Istota i konsekwencje naruszenia ochrony danych osobowych

Czym jest naruszenie ochrony danych osobowych? Co zrobić, gdy dojdzie do takiej sytuacji w naszej firmie? Jak się wtedy zachować? Kto odpowiada za naruszenie ochrony danych osobowych? Odpowiedzi na te i inne pytania znajdziesz w poniższym artykule.

Czym jest naruszenie ochrony danych osobowych?

Pojęcie to definiuje art. 4 pkt 12 RODO, który stanowi, że jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Z powyższego wynika, że z naruszeniem ochrony danych osobowych będziemy mieć do czynienia nie tylko wtedy, gdy będziemy działać celowo, ale również wtedy, gdy bez rozmysłu przyczynimy się do zniszczenia, utraty, czy modyfikacji danych lub przekażemy powierzone nam dane w niepowołane ręce. Naruszenia może dokonać zarówno właściciel firmy jak i jego pracownicy. W konsekwencji z naruszeniem ochrony danych spotkamy się zarówno wówczas, gdy będzie ono skutkiem świadomego działania pracownika przetwarzającego dane, jak i wtedy, gdy pracownik ten doprowadzi do tego zdarzenia nieumyślnie. W związku z tym, że właściciel firmy odpowiada za działania swoich pracowników, także w przypadku naruszenia z ich strony może on ponieść odpowiedzialność.

W kontekście przytoczonej powyżej definicji, warto rozstrzygnąć jeszcze znaczenie użytych w niej terminów. Na pierwszy rzut oka wydawać by się mogło, że nie ma różnicy pomiędzy zniszczeniem, a utratą danych. Nic bardziej mylnego. Odpowiedź na to pytanie znajdziemy w wytycznych Grupy Roboczej art. 29, z których wynika, że zniszczenie oznacza sytuację, w której dane przestają istnieć lub przestają istnieć w formie nadającej się do użytku przez administratora.  Innymi słowy, w przypadku zniszczenia, odzyskanie danych jest niemożliwe, wysoce skomplikowane oraz kosztowne dla organizacji. Utrata danych natomiast oznacza sytuację, w której dane mogą nadal istnieć, ale administrator utracił kontrolę, dostęp do danych lub nie jest już w ich posiadaniu. W praktyce oznacza to, że utracone dane nadal są w użyciu, lecz już poza naszą kontrolą. Modyfikacja z kolei to nic innego, jak zmiana struktury przetwarzanych danych, np. Poprzez ich aktualizację.

Rodzaje naruszeń

Z wspomnianych powyżej wytycznych Grupy Roboczej art. 29 dowiadujemy się również o tym, że z naruszeniem ochrony danych osobowych będziemy mieć do czynienia, gdy nastąpi co najmniej:

• naruszenie poufności – niedozwolone lub przypadkowe ujawnienie lub dostęp do danych   osobowych;
• naruszenie dostępności – niedozwolona lub przypadkowa utrata dostępu do danych osobowych lub zniszczenie ich;
• naruszenie integralności – niedozwolona lub przypadkowa zmiana danych osobowych.

Oczywiście w zależności od okoliczności dokonanego naruszenia może ono dotyczyć dowolnej kombinacji w/w kategorii.

Kto i w jaki sposób dokonuje zgłoszenia

Gdy w naszej firmie dojdzie do naruszenia ochrony danych osobowych, powinniśmy zgłosić ten fakt Prezesowi Urzędu Ochrony Danych Osobowych. Zasady zgłaszania naruszeń organowi nadzorczemu wynikają z art. 33 RODO, zgodnie z którym administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgodnie z powyższym mamy określony reżim czasowy na zgłoszenie naruszenia, a w przypadku, gdy z jakichkolwiek przyczyn przekroczymy ten termin, musimy wyjaśnić dlaczego tak się stało. Pamiętajmy, jednakże że nie każdy incydent  stanowi naruszenie ochrony danych podlegające zgłoszeniu – z obowiązku informowania organu, zwolnieni jesteśmy w sytuacji, gdy mało prawdopodobne jest, aby incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. Wszystko zależy od właściwej oceny, czy dane ryzyko się zmaterializuje i w jakim zakresie może to doprowadzić do naruszenia praw lub wolności osób fizycznych.

Struktura zgłoszenia

Elementy jakie powinno zawierać zgłoszenie naruszenia ochrony danych osobowych wymienia art. 33 ust. 3 RODO. Zgłoszenie musi co najmniej:

• opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Nie ma wymogu, aby wszystkie powyższe informacje przekazane były organowi nadzorczemu od razu, tj. W momencie samego powiadomienia o naruszeniu. Ważne, jednak jest to, abyśmy przekazali je bez zbędnej zwłoki, czyli w możliwie najbliższym czasie.

Wzór formularza zgłoszenia znajdziesz tutaj >>

Obowiązek powiadomienia osoby, której dane dotyczą

Zgodnie z treścią z art. 34 ust. 1 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, jako administratorzy danych zobowiązani jesteśmy bez zbędnej zwłoki zawiadomić nie tylko organ nadzorczy, lecz także osobę, której dane dotyczą, o takim naruszeniu.

Co powinno się znaleźć w powiadomieniu?

Zawiadamiając osobę, której dane dotyczą powinniśmy jasnym i prostym językiem opisać charakter naruszenia ochrony danych osobowych oraz zamieścić imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został wyznaczony) lub innej osoby, która w razie potrzeby będzie potrafiła udzielić więcej informacji, opisać możliwe konsekwencje naruszenia ochrony danych osobowych (tzn. Wyjaśnić, co może być jego niepożądanym skutkiem), a także opisać, jakie środki administrator zastosował lub proponuje zastosować, aby zminimalizować negatywne skutki naruszenia i zapobiec podobnym incydentom w przyszłości.

Kiedy jesteśmy zwolnieni z obowiązku powiadomienia o incydencie?

Na podstawie art. 34 ust. 3 RODO zawiadomienie osób, których dane dotyczą, nie jest konieczne w przypadkach, gdy:

– administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych (w szczególności szyfrowanie dysku) ;

– administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;

– wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Podsumowując, pamiętajmy, że na zgłoszenie naruszenia ochrony danych osobowych właściwemu organowi nadzorczemu mamy 72 godziny zegarowe (nie robocze). Niezależnie od tego, czy dany incydent będzie wymagać powiadomienia organu nadzorczego, czy też osoby, której dane dotyczą każde z zaistniałych zdarzeń należy dokumentować. Konsekwencją naruszenia mogą być nie tylko nałożone przez organ nadzoru kary pieniężne. Przepisy RODO przewidują, że w przypadku naruszenia przepisów o ochronie danych osobowych, zarówno administrator, jak i podmiot przetwarzający dane osobowe ponoszą odpowiedzialność odszkodowawczą wobec podmiotów danych, a także w określonych przypadkach odpowiedzialność karną.