A Ty? Ile naruszeń stwierdziłeś w organizacji?

Urząd Ochrony Danych Osobowych opublikował poradnik o obowiązkach związanych z naruszeniami ochrony danych osobowych. Przy okazji UODO zdradził, iż w ciągu pierwszego roku obowiązywania RODO administratorzy zgłosili do Urzędu blisko 4600 naruszeń (https://uodo.gov.pl/pl/134/1029).

Czy to oznacza, że około 2 miliony przedsiębiorców (co najmniej tylu aktywnych przedsiębiorców jest w Polsce) nie miało żadnego naruszenia ochrony danych osobowych w ostatnim roku? A może te, które wystąpiły po prostu nie wymagały zgłoszenia…

Można też wyciągnąć z tej statystyki inny wniosek – 2 miliony przedsiębiorców nie wdrożyło lub nie rozumie RODO. Byłby to dla naszej prywatności wniosek niebezpieczny. Tytułem szybkiego przypomnienia – administrator ma obowiązek zgodnie z przepisami odnotować każde naruszenie ochrony danych osobowych w wewnętrznym rejestrze naruszeń.

Jeżeli naruszenie może powodować ryzyko naruszenia praw i wolności osób fizycznych, należy je dodatkowo zgłosić do Prezesa UODO. Ponadto powinno się zawiadomić osoby, których dane dotyczą, gdy ryzyko to może być wysokie. Jednocześnie zasada rozliczalności wymaga, aby administrator był gotów wykazać brak obowiązku zgłoszenia do Prezesa UODO lub zawiadomienia podmiotów danych w przypadku konkretnych naruszeń. Trudno sobie wyobrazić zapewnienie tej rozliczalności bez posiadania odpowiedniej procedury i metodologii oceny powagi naruszenia oraz dobrze prowadzonego rejestru naruszeń.

Skąd mam wiedzieć, że to naruszenie?

W identyfikacji naruszenia kluczowe jest odpowiednie przeszkolenie pracowników.

Z jednej strony to właśnie pracownik często będzie sprawcą naruszenia.

Z drugiej strony ma również szanse najszybciej je zauważyć i zgłosić odpowiednim osobom, np. inspektorowi ochrony danych osobowych.

Dlatego tak ważna jest czytelna instrukcja dla pracowników, opisująca typowe przypadki naruszeń i zasady postępowania w przypadku ich zauważenia.

Naruszenie to:

  • nieprawidłowo zaadresowana korespondencja e-mail (ach, te podpowiedzi adresów w skrzynce pocztowej…),
  • korespondencja wysłana bez ukrytej kopii do wiadomości, pozostawienie niezabezpieczonych dokumentów w miejscu dostępnym dla osób nieupoważnionych, zgubienie nośnika pendrive.

Celowo podaję banalne przykłady (choć w określonych okolicznościach mogą one nabrać powagi!), bo w końcu nikt nie będzie miał wątpliwości, że mamy do czynienia z naruszeniem ochrony danych osobowych w przypadku poważnych zdarzeń, jak ataki hackerskie czy kradzież danych finansowych.

Na nieszczęście administratora do naruszenia może dojść u podmiotu przetwarzającego. W takich okolicznościach do obowiązków procesora należy zgłoszenie administratorowi naruszenia bez zbędnej zwłoki. Jak zapewnić wykonanie tego obowiązku przez procesora to długa historia o relacjach biznesowych, dojrzałości organizacji i odpowiednim wyborze podmiotów przetwarzających. Prezes UODO w opublikowanym poradniku zaznaczył, że w tym celu konieczne jest wpisanie w umowie powierzenia dosłownie, iż procesor dokona zgłoszenia naruszenia administratorowi „bez zbędnej zwłoki”.

Co się dzieje z informacją o naruszeniu?

W rzeczywistości odpowiedź na pytanie: „Dlaczego to jest ważne?” powinna skłonić podmiot przetwarzający do nie tylko bezzwłocznego, ale wręcz natychmiastowego zgłoszenia.

Droga, jaką musi przebyć informacja o naruszeniu od podmiotu przetwarzającego do administratora, a tam wewnętrznie od kontaktu biznesowego, przez przełożonego, do inspektora ochrony danych i być może do pracownika odpowiedzialnego za obsługę naruszeń, jest długa. Dość dodać potrzebę zebrania informacji o zdarzeniu, ocenę powagi naruszenia, przygotowanie zgłoszenia do Prezesa UODO oraz treści zawiadomienia podmiotów danych i czas dostarczenia przesyłki z zawiadomieniem. Można sobie wyobrazić liczne konsekwencje dla praw i wolności osoby, której dane dotyczą, które mogły nastąpić szybciej, niż zakończy się obieg informacji o naruszeniu.

Chociaż naruszenie może mieć negatywne konsekwencje dla organizacji (finansowe, wizerunkowe, inne), to priorytetem jest jego ocena z punktu widzenia konsekwencji dla osoby, której dane dotyczą. Mechanizm notyfikacji naruszeń ma na celu umożliwić zapobieganie skutkom naruszenia lub ich zminimalizowanie jeśli już wystąpiły. Im szybciej podmioty danych dowiedzą się, że doszło do naruszenia ich danych osobowych, tym szybciej będą w stanie zareagować. Mniejsze szkody podmiotów danych, to również mniejsza odpowiedzialność administratora.

Dlatego Prezes UODO zalecił w opublikowanym poradniku, aby administrator zamiast nadawać zawiadomienie listem poleconym, skorzystał raczej z wiadomości e-mail. Dobierając kanał komunikacji z podmiotem danych, należy cały czas pamiętać o możliwości wykazania, że zawiadomienie zostało przez administratora przekazane. Nie oznacza to, że odpada komunikacja bezpośrednia lub telefoniczna. Wręcz przeciwnie – w określonych sytuacjach rozmowa z podmiotem danych może być wskazana. Po przeprowadzeniu takiej rozmowy administrator może wysłać do podmiotu danych podsumowanie rozmowy, zapewniając sobie rozliczalność.

Kiedy zgłosić naruszenie, a kiedy zawiadomić?

Czasem administrator jest w stanie określić intuicyjnie, że naruszenie wymaga zawiadomienia podmiotów danych, a zatem również zgłoszenia Prezesowi UODO. Jesteśmy jednak profesjonalistami i nie powinniśmy bazować wyłącznie na wyczuciu. Ważne, by nie zbagatelizować przypadków, które faktycznie mogą skutkować wysokim ryzykiem naruszenia praw i wolności podmiotu danych. Nie mówiąc o tym, że wszystkie przypadki naruszeń, które nie zostały zgłoszone Prezesowi UODO i o których administrator nie zawiadomił podmiotów danych, należy uzasadnić. Obawiam się, że uzasadnienie wyczuciem administratora może nie być dla organu przekonujące.

Aby zapewnić jednolitość oceny podobnych przypadków naruszeń, kryteria oceny powagi naruszenia (co determinuje potrzebę zgłoszenia lub zawiadomienia o naruszeniu) oraz wykonanie obowiązków związanych z wystąpieniem naruszenia i w końcu rozliczalność, administrator powinien opracować i wdrożyć odpowiednią procedurę postępowania z naruszeniami.

Z procedury powinno wynikać, w jaki sposób ocenić czy naruszenie może powodować ryzyko naruszenia praw i wolności osób fizycznych, a jeśli tak, to jaka jest powaga tego ryzyka (czy ryzyko jest wysokie czy nie) i jak w określonych okolicznościach powinien postąpić administrator.

Odpowiedzialność administratora

Jednocześnie odpowiedzialność administratora nie kończy się z chwilą załatwienia formalizmów związanych z notyfikacją naruszenia. Administrator powinien przede wszystkim podjąć działania zapobiegające wystąpieniu skutków naruszenia lub zmierzające do ich zminimalizowania, jeśli już wystąpiły. Powinien również wyciągnąć wnioski z danego zdarzenia. Ważne, by uniknąć podobnych sytuacji w przyszłości i podjąć konkretne działania ukierunkowane na zapobieganie kolejnym naruszeniom.

Procedura powinna ułatwiać administratorowi przejście przez te kolejne etapy postępowania z naruszeniami. Powinna też zapewnić rozliczalność wykonania obowiązków, również w zakresie środków zapobiegawczych.

Urząd Ochrony Danych Osobowych słusznie zwraca uwagę, iż tego rodzaju procedura powinna powstać niezależnie od wystąpienia naruszenia ochrony danych osobowych. W chwili zaistnienia naruszenia procedura powinna już zadziałać.

Domyślna ochrona prywatności

W poradniku UODO dotyczącym naruszeń pojawiło się kilka przykładów oceny powagi naruszenia. Autorzy zasugerowali m. in., że celowa kradzież dokumentacji skutkuje wysokim ryzykiem. Z kolei naruszenie dotyczące danych szczególnych kategorii oznacza duże prawdopodobieństwo naruszenia praw i wolności podmiotów danych. W obu przypadkach występują czynniki zwiększające powagę naruszenia (zamiar działania, zakres danych osobowych), jednak wskazana jest indywidualna ocena każdego przypadku. Zakres danych w skradzionej dokumentacji może nie nadawać się do spowodowania negatywnych skutków dla praw i wolności podmiotu danych. Prawdopodobieństwo wystąpienia skutków naruszenia obejmującego dane szczególnych kategorii może zaś być nikłe (np. dokumentacja medyczna, która zniknęła, została zwrócona zanim opuściła teren placówki).

Niemniej trzeba podkreślić za poradnikiem, że wszelkie wątpliwości administrator powinien rozstrzygać na korzyść ochrony prywatności. Nie namawiamy do zgłaszania naruszeń, które tego zgłoszenia nie wymagają. Natomiast w przypadkach nieoczywistych, których administrator zdecydował się nie notyfikować, brak zgłoszenia lub zawiadomienia powinien być szczególnie dobrze uzasadniony.


Zobacz inne artykuły Piotra Kaliny