72 godziny – maksymalnie tyle, zgodnie z RODO, ma Administrator Danych Osobowych, by zgłosić do UODO naruszenie bezpieczeństwa danych osobowych, czyli przypadkowego lub niezgodnego z prawem zakłócenia ochrony danych osobowych. Co będzie naruszeniem, które należy zgłosić PUODO, a które nie będzie tego wymagać? Jak unikać naruszeń, by nie myśleć o karach? A finalnie, jak – jeśli się pojawią – zgłosić je do Urzędu Ochrony Danych Osobowych?
Co to jest naruszenie ochrony danych osobowych?
Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Kiedy mówimy o naruszeniu?
Według RODO, naruszenie:
- Dotyczy danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot,
- Skutkować będzie zniszczeniem, utratą, modyfikacją, ujawnieniem (nieuprawnionym) lub nieuprawnionym dostępem do danych,
- Wynika ze złamania zasad bezpieczeństwa danych.
3 typy naruszenia ochrony danych osobowych
Rozporządzenie dzieli naruszenia na trzy typy, w zależności od wykonanej akcji. Wyróżnić możemy naruszenie:
- Poufności – ujawnienie danych osobowych nieuprawnionej osobie.
- Dostępności – trwała utrata lub zniszczenie danych osobowych.
- Integralności – nieautoryzowana zmiana treści danych osobowych.
Przykładowe naruszenia ochrony danych osobowych
Definicje definicjami, jednak próbując zrozumieć temat naruszeń ochrony danych osobowych, najlepiej posłużyć się przykładami.
Do naruszenia ochrony danych osobowych dojdzie w następujących (i nie tylko) sytuacjach:
- Przypadkowy transfer danych osobowych do niewłaściwego działu w obrębie firmy;
- Utrata nośnika, np. pendrive, karty pamięci, dysku przenośnego, na którym składowane byłyby dane osobowe;
- Przypadkowe usunięcie (bezpowrotne) danych osobowych ze zbioru;
- Celowe lub przypadkowe dopisanie znaków przy danych osobowych (imieniu, nazwisku), zmieniające ich brzmienie;
- Przy odsprzedaży komputera, niewystarczające „wyczyszczenie” dysku z zawartości, w tym danych osobowych;
- Utrata dostępu do danych osobowych spowodowana brakiem prądu.
Do czego może doprowadzić naruszenie ochrony danych osobowych?
W wyniku sytuacji takich jak wymienione powyżej, może dojść do wielu bolesnych skutków wobec podmiotów, których dotyczy naruszenie – szkód majątkowych i niemajątkowych, a nawet uszczerbku fizycznego. Przykładowe skutki naruszenia to:
- dyskryminacja,
- strata finansowa,
- naruszenie reputacji,
- oszustwo,
- kradzież tożsamości.
Co należy zrobić z naruszeniem?
W sytuacji, gdy Administrator Danych Osobowych stwierdzi naruszenie danych osobowych lub wykryje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, musi powiadomić o tym osoby, których naruszenia dotyczą. RODO wymaga, by zrobił to bez zbędnej zwłoki, dlatego też organizacje powinny mieć opracowany schemat powiadomień w przypadku naruszeń.
Powiadomienie osób, których naruszenie dotyczy to dopiero połowa „sukcesu”. Poza tym, o naruszeniu należy powiadomić organ nadzorczy, również bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin. Jeśli powyższy czas zostanie przekroczony, poza zgłoszeniem naruszenia, należy wytłumaczyć dlaczego doszło do opóźnienia.
Zawiadomienie osoby, której dotyczy naruszenie
Jak wspomnieliśmy wyżej, Administrator Danych Osobowych, w momencie gdy stwierdzi naruszenie danych osobowych lub wykryje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki, musi o tym powiadomić osoby, których dotyczy naruszenie.
Jak powinno wyglądać takie zawiadomienie? Spróbujmy je skonkretyzować:
- zawiadomienie powinno uświadomić osobom fizycznym, że ochrona ich danych osobowych została naruszona,
- w trakcie informowania o naruszeniu, należy poinstruować, jakie kroki powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami naruszenia,
- tworząc treść zawiadomienia, należy używać języka prostego i jasnego, zrozumiałego dla odbiorcy,
- w treści zawiadomienia należy opisać charakter naruszenia i wskazać jego konsekwencje, a także opisać zastosowane lub proponowane środki zaradcze,
- zawiadomienie powinno zawierać informacje o Inspektorze Ochrony Danych w organizacji (imię i nazwisko, dane kontaktowe) lub innego punktu kontaktowego, który udzieli więcej informacji o naruszeniu.
Czy zawsze należy powiadamiać osoby o wykrytym naruszeniu?
Istnieją trzy sytuacje, w przypadku których nie ma obowiązku informowania osób o wykrytym naruszeniu dotyczącym ich danych osobowych. Będą to:
- Administrator wdrożył i zastosował właściwe (techniczne i organizacyjne) środki ochrony.
- Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia lub wolności osoby.
- Poinformowanie o naruszeniu wymagałoby niewspółmiernie dużego wysiłku. W takiej sytuacji wystarczy publiczny komunikat – należy jednak pamiętać, by był wystosowany „w równie skuteczny sposób”.
Czym skutkuje niewywiązanie się z obowiązku informacyjnego?
Wspomnieliśmy wcześniej, że warto mieć opracowany gotowy schemat informacyjny. Co, jeśli takiego nie wdrożymy? Niestety, musimy liczyć się z możliwością nałożenia na naszą organizację kary.
Niepoinformowanie osób o naruszeniu danych osobowych, które ich dotyczą, poinformowanie ich zbyt późno lub w niewłaściwy sposób, może wiązać się z obowiązkiem zapłaty kary wynoszącej maksymalnie 10 mln euro lub 2% rocznego światowego obrotu (poprzedni rok).
Zgłoszenie o naruszeniu Prezesa UODO – co powinno zawierać?
Według art. 33 ust. 3 RODO, w zgłoszeniu naruszenia Administrator powinien zawrzeć takie informacje jak:
- Opis charakteru naruszenia ochrony danych osobowych (kategorię + przybliżoną liczbę osób, których dane dotyczą; kategorię + przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie),
- Imię i nazwisko oraz dane kontaktowe IOD-a lub innego punktu kontaktowego,
- Opis ewentualnych konsekwencji naruszenia,
- Środki (proponowane lub zastosowane), dzięki którym zaradzi naruszeniu lub zminimalizuje jego ewentualne skutki.
Zgłoszenie o naruszeniu Prezesa UODO – jak to zrobić?
Zgodnie z wcześniejszą informacją, administrator musi powiadomić UODO o naruszeniu najszybciej jest to możliwe – bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia.
W tym celu musi wypełnić formularz i załączyć go do pisma ogólnego, które znaleźć można na platformie biznes.gov.pl.
Czy zawsze należy powiadamiać Prezesa UODO o naruszeniu?
By poznać odpowiedź na to pytanie, niezbędne będzie wykonanie analizy pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Badanie to pozwoli administratorowi zorientować się, czy takie ryzyko występuje – to od tego zależeć będzie, czy wykryte naruszenie będzie musiał zgłosić do UODO.
Jeśli wynik analizy ryzyka pokaże, że nie istnieje prawdopodobieństwo wykrycia naruszenia praw i wolności osób fizycznych, administrator nie będzie musiał powiadomić o naruszeniu Prezesa UODO.
Czy naruszenia trzeba ewidencjonować?
Tak, każde naruszenie – zgodnie z art. 33 ust. 5 RODO – należy ewidencjonować. Administrator, prowadząc wewnętrzną ewidencję naruszeń, musi rejestrować naruszenia ochrony danych osobowych, które zgłosił do UODO, ale również te, które nie podlegały zgłoszeniu, czyli nie zachodziło w ich przypadku ryzyko wykrycia naruszenia praw i wolności osób fizycznych.
Jak unikać naruszenia?
Niestety, RODO nie mówi wprost, jak unikać naruszenia ochrony danych osobowych w organizacji. Dlaczego? To bardzo proste. Każda firma to inne dane, różne sytuacje, mechanizmy. Dlatego to po stronie administratorów leży konieczność zastosowania WŁAŚCIWYCH środków technicznych i organizacyjnych, odpowiednich do rodzaju przetwarzanych danych, branży etc.
Poza koniecznością wymaganą przez wytyczne RODO, pomocnym z minimalizacji ryzyka wystąpienia naruszeń będzie system informatyczny, które pomoże administratorowi sprawować władzę nad wszystkimi procesami zachodzącymi w organizacji. Poznaj rozwiązanie RODO-Ready, którego głównym zadaniem jest wsparcie w przygotowaniu organizacji, by spełniała wytyczne Rozporządzenia. To nie tylko rozwiązanie informatyczne, ale również zestaw dokumentów, których wymaga RODO.