Naruszenie bezpieczeństwa a naruszenie ochrony danych osobowych

Naruszenie ochrony danych osobowych jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, które są przesyłane, przechowywane lub przetwarzane.

Naruszenie bezpieczeństwa informacji/danych (nie tylko danych osobowych) jest co do zasady definiowane szerzej niż samo naruszenie ochrony danych osobowych. W takiej sytuacji w procedurze wewnętrznej zgłaszania naruszeń trzeba oddzielić sytuacje naruszeń danych osobowych od różnego rodzaju innych naruszeń bezpieczeństwa fizycznych, organizacyjnych czy systemowych, które nie prowadzą do naruszenia danych osobowych oraz prób naruszeń systemów informatycznych przedsiębiorcy, których dziennie może być bardzo wiele, ale nie koniecznie prowadzą one do naruszenia ochrony danych osobowych. Należy także opracować instrukcję postępowania i kontaktowania się w celu przeanalizowania wewnętrznego czy zewnętrznego zgłoszenia naruszenia i identyfikacji, czy jest to tego rodzaju naruszenie, które należy raportować.

Zgłoszenia naruszeń do organu nadzorczego

W sytuacji naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Jednakże nie ma konieczności zgłaszania naruszenia, gdy jest mało prawdopodobne, aby dane naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania obowiązków administratora danych określonych w RODO.

Zawiadomienie podmiotu danych o naruszeniu

W sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu (art. 33 RODO). Zawiadomienie to musi w prosty i zrozumiały sposób opisywać charakter naruszenia i wskazywać tożsame informacje, jak określone poniżej przy obowiązkach podmiotu przetwarzającego dane lit. (ii) – (iv).

Dokonanie takiego zawiadomienia nie jest jednak wymagane, jeżeli :

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Współpraca z podmiotami przetwarzającymi dane osobowe

Administrator danych ma zatem 72 godziny na zgłoszenie naruszeń ochrony danych osobowych do organu nadzorczego. Jest to niewiele czasu biorąc pod uwagę skalę naruszenia, konieczność jego analizy oraz współpracy z podmiotami przetwarzającymi w celu identyfikacji problemu. Jakość tej współpracy zależy także w dużej mierze od tego, jakie postanowienia znajdą się w umowie z podmiotem przetwarzającym nasze lub naszych klientów dane. Artykuł 28 ust. 3 lit f) jest bardzo ogólny i stanowi, że podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w m.in. w art. 33-34 RODO. Artykuł 33 oraz 34 RODO regulują sytuacje zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu kierowane do podmiotu danych.

Obowiązki podmiotu przetwarzającego dane

Stosowanie do art. 33 ust. 2 RODO podmiot przetwarzający dane po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi danych. W zgłoszeniu takim podmiot przetwarzający dane powinien co najmniej wskazać:

  1. charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub podać inną możliwość kontaktu do osoby, od której można uzyskać więcej informacji;
  3. możliwe konsekwencje naruszenia ochrony danych osobowych;
  4. środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Informacji też można udzielać sukcesywnie bez zbędnej zwłoki ale jedynie w zakresie, w jakim nie da się ich udzielić w tym samym czasie co pozostałych informacji. Jest to wiele informacji, które podmiot przetwarzający powinien umieć zidentyfikować, zebrać i przekazać w odpowiedniej formie do administratora danych i współpracować z nim w celu rozwiązania problemu, przygotowaniu zgłoszenia, wdrożeniu planu naprawy i zapobiegania kolejnym naruszeniom tego samego lub podobnego rodzaju. Potrzebna jest do tego struktura, procedura oraz dedykowany adres (punkt kontaktowy) i osoby. Niezbędne są także działania komunikacyjne i naprawcze.

Same konsekwencje naruszenia bezpieczeństwa danych mogą mieć kluczowy wpływ na dalszą działalność zarówno po stronie administratora jak i podmiotów przetwarzających dane.

Dlatego też, zasadnym jest zainwestowanie niezbędnych środków w przeciwdziałanie naruszeniom i zbudowanie struktury reagowania na zgłoszenia oraz opracowanie, wdrożenie mechanizmów ochrony, przy których będzie mało prawdopodobne, aby dane naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jest to rozwiązanie skuteczniejsze, niż konieczność ponoszenia dużo większych kosztów związanych z odpowiedzialnością względem: (i) regulatora – kara administracyjna, (ii) administratora danych – odpowiedzialność umowna, (iii) podmiotu danych – odpowiedzialność cywilna  za naruszenie danych. Do tego dochodzi ryzyko reputacyjne oraz wydatki prawne, konsultingowe, naprawcze związane z samym naruszeniem.

RODO zdecydowanie wymaga całościowego myślenia o przetwarzaniu danych i wbudowania prywatności we wszystkie procesy w danej organizacji. I należy o tym pomyśleć i wdrożyć zanim nie będziemy mieli już innego wyboru, jak tylko w pośpiechu ratować się przed skutkami naruszenia danych osobowych.

dr Marlena Wach