Naruszenie ochrony danych osobowych – jaka dokumentacja jest wymagana?
Na każdym podmiocie przetwarzającym dane osobowe spoczywa spora odpowiedzialność. Nieprzestrzeganie przepisów RODO może prowadzić do nałożenia na niego bardzo dotkliwej kary administracyjnej. Niekiedy jednak nawet pomimo bardzo skrupulatnego dbania o pozyskane dane oraz najlepszej ochrony może mieć miejsce naruszenie ochrony danych osobowych i wyciek tych danych. W takiej sytuacji administrator nie może pozostawić tego tak, jak jest, licząc, że nikt się nie dowie o incydencie. Musi dążyć do jak największego zminimalizowania szkód oraz poinformować o danym naruszeniu wszystkie osoby, których dane zostały upublicznione. Administrator zatem już zawczasu powinien przygotować i mieć w pogotowiu dokumentacje naruszeń.
Naruszenie ochrony danych osobowych – kiedy będzie miało miejsce?
Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Naruszenie ochrony danych może być niezamierzone, wynikłe wskutek niedbalstwa administratora lub podmiotu przetwarzającego lub zamierzone – będące wynikiem zaplanowanego działania osób trzecich. Niezależnie od tego, w jaki sposób doszło do zniszczenia, modyfikacji czy utraty danych, obowiązki administratora będą takie same.
Naruszenia można podzielić na kilka kategorii:
naruszenie dotyczące poufności danych – naruszenie, w którego rezultacie dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
naruszenie dotyczące integralności danych – naruszenie, w którego rezultacie dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;
naruszenie dotyczące dostępności danych – naruszenie, w którego rezultacie dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych.
Do czego może prowadzić naruszenie ochrony danych osobowych?
Rozporządzenie w art. 4 pkt 12 wyróżnia 4 możliwe następstwa naruszeń bezpieczeństwa ochrony danych osobowych. Są to:
zniszczenie danych – dane przestają istnieć w formie nadającej się do odczytania oraz przetwarzania przez administratora. Może być to zniszczenie w niszczarce dokumentu, na którym znajdowały się dane lub trwałe uszkodzenie dysku twardego, dysku z bazą danych osobowych;
utrata danych osobowych – dane mogą wprawdzie nadal istnieć, ale administrator utracił nad nimi kontrolę lub dostęp do nich. Przykładem jest utrata przez administratora hasła dostępu do serwera z danymi i jego zmiana przez nieuprawnioną osobę trzecią;
zmodyfikowanie danych – zmiana, uszkodzenie lub zepsucie danych, co prowadzi do niekompletności lub nieczytelności danych. Przykładem będzie nieuprawniona zmiana danych w bazie, co sprawiło, że stały się one nieprawidłowe;
nieuprawnione ujawnienie i nieuprawniony dostęp do danych – ujawnienie lub udostępnienie danych osobowych odbiorcom nieupoważnionym do ich otrzymania lub uzyskania do nich dostępu. Za przykład można wskazać kradzież dokumentacji czy wysłanie dokumentu z danymi do nieprawidłowego odbiorcy.
Naruszenie ochrony danych osobowych a obowiązki administratora danych
RODO w art. 33 ust. 1 wskazuje, że administrator danych ma obowiązek zgłoszenia naruszenia ochrony danych osobowych. Obowiązek ten musi zostać wykonany przez administratora bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Chwilą, od której należy liczyć powyższy termin, jest moment, w którym stwierdził on wystąpienie naruszenia. Owe „stwierdzenie” naruszenia oznacza uzyskanie wystarczającej pewności o tym, że doszło do wystąpienia naruszenia bezpieczeństwa, którego skutkiem jest ujawnienie danych osobowych.
Jak wskazał ustawodawca unijny w motywie 85 preambuły RODO, przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego też natychmiast po stwierdzeniu naruszenia ochrony danych administrator powinien zgłosić je organowi nadzorczemu, chyba że administrator jest w stanie wykazać, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.
Kiedy nie trzeba zgłaszać naruszenia?
Nie w każdym przypadku dojścia do naruszenia ochrony danych osobowych administrator ma obowiązek zgłaszania tego faktu. Obowiązek zgłoszenia organowi nadzorczemu nie powstanie w sytuacji, gdy jest mało prawdopodobne, by naruszenie wiązało się z ryzykiem naruszenia praw i wolności osób fizycznych.
Oceny tego, czy naruszenie jest mało „ryzykowne”, dokonuje administrator danych. Administrator powinien zbadać poziom ryzyka i dopiero kiedy jest on wysoki, powstaje obowiązek zawiadomienia organu nadrzędnego. Badanie to powinno uwzględniać wszelkie okoliczności naruszenia znane administratorowi. Z całą pewnością ocena nie może być dokonywana na podstawie hipotetycznych scenariuszy odnoszących się do prawdopodobieństwa wystąpienia określonego skutku naruszenia ochrony danych.
Jak powinno wyglądać zgłoszenie do PUODO?
Przepis 33 ust. 3 RODO wskazuje na obligatoryjne elementy, jakie powinno posiadać każde zgłoszenie naruszenia danych adresowane do PUODO. Przepis wskazuje, że zgłoszenie powinno przynajmniej:
opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków;
zawierać wyjaśnienie przyczyn opóźnienia w przypadku zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych.
Treść takiego zgłoszenia powinna pozwolić organowi nadzorczemu w prosty sposób uzyskać niezbędną wiedzę o zaistniałym naruszeniu oraz dokonać oceny poziomu ryzyka, jakie za sobą niesie. Organ powinien móc również zweryfikować, czy zostały podjęte odpowiednie działania w celu zapobieżenia powtórzeniu się naruszeń oraz ograniczenia jego negatywnych konsekwencji.
Naruszenie ochrony danych osobowych a obowiązek zawiadomienia
Prócz obowiązku zawiadomienia PUODO niekiedy powstaje również obowiązek poinformowania o naruszeniu osób, których danych osobowych dotyczyło naruszenie. Dzieje się tak, jeśli naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Naruszenie praw i wolności ma miejsce, kiedy prowadzi ono do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jak wskazuje się w doktrynie, należy zakładać, że może dojść do naruszenia praw i wolności osób fizycznych, kiedy dochodzi do naruszenia danych wrażliwych. Nie jest przy tym konieczne, aby ryzyko powyższych zdarzeń się urzeczywistniło, wystarczy, że takie ryzyko teoretycznie istnieje.
Administrator danych ma obowiązek zawiadomić osobę fizyczną bez zbędnej zwłoki. Motyw 87 preambuły RODO wskazuje, że to, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić w szczególności z uwzględnieniem charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. W praktyce można rozumieć powyższe pojęcie jako nakaz zawiadomienia w pierwszym możliwym terminie, tj. tak szybko, jak pozwala na to okoliczność danej sprawy.
Zawiadomienie powinno posiadać przynajmniej takie informacje jak:
wyjaśnienie, na czym polegało naruszenie;
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
opis możliwych konsekwencji naruszenia ochrony danych osobowych;
opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Kiedy nie zachodzi obowiązek zawiadomienia?
Tak jak w przypadku PUODO tutaj także administrator nie zawsze będzie musiał zawiadamiać osobę, której dane dotyczą, nawet jeżeli zostały spełnione wszystkie właściwe przesłanki. Obowiązek zawiadomienia nie zachodzi, gdy:
dane osobowe, których dotyczy naruszenie, objęte są odpowiednimi środkami ochrony np. szyfrowaniem uniemożliwiającym odczyt danych osobowych osobom nieuprawnionym;
administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą (zidentyfikował osobę fizyczną, która uzyskała dostęp do danych osobowych i podjął wobec niej działania jeszcze przed wykorzystaniem danych);
powiadomienie osoby, której dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku – w takiej sytuacji można zamieścić publiczny komunikat na stronie www lub w lokalnej gazecie.
Naruszenie ochrony danych osobowych – potrzebna dokumentacja
RODO nakłada na administratora obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych. Obowiązek ten dotyczy wszystkich naruszeń, nawet tych małej wagi, które nie muszą być nigdzie zgłaszane. Należy przy tym pamiętać, że organ nadzorczy w czasie kontroli może zażądać wglądu do tej dokumentacji.
Dokumentacja naruszeń ochrony danych osobowych powinna zawierać przynajmniej udokumentowanie:
okoliczności naruszenia ochrony danych osobowych,
skutków naruszenia,
podjętych działań zaradczych.
Dokumentacja powinna być prowadzona w taki sposób, by organ mógł dokonać kontroli przestrzegania obowiązków określonych w omawianym przepisie art. 33 i art. 34 RODO, tj. zarówno w zakresie dokumentacji naruszenia ochrony danych osobowych, jak i w zakresie zgłaszania.