EDPO

EDPO - Ochrona Danych Osobowych
Magdalena Gujska 2017-11-21

Grupa Robocza Art. 29 w dniu 3 października 2017 r. przyjęła wytyczne w sprawie powiadomień o naruszeniu ochrony danych osobowych.

Ogólne rozporządzenie o ochronie danych w art. 33 i 34 wprowadza wymóg powiadamiania organu nadzorczego o naruszeniu ochrony danych osobowych, a także, w niektórych przypadkach, poinformowania o naruszeniu osób, których dane ucierpią wskutek takiego naruszenia. Pomimo, że na gruncie prawa unijnego zaleca się, by wszelkie naruszenia ochrony danych konsultować z organem nadzorczym, w praktyce jest to nowość w polskim porządku prawnym. Dotychczas administratorzy, w przypadku naruszenia ochrony danych, np. włamania do bazy danych, nieuprawnionego ujawnienia danych lub ich kradzieży nie mieli takich obowiązków na gruncie przepisów dotyczących ochrony danych osobowych. Właściciele danych oraz GIODO dowiadywali się o przypadkach naruszeń dopiero w sytuacjach, gdy zdarzenie zostało wykryte przez podmioty lub organizacje zajmujące się wykrywaniem naruszeń bezpieczeństwa informacji lub nagłośnione w mediach.

Po 25 maja 2018 r. stan ten ma ulec zmianie, a administratorzy danych będą mieli obowiązek zgłaszać naruszenia ochrony danych w ciągu 72 h po stwierdzeniu naruszenia, chyba, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw i wolności właścicieli danych.

Aby określić, w jakim stopniu dane naruszenie dotyka właścicieli danych, należy przeprowadzić analizę ryzyka w swojej organizacji i odnieść się do konkretnych przypadków. Jest to niezmiernie istotne, ponieważ naruszenia mogą mieć bardzo negatywne konsekwencje dla osób fizycznych, np. utrata kontroli nad swoimi danymi, kradzież tożsamości, naruszenie dobrego imienia lub strata finansowa. Do oceny ryzyka związanego z naruszeniem pomocna może się okazać przeprowadzona wcześniej ocena skutków dla ochrony danych. Istotna jest tu jednak szybkość reakcji administratora na powstałe naruszenia.

Kiedy administrator „stwierdza” naruszenie?

Wtedy, kiedy ma wystarczający stopień pewności, że naruszenie miało miejsce i jak zwykle – wszystko zależy od konkretnego przypadku. Po powzięciu wiadomości o możliwym naruszeniu administrator powinien jak najszybciej przeprowadzić wstępne dochodzenie w celu ustalenia, czy doszło do naruszenia i czy powstał wymóg zgłoszenia w trybie art. 33 oraz podjąć działania zaradcze. ADO powinien przyjąć odpowiednie procedury wewnętrzne pozwalające na wykrywanie naruszeń i zaradzanie im.

Przykład: „Osoba fizyczna poinformowała administratora o otrzymaniu wiadomości elektronicznej, w której ktoś się pod niego podszywał; wiadomość zawiera dane osobowe związane z (bieżącym) korzystaniem z usług administratora, co sugeruje, że istnieje zagrożenie dla jego bezpieczeństwa. Administrator przeprowadza krótkie dochodzenie, w toku którego odkrywa, że miało miejsce włamanie do jego sieci, i znajduje dowody nieuprawnionego dostępu do danych osobowych. Od tej chwili uznaje się, że administrator „stwierdził” naruszenie i wymagane jest powiadomienie organu nadzorczego, jeżeli może ono narazić osoby fizyczne na ryzyko. Administrator musi w takiej sytuacji podjąć odpowiednie działania następcze w celu zaradzenia naruszeniu.”

Jeżeli administrator korzysta z usług podmiotu przetwarzającego, podmiot taki po stwierdzeniu naruszenia ochrony danych osobowych musi zgłosić je administratorowi niezwłocznie. Administratorzy zobowiązani są więc określać w umowach zawieranych z podmiotami przetwarzającymi, warunki powiadamiania administratora o naruszeniach.

Jakie informacje przekazywać organowi nadzorczemu?

W art. 33 ust. 3 RODO wymienione są elementy, jakie musi zawierać zgłoszenie. Niemniej jednak, w zależności od charakteru i stopnia skomplikowania naruszenia, administratorzy w ciągu wymaganych 72 h mogą nie być w stanie uzyskać pełnej i precyzyjnej informacji o stopniu naruszenia. Nie powinno być to jednak przeszkodą w terminowym zgłoszeniu takiego zdarzenia, z uwagi na fakt, że RODO dopuszcza możliwość sukcesywnego przekazywania dodatkowych informacji o naruszeniu (np. podanie w przybliżeniu liczby osób fizycznych, których dane naruszono, a w późniejszym terminie określenie dokładnej ilości). Należy skupić się na usuwaniu negatywnych skutków naruszenia, a nie na podawaniu dokładnych danych liczbowych. W przypadku stwierdzenia naruszenia bezpieczniej jest więc dokonać zgłoszenia naruszenia i ująć w nim informacje, które administrator zdołał ustalić na dany moment. Szczegółowe informacje dot. naruszenia należy w miarę możliwości i bez zbędnej zwłoki uzupełnić, uzasadniając jednocześnie przyczynę nieprzekazania całości materiału.

Wytyczne opisują również warunki dopuszczalności tzw. powiadamiania sukcesywnego oraz powiadamiania organu z opóźnieniem.

WAŻNE: Za zgłoszenie zdarzenia, które ostatecznie nie okaże się naruszeniem, nie przewiduje się żadnej kary.

Zawiadamianie osoby, której dane dotyczą – art. 34

W niektórych przypadkach poza powiadomieniem organu nadzoru administrator zobowiązany jest powiadomić również osoby fizyczne, których dane naruszono. Administratorzy powinni pamiętać, że powiadomienie organu nadzorczego jest obowiązkowe w przypadku, gdy naruszenie może narazić osoby fizyczne na ryzyko. W przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych należy poinformować także te osoby. Oznacza to, że osoby fizyczne nie muszą być powiadamiane o wszystkich naruszeniach, natomiast organ nadzorczy powiadamiany jest w każdym przypadku. Właścicieli danych należy poinformować o naruszeniu tak szybko, jak jest to możliwe, działając w ścisłej współpracy z organem nadzorczym.

Głównym celem powiadamiania osób fizycznych jest przekazanie im, w jasny i zrozumiały dla nich sposób, konkretnych informacji dotyczących kroków, jakie powinny podjąć, by zapewnić sobie bezpieczeństwo i uchronić się przed negatywnymi skutkami naruszenia (np. zresetować hasła).

Co do zasady należy powiadamiać właścicieli danych o naruszeniach bezpośrednio. Można tego dokonać poprzez wysłanie wiadomości (poczta, sms, email, newsletter, powiadomienia wyświetlane na koncie użytkownika po zalogowaniu się do systemu), zamieszczenie widocznego baneru na stronie internetowej, widocznej reklamy w prasie. Można wybrać jeden lub kilka kanałów komunikacji.

WAŻNE: Powiadomienia ograniczającego się do komunikatu prasowego czy firmowego bloga nie uznaje się za skuteczne poinformowanie osoby fizycznej o naruszeniu.

Należy pamiętać, że RODO w art. 34 ust. 3 wskazuje przypadki, w których nie jest wymagane powiadamianie właścicieli danych o naruszeniach.

Jak ocenić (wysokie) ryzyko naruszenia?

Grupa Art. 29 zaleca, by przy ocenie ryzyka wziąć pod uwagę następujące kryteria:

Rodzaj naruszenia – naruszenie poufności, polegające na ujawnieniu posiadanych środków na rachunku klientów banku może mieć inne konsekwencje dla właścicieli danych niż utrata danych lub dostępu do nich.

Kategorie danych i skala przetwarzanych danych osobowych – mała ilość tzw. danych wrażliwych może mieć duży wpływ na osobę, której dotyczą. Duży zakres danych może natomiast doprowadzić do ujawnienia jeszcze większej ilości informacji na jej temat.

Łatwość identyfikacji osoby fizycznej – zastosowanie pseudonimizacji lub szyfrowania danych mogą minimalizować prawdopodobieństwo zidentyfikowania właściciela danych.

Skala konsekwencji dla osób fizycznych – w zależności od charakteru danych osobowych objętych naruszeniem szkoda dla osób fizycznych może okazać się bardzo dotkliwa, np. kradzież lub sfałszowanie tożsamości, strata finansowa lub naruszenie dobrego imienia.

Cechy szczególne osoby fizycznej ­– w wyniku naruszenia dane osobowe dzieci lub osób wymagających szczególnej opieki, np. ze względu na swój stan zdrowia mogą zostać narażone na wysokie ryzyko.

Liczba osób poszkodowanych – naruszenie może dotyczyć zarówno jednej osoby lub kilku tysięcy osób. Im większa liczba poszkodowanych, tym poważniejsze skutki może mieć naruszenie.

Cechy szczególne administratora danych – w zależności od tego, jaka jest główna działalność administratora danych, naruszenie może stanowić większe lub mniejsze zagrożenie dla właścicieli danych. Wysokie ryzyko naruszenia będzie występować w szpitalach, które przetwarzają szczególne kategorie danych na dużą skalę, a inaczej w firmie, która przetwarza tylko adresy mailowe klientów w celu wysłania im newsletterów.

Dokumentowanie naruszeń

Administrator zobowiązany jest do prowadzenia dokumentacji wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Takie działanie zapewnia spełnienie zasady rozliczalności wyrażonej w art. 5 ust. 2 RODO.

Grupa Art. 29 zaleca by administrator był wstanie wykazać i udokumentować również:

  • przesłanki, które miały wpływ na podjęcie decyzji o niezgłoszeniu naruszenia lub niepowiadomieniu osób fizycznych o naruszeniach,
  • przyczyny opóźnienia zgłoszenia naruszenia organowi nadzorczemu,
  • skuteczne i terminowe wywiązanie się z obowiązku powiadomienia właścicieli danych o naruszeniach.