Natalia Dzieciuchowicz
Data Protection Expert w zespole LexDigital
Z tego artykułu dowiesz się:
Jak zidentyfikować naruszenie ochrony danych osobowych (co to są dane i kiedy można mówić o ich przetwarzaniu)
W jaki sposób ocenić, czy konkretne zdarzenie zakwalifikować jako wymagające zgłoszenia do urzędu ochrony danych osobowych i kto powinien badać okoliczności sprawy
Jakie konsekwencje może ponieść administrator danych za niezgłoszenie naruszenia ochrony danych osobowych
Podstawy prawne przetwarzania
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Poszczególne informacje, które w połączeniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby, także stanowią dane osobowe.
Odnosząc się bezpośrednio do Ogólnego rozporządzenia o ochronie danych (RODO), a konkretnie do art. 4 pkt 2:
“przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, a zwłaszcza te, które wykonuje się w systemach informatycznych”.
Istotne jest również, że forma tego przetwarzania (papierowa, w systemach, w postaci nagrań wizerunku itd) nie ma znaczenia w kontekście tego, czy dane podlegają ochronie czy nie. RODO ochroną obejmuje je wszystkie.
Obowiązkiem podmiotu przetwarzającego dane osobowe (administratora/procesora) jest m.in. wdrożenie adekwatnych do poziomu ryzyka zabezpieczeń dla przetwarzanych danych (środków technicznych i organizacyjnych) tak, aby zminimalizować ryzyko wystąpienia incydentu/naruszenia ochrony danych osobowych, a jeżeli już do niego dojdzie – podjąć kroki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Przy czym, zapewnienie środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych to jedno. Administrator zobowiązany jest również do regularnego testowania skuteczności wdrożonych środków.
W jaki sposób ocenić, czy konkretne zdarzenie zakwalifikować jako wymagające zgłoszenia do Urzędu Ochrony Danych Osobowych i kto powinien badać okoliczności sprawy
art. 4 pkt 12 RODO definiuje naruszenie ochrony danych osobowych następująco:
“Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Jest to nieodwracalne naruszenie bezpieczeństwa informacji w odniesieniu do danych osobowych, którego niekiedy nie da się uniknąć, nawet mimo świetnie zaplanowanego i zarządzanego systemu ochrony danych osobowych.
Incydenty umyślne (działania zamierzone przez człowieka)
to sytuacja, w której ktoś celowo narusza przepisy o ochronie danych osobowych. Takie działania są zazwyczaj skierowane na uzyskanie, ujawnienie, zmodyfikowanie lub zniszczenie danych bez zgody właściciela tych danych i z zamiarem zaszkodzenia mu, np:
- Kradzież danych przez pracownika – pracownik mający dostęp do bazy danych klientów eksportuje listę klientów na zewnętrzny nośnik w celu jej odsprzedaży
- Wyłudzanie danych (phishing) – wysyłka e-maili, które mają na celu wyłudzenie danych logowania do kont bankowych lub innych usług, w celu ich późniejszego, nielegalnego wykorzystania
- Ujawnienie danych bez zgody – pracownik firmy świadomie udostępnia poufne informacje (np. numery PESEL, adresy zamieszkania) osobom trzecim, np. dziennikarzom lub cyberprzestępcom.
- Wprowadzenie złośliwego oprogramowania (malware) – atakujący celowo wprowadza złośliwe oprogramowanie do systemu firmy, aby uzyskać dostęp do poufnych danych i później je wykorzystać w celu szantażu lub sprzedaży.
Losowe incydenty wewnętrzne
awarie sprzętów IT, nośników danych, serwerów, oprogramowania, błąd ludzki (wysłanie maila zawierającego dane osobowe do niewłaściwego odbiorcy, przypadkowe usunięcie danych), brak zastosowania przez pracownika wdrożonych w organizacji środków technicznych i organizacyjnych (brak weryfikacji podmiotu przetwarzającego dane)
Losowe incydenty zewnętrzne
– zanik/utrata zasilania czy łączności, zalanie, pożar.
Źródłem incydentu może też być oczywiście niewdrożenie odpowiednich środków technicznych i organizacyjnych mimo zidentyfikowania ryzyka dla bezpieczeństwa danych.
Naruszenie przepisów RODO
Grupa Robocza Art. 29 wyjaśniła, że zgodnie z trzema powszechnie uznawanymi zasadami bezpieczeństwa naruszenia można podzielić na następujące kategorie:
- „naruszenie dotyczące poufności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
- „naruszenie dotyczące integralności danych” – naruszeniem zasady integralności jest zdarzenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;
- „naruszenie dotyczące dostępności danych” – naruszenie, w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych.
W sytuacji, w której już do naruszenia dojdzie, należy dokonać oceny, w jaki sposób naruszenie może wpłynąć lub wpływa na prawa i wolności osób, których dane dotyczą.
Wykonanie oceny wagi naruszenia i jego dogłębna analiza będą niezbędne w procesie decydowania czy np. konieczne jest zawiadomienie o naruszeniu organu nadzorczego, którym w Polsce jest Urząd Ochrony Danych Osobowych, a także osób, których naruszenie dotyczy, jakie są faktyczne zagrożenia dla osób, których dane dotyczą, czy naruszenie istotnie narusza prawa osób itd.
W zależności od rodzaju, zakresu danych, które uległy naruszeniu, ilości osób, których dane dotyczą, ewentualnych negatywnych skutków dla podmiotów danych (mogą obejmować one utratę kontroli nad własnymi danymi osobowymi, ograniczenie praw, dyskryminację, kradzież lub sfałszowanie tożsamości, stratę finansową, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia oraz naruszenie poufności danych osobowych chronionych tajemnicą zawodową), administrator decyduje o sposobie postępowania w związku ze zdarzeniem. Istotny jest również czas trwania naruszenia i oczywiście kategorie danych osobowych, które uległy naruszeniu.
Kiedy zgłaszać naruszenie do Urzędu Ochrony Danych Osobowych?
Pomocne w podjęciu decyzji, co do obowiązku zgłoszenia naruszenia organowi nadzorczemu mogą być wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych Europejskiej Rady Ochrony Danych (EROD). Kluczowe elementy wytycznych przedstawiają się następująco:
1. Definicja naruszenia
Naruszenie ochrony danych osobowych to incydent prowadzący do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych.
2. Ocena ryzyka dla praw i wolności osób fizycznych
Wytyczne EROD podkreślają znaczenie oceny ryzyka związanego z naruszeniem. Ryzyko można ocenić na podstawie:
- rodzaju i wrażliwości naruszonych danych (np. danych szczególnej kategorii, danych o charakterze finansowym, danych dzieci).
- liczby osób dotkniętych naruszeniem.
- możliwości zidentyfikowania osób na podstawie naruszonych danych.
3. Obowiązek zgłoszenia
Administrator danych ma obowiązek zgłosić naruszenie ochrony danych osobowych do organu nadzorczego (UODO) bez zbędnej zwłoki, nie później niż 72 godziny po stwierdzeniu naruszenia, chyba że jest mało prawdopodobne, że naruszenie to skutkować będzie ryzykiem naruszenia praw lub wolności osób fizycznych (obowiązek ten wynika bezpośrednio z art 33 ust. 1 RODO, w którym wskazano również jakie obowiązki ma podmiot przetwarzający, jeżeli do naruszenia dojdzie u tego podmiotu).
Czas reakcji administratora na incydent jest istotny nie tylko w kontekście wspomnianych wyżej 72 godzin, ale też:
- ma znaczenie dla praw i wolności osób, których dane dotyczą – im dłużej trwa naruszenie tym to zagrożenie jest większe
- długo trwające naruszenie (niezaopiekowane przez administratora) może być uznane za okoliczność obciążającą w toku jego oceny przez Urząd
Wg wytycznych EROD dotyczących zgłaszania naruszeń ochrony danych:
to, kiedy dokładnie można uznać, że administrator „stwierdził” wystąpienie określonego naruszenia, będzie zależało od okoliczności, w jakich doszło do tego naruszenia. W niektórych przypadkach wystąpienie naruszenia można stosunkowo łatwo stwierdzić już na początku, natomiast w innych ustalenie, czy doszło do ujawnienia danych osobowych, może wymagać czasu. W tym kontekście powinno się jednak położyć nacisk na szybkie zbadanie danego incydentu w celu ustalenia, czy faktycznie doszło do naruszenia ochrony danych osobowych, a jeżeli tak – podjąć działania zaradcze i, w razie konieczności, zgłosić naruszenie.
4. Informowanie osób dotkniętych naruszeniem
Jeżeli naruszenie może skutkować wysokim ryzykiem dla praw i wolności osób fizycznych, administrator musi również poinformować o tym osoby, których dane dotyczą, bez zbędnej zwłoki.
5. Dokumentacja naruszeń
Administrator powinien dokumentować wszystkie naruszenia ochrony danych, niezależnie od tego, czy są zgłaszane do organu nadzorczego, czy nie. Dokumentacja powinna zawierać informacje o:
- okolicznościach naruszenia (dacie jego identyfikacji, osób uczestniczących itd)
- skutkach naruszenia (w tym ewentualnej szkody poniesionej przez podmiot danych)
- podjętych działaniach w celu zaradzenia naruszeniu
- wadze naruszenia
- podjętej decyzji dotyczącej zgłoszenia naruszenia
- podjętej decyzji dotyczącej powiadomienia osób, których dotyczyło naruszenie (w treści takiego powiadomienia należy zawrzeć m.in. informacje o działaniach podjętych w celu zminimalizowania szkody poniesionej przez podmiot danych, jeżeli tak szkoda wystąpiła, o fakcie powiadomienia prezesa urzędu ochrony danych i inne)
Czy każde naruszenie ochrony danych osobowych oznacza naruszenie RODO?
Odpowiedź na to pytanie jest bardzo istotna, bowiem Administratorzy często fakt naruszenia ochrony danych osobowych interpretują jako naruszenie przepisów prawa (m.in. RODO) i obawiając się konsekwencji (np. w postaci kary pieniężnej) nie zgłaszają naruszenia.
Wypowiedział się w tej sprawie Urząd Ochrony Danych Osobowych w Biuletynie 3/3/2024:
„Naruszenie ochrony danych osobowych”, którego definicję odnajdziemy w art. 4 pkt 12 RODO, nie powinno być utożsamiane z „naruszeniem niniejszego rozporządzenia”. Innymi słowy, wykrycie w organizacji administratora naruszenia ochrony danych osobowych nie musi oznaczać, że administrator ten złamał jakiekolwiek przepisy RODO.
Zgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO nie powoduje także automatycznego wszczęcia postępowania administracyjnego wobec administratora(w przeciwieństwie do jego niezgłoszenia w określonej przepisami sytuacji ). Zdarza się jednak, że incydent i okoliczności jego wystąpienia mogą stać się impulsem do podjęcia przez organ nadzorczy czynności. Może on wtedy sprawdzać:
• czy przetwarzanie przez administratora danych osobowych w obszarze, którego dotyczyło
zdarzenie, było prawidłowe,
• jak administrator realizował spoczywające na nim obowiązki wynikające z przepisów RODO
• czy mamy do czynienia z przesłanką wskazującą na niewdrożeniu odpowiednich środków technicznych i organizacyjnych
Dopiero ewentualne uchybienia w tym zakresie mogą przesądzić o zastosowaniu przez Prezesa UODO przysługujących mu uprawnień naprawczych, w tym nałożeniu administracyjnej kary pieniężnej.
Kary RODO. Jakie konsekwencje może ponieść administrator danych za niezgłoszenie naruszenia ochrony danych
Niezgłoszenie naruszenia ochrony danych prezesowi urzędu ochrony danych w przypadkach w których taki obowiązek zaistnieje, stanowi naruszenie przepisów RODO i może wiązać się z nałożeniem kar finansowych przez Urząd Ochrony Danych Osobowych.
Polski organ nadzorczy nałożył już kilkanaście kar w tym obszarze. Szczegółowo opisuje jeden z przypadków w wydanym przez siebie Biuletynie nr 11/11/2013 i podkreśla, że istnieją „przypadki pośrednie”, pomiędzy sytuacjami, w których istnieje małe prawdopodobieństwo by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszeniem praw lub wolności osób fizycznych a sytuacjami gdy ryzyko naruszenia praw lub wolności osób fizycznych jest wysokie. Przypadków tych nie można pominąć, a najczęściej to właśnie one przyprawiają administratorów o ból głowy i stawiają przed dylematem: zgłaszać czy nie zgłaszać.
I tu z pomocą mogą przyjść Wytyczne EROD 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjęte 14 grudnia 2021 r. W dokumencie szczegółowo opisano 18 przypadków naruszeń o różnych źródłach, które mogą okazać się pomocne podczas rozstrzygania o zgłoszeniu naruszenia prezesowi UODO.
Administratorzy często obawiają się, że zgłoszenie naruszenia “sprowokuje” Urząd do podjęcia kroków w celu szczegółowej analizy systemu ochrony danych osobowych wdrożonym w organizacji albo do nałożenia kary za naruszenia – dlatego często naruszeń nie zgłaszają. W przypadku wykrycia naruszenia przez administratora organ nadzorczy może, ale nie musi nałożyć administracyjną karę pieniężną.
Twoją organizację dotyczyło naruszenie przepisów RODO? Nie musi skończyć się na karze
Organ posiada szereg innych środków naprawczych, które może nałożyć na organizację, np. upomnienie czy wprowadzenie ograniczenie przetwarzania danych. Administracyjne kary pieniężne uznawane są za najdotkliwszy środek, są nakładane gdy inne środki zostaną uznane za niewystarczające. W procesie bardzo istotna jest postawa administratora, chęć współpracy z organem nadzorczym, to w jakim zakresie administrator jest skłonny do przyjmowania sugestii urzędu podczas postępowania administracyjnego, jak bardzo jest na urząd “otwarty”, jakie środki wdrożył w celu usunięcia naruszenia i jego ewentualnych negatywnych skutków, jak szybko zareagował po stwierdzeniu naruszenia itd.
Co istotne, Urząd, w procesie ewentualnego nakładania administracyjnych kar pieniężnych, czy też zastosowania innych środków naprawczych, zawsze bierze pod uwagę okoliczności każdego indywidualnego przypadku.
Jak się w rzeczywistości okazuje konsekwencje decyzji o niezgłoszeniu naruszenia do Urzędu mogą być dużo bardziej dotkliwe niż potencjalny audyt urzędu, upomnienie czy też zobowiązanie administratora do zastosowania określonych środków organizacyjnych czy technicznych w związku z naruszeniem. Kary finansowe za niezgłoszenie naruszenia mogą bowiem sięgać niebagatelnych kwot.
RODO określa wysokość kar jako maksymalną w dwóch wariantach: − do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego; − do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
W przypadku podmiotów publicznych kary finansowe nie są tak dotkliwe – Prezes UODO może nałożyć maksymalnie 100 000 zł kary na jednostki sektora finansów publicznych.
Należy mieć również na uwadze, że informacje o naruszeniu ochrony danych osobowych mogą dotrzeć do Urzędu od osoby/podmiotu całkowicie z tym naruszeniem niezwiązanego. Jedna z najgłośniejszych kar za niezgłoszenie naruszenia dotyczy takiego właśnie przypadku. Organ nadzorczy dowiedział się o naruszeniu z mediów. Polegało ono na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce, po tym jak została ona wcześniej skradziona firmie kurierskiej.
PODSUMOWANIE
To, że z punktu widzenia administratora, wystąpienie naruszenia ochrony danych jest okolicznością stresującą, wydaje się oczywiste. Dodatkowo niekiedy może się pojawić dylemat, czy naruszenie zakwalifikować jako wymagające zgłoszenia prezesowi UODO czy też nie. Warto w takich sytuacjach posiłkować się wytycznymi EROD czy też organu nadzorczego, a także skorzystać z usług doradczych wyspecjalizowanych podmiotów. Nieocenione będzie też stosowanie zatwierdzonych kodeksów postępowania, jeżeli w określonej branży taki kodeks wydano (aktualnie w Polsce kodeksy dotyczą branży medycznej).
