ochrony danych osobowych:
W kontekście naruszenia dotyczącego dostępności danych warto pamiętać, iż art. 32 RODO stwierdza, że przy wdrażaniu środków technicznych i organizacyjnych pozwalających zapewnić stopień bezpieczeństwa odpowiadający ryzyku, należy wziąć pod uwagę m.in. „zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania” oraz „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”. Dlatego incydent bezpieczeństwa skutkujący utratą dostępu do danych osobowych przez określony czas również stanowi rodzaj naruszenia, ponieważ brak dostępu do danych może wywrzeć istotny wpływ na prawa i wolności osób fizycznych.
Jakie obowiązki w związku z ewentualnym naruszeniem ochrony danych osobowych
nakłada na administratorów RODO?
RODO przewiduje kilka różnych obowiązków po stronie administratora związanych ze stwierdzeniem naruszenia ochrony danych osobowych:
To, co będzie nas tutaj szczególnie interesować, to obowiązek zgłaszania naruszeń organowi nadzorczemu oraz obowiązek powiadamiania osoby, której dane dotyczą, o naruszeniu. Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W opinii Grupy Roboczej Art. 29 należy uznać, że administrator „stwierdza” wystąpienie naruszenia w momencie, w którym uzyskał wystarczającą dozą pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych. To ważne uzupełnienie suchego zapisu RODO, jednak kluczowym zadaniem administratora w tej fazie wykonywania swoich obowiązków związanych z naruszeniem ochrony danych osobowych będzie ustalenie prawdopodobieństwa oraz zakresu wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jak to zrealizować?
Zgodnie z motywem 76 RODO, mówiąc o ocenie ryzyka naruszenia praw i wolności osób fizycznych, konieczne jest uwzględnienie:
Jak wyjaśniono powyżej, zgłoszenie naruszenia jest obowiązkowe, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw i wolności osób fizycznych, a to, czy o naruszeniu należy zawiadomić osoby, których dane dotyczą, zależy przede wszystkim od tego, czy naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Szkodami takimi mogą być np.:
Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.
Grupa Robocza Art. 29 zaleca, aby w trakcie oceny poziomu ryzyka naruszenia praw i wolności osób fizycznych brano pod uwagę następujące kryteria:
Obowiązki administratora po stwierdzeniu naruszenia danych osobowych
Zdaniem Prezesa UODO dobrze zaprojektowana i wdrożona procedura postępowania na wypadek wystąpienia naruszenia ochrony danych pozwala dokonać klasyfikacji zidentyfikowanych naruszeń ochrony danych, czyli określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. W opinii Prezesa UODO nacisk położony jest na takie zaprojektowanie regulacji, aby na podstawie jej zapisów można było „obiektywnie” określić poziom ryzyka naruszenia. Zatem wynik takiej oceny nie może być efektem subiektywnego namysłu administratora albo jego intuicji w tym zakresie. Ryzyko wystąpienia naruszenia winno wynikać bezpośrednio z wdrożonych przez administratora w ramach swojej regulacji narzędzi. Prezes UODO w swojej rekomendacji przypomina, iż Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) w swoich zaleceniach dotyczących metod oceny wagi naruszeń (ryzyka naruszenia praw i wolności osób fizycznych) wskazuje, że metodologia takiej oceny powinna się opierać na możliwie obiektywnym podejściu, a jednocześnie winna być na tyle elastycznym rozwiązaniem, aby można ją było z powodzeniem wdrożyć przez konkretnego administratora.
W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą:
Opracował
Arkadiusz Krau
Aktualności / BLOG
Zapewniamy zgodność z przepisami ochrony danych osobowych.
Jesteśmy też ekspertami w dziedzinie prawa pracy.
Aenean sagittis mattis purus ut hendrerit. Mauris felis magna, cursus in venenatis ac, vehicula eu massa. Quisque nunc velit, pulvinar nec iaculis id, scelerisque in diam. Sed ut turpis velit. Integer dictum urna iaculis vestibulum finibus. Etiam tempus dictum rhoncus. Nam vel semper eros. Ut molestie sit amet sapien vitae semper. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas.
Aktualności
Jesteśmy najlepsi
A2KP KANCELARIA Sp. z o.o.
43-300 Bielsko Biała,
ul Ulica Grażyńskiego 71