Od ponad czterech lat obowiązuje ogólne rozporządzenie o ochronie danych[1], popularnie zwane RODO. Nakłada ono na administratorów danych szczególne obowiązki związane z dokonaniem zgłoszenia naruszeń ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych, a także wymóg prowadzenia dokumentacji naruszeń. Praktyka pokazuje, że liczba zgłoszeń stale rośnie. Przykładowo, w 2021 r. administratorzy danych zgłosili do Urzędu Ochrony Danych Osobowych (dalej: „UODO” lub „organ nadzorczy”), jako niezależnego organu nadzorczego sprawującego kontrolę nad przetwarzaniem danych osobowych, prawie 13 tysięcy naruszeń[2].
Statystyki krajowego organu nadzorczego wyraźnie pokazują, że każdy administrator danych osobowych lub podmiot przetwarzający w pewnym momencie będzie się musiał zmierzyć z incydentem naruszenia ochrony danych osobowych w swojej organizacji. W celu należytego wykonania obowiązków dokumentacyjnych oraz administracyjnych związanych z kontaktem z organem nadzoru lub osobami, których dane dotyczą, należy umieć prawidłowo zidentyfikować sytuacje, w których doszło do naruszenia ochrony danych osobowych.
Co to jest naruszenie ochrony danych osobowych?
Dla ukazania sposobu realizacji obowiązku dokonania zgłoszenia organowi nadzorczemu pomocne jest wyjaśnienie zawartego w art. 4 pkt 12 RODO pojęcia „naruszenia ochrony danych osobowych” (ang. personal data breach), które oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych.
Aby doszło do naruszenia ochrony danych osobowych, muszą być spełnione łącznie trzy przesłanki określone w art. 4 pkt 12 RODO. Po pierwsze, naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie. Po drugie, w związku z przetwarzaniem danych osobowych musi dojść do naruszenia bezpieczeństwa, a po trzecie muszą wystąpić określone skutki takiego naruszenia czyli: zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.
Kiedy zdarzenie należy kwalifikować jako naruszenie?
Pomocne dla kwalifikacji naruszenia ochrony danych osobowych są Wytyczne Grupy Roboczej art. 29[3]. Wynika z nich, że o naruszeniu ochrony danych osobowych możemy mówić wtedy, kiedy wystąpi:
- naruszenie poufności – niedozwolone lub przypadkowe ujawnienie lub dostęp do danych osobowych;
Przykład: Wysyłka maila z załączonymi danymi osobowymi do nieuprawnionego adresata.
- naruszenie dostępności – utrata dostępu do danych osobowych lub ich zniszczenie;
Przykład: Utrata klucza lub hasła dostępu do zaszyfrowanych wcześniej danych.
- naruszenie integralności – niedozwolona lub przypadkowa zmiana danych osobowych;
Przykład: Przypadkowe przeniesienie kartoteki jednego klienta do kartoteki zawierającej dane innego klienta.
Co z tego wynika dla podmiotów odpowiedzialnych za bezpieczeństwo danych wewnątrz organizacji? Przede wszystkim naruszenie ochrony danych jest skutkowym (nieodwracalnym) naruszeniem bezpieczeństwa informacji dotyczącym danych osobowych, a organowi nadzorczemu zgłaszamy tylko takie naruszenia, które pociągają za sobą negatywne konsekwencje dla bezpieczeństwa danych. Tak przyjęta konstrukcja powoduje, że inne wyraźne uchybienia np. niewypełnienie obowiązku informacyjnego przy gromadzeniu danych lub realizacja żądań podmiotów danych z przekroczeniem terminów – nie kwalifikują się, jako naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.
Do czego może doprowadzić naruszenie ochrony danych?
Wskazana w art. 4 pkt 12 RODO definicja naruszenia ochrony danych osobowych wyróżnia pięć odrębnych następstw naruszenia bezpieczeństwa:
- zniszczenie danych osobowych – sytuacja, w której dane przestają istnieć w formie nadającej się do użytku administratora;
Przykład: Zniszczenie dokumentu w niszczarce, trwałe uszkodzenie twardego dysku uniemożliwiające odczyt lub odtworzenie zapisanych danych, spalenie archiwum z dokumentami.
- utrata danych osobowych – sytuacja, w której dane mogą wprawdzie nadal istnieć, ale administrator utracił nad nimi kontrolę lub dostęp do nich lub nie jest już w ich posiadaniu;
Przykład: Utrata klucza lub hasła dostępu do zaszyfrowanych wcześniej danych, atak randsomware, kradzież niezabezpieczonego hasłem laptopa firmowego;
- zmodyfikowanie danych – uszkodzenie (przypadkowe lub niezgodne z prawem) danych, co oznacza, że dane osobowe uległy zmianie lub zepsuciu, a w konsekwencji stały się niekompletne, częściowo nieczytelne, nieprawidłowe;
Przykład: Nieuprawniona manipulacja zapisanymi wynikami badań pacjenta, nieuprawniona osoba wprowadza zmiany w bazie danych tak, że stają się one nieprawidłowe np. dane kontaktowe.
- nieuprawnione ujawnienie i nieuprawniony dostęp do danych – niedozwolone
lub niezgodne z prawem przetwarzanie obejmuje przypadki ujawnienia lub udostępnienia danych osobowych odbiorcom nieupoważnionym do ich otrzymania lub uzyskania do nich dostępu, a także wszelkie inne formy przetwarzania naruszające postanowienia RODO.
Przykład: Wysyłka maila z załączonymi danymi osobowymi do nieuprawnionego adresata, kradzież dokumentacji lub uzyskanie dostępu do danych w systemie informatycznym przez osobę trzecią na skutek złamania zabezpieczeń technicznych.
Obowiązek zgłoszenia organowi nadzorczemu
Obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu reguluje art. 33 RODO, zaś obowiązek zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, art. 34 RODO.
W każdym przypadku, w którym prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych w związku z określonym naruszeniem ochrony danych osobowych jest wyższe od małego, administrator jest zobligowany do dokonania zgłoszenia takiego naruszenia organowi nadzorczemu. W Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych.
Ogólne rozporządzenie o ochronie danych precyzyjnie wskazuje terminy zgłoszenia naruszenia ochrony danych. Incydent powinien być zgłoszony do Prezesa UODO w ciągu 72 godzin od stwierdzonego naruszenia. Po upływie 72 godzin należy dołączyć także wyjaśnienie przyczyn opóźnienia, w którym stwierdzone zostanie naruszenie ochrony danych osobowych.
Zgłoszenie naruszenia powinno obejmować cztery grupy informacji:
- opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości powinno wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
- zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innej osoby, która w razie potrzeby udzieli informacji,
- opis możliwych konsekwencji naruszenia ochrony danych osobowych,
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach opis środków stosowanych w celu zminimalizowania jego ewentualnych negatywnych skutków (art. 33 ust. 3 RODO).
Czy w każdym przypadku należy poinformować organ nadzorczy o naruszeniu? Zgłoszenie nie jest konieczne, jeżeli ryzyko naruszenia praw lub wolności jest niskie, tzn. jest mało prawdopodobne, że wskutek naruszenia ochrony danych ktoś ucierpi. Może się zdarzyć, że wyciek lub zniszczenie danych nie skutkuje szkodą po stronie osób, których dane ucierpiały. Jednak, to obowiązkiem administratora jest wykazanie, że ryzyko naruszenia praw i wolności osób, których dane wyciekły jest niskie. Nawet, jeżeli nie ma potrzeby zawiadamiania o incydencie UODO, pamiętajmy o obowiązku dokumentowania na wypadek ewentualnej kontroli (art. 33 ust. 5 RODO). W dokumentacji należy odnotować, w jakich okolicznościach doszło do naruszenia, jaki jest jego skutek i co organizacja zrobiła, aby naprawić sytuację.
Na co należy zwrócić szczególną uwagę? Zgłoszenie naruszenia można wykonać w formie elektronicznej, podpisując je podpisem kwalifikowanym lub profilem zaufanym ePUAP. W praktyce administratorzy danych powinni zadbać o założenie profilu zaufanego ePUAP lub kwalifikowanego podpisu elektronicznego. Formularz powiadomienia znajduje się na stronie internetowej UODO.
Obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
W pewnych sytuacjach administrator danych będzie miał także obowiązek powiadomienia o naruszeniu osób, których danych osobowych dotyczyło naruszenie. Zgodnie z art. 34 pkt 1 RODO „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”. Do takich przypadków należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się, czyli faktycznie doszło do naruszenia praw lub wolności osoby fizycznej. RODO wymaga, aby osoby fizyczne zostały zawiadomione o naruszeniu ich danych „bez zbędnej zwłoki”. Administrator powinien zrealizować ów obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy, aby umożliwić osobom fizycznym podjęcie niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia.
W zawiadomieniu dla podmiotu danych należy podać co najmniej:
1) na czym polegało naruszenie,
2) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innej osoby, która w razie potrzeby udzieli informacji,
3) możliwe konsekwencje naruszenia i wyjaśnić do czego może ono doprowadzić,
4) środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, ewentualnie można wskazać proponowane działania w celu poprawy sytuacji.
Następnie należy wybrać sposób wysyłki zawiadomienia. Administrator może zdecydować się na tradycyjną wysyłkę pocztą lub pocztą elektroniczną, dopuszczalne jest także zamieszczenie komunikatu na stronie www.
Obowiązek zawiadomienia osób, których dane dotyczą, nie zachodzi w przypadkach wymienionych w art. 34 ust. 2 RODO. Zawiadomienie nie jest wymagane, gdy:
1) dane osobowe, których dotyczy naruszenie, objęte są odpowiednimi środkami ochrony np. szyfrowaniem uniemożliwiającym odczyt danych osobowych osobom nieuprawnionym,
2) administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą (np. administrator zidentyfikował osobę fizyczną, która uzyskała dostęp do danych osobowych i podjął wobec niej działania jeszcze przed wykorzystaniem danych,
3) powiadomienie osoby, której dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku, w takiej sytuacji można zamieścić publiczny komunikat na stronie www lub w lokalnej gazecie.
Obowiązek prowadzenia rejestru naruszeń
Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe. W ewidencji powinny zatem znaleźć się zarówno naruszenia ochrony danych osobowych podlegające obowiązkowi notyfikacyjnemu Prezesowi UODO, jak i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na to, że mało prawdopodobne jest, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych. Ewidencja powinna obejmować ponadto skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora. Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art. 24 RODO. Jak wskazuje art. 33 ust. 5 (zdanie 2) RODO, organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na weryfikowanie przestrzegania RODO w zakresie tych obowiązków. Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.
Czym są właściwe środki techniczne i organizacyjne?
Ważnym zadaniem administratora jest opracowanie odpowiednich regulacji na wypadek wystąpienia naruszenia ochrony danych. Taki dobrze opracowany i wdrożony dokument pozwala dokonać kwalifikacji zidentyfikowanych naruszeń, czyli określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych[4]. Ponadto, administrator ma obowiązek wdrożenia środków technicznych i organizacyjnych w celu odpowiedniego zabezpieczenia danych osobowych i minimalizacji ryzyka. Art. 32 ust. 1 RODO wskazuje przykładowe środki techniczne i organizacyjne, które w razie incydentu fizycznego lub technicznego zapewnią szybkie przywrócenie dostępności danych i dostępu do nich. Są nimi w szczególności:
1) pseudoanimizacja i szyfrowanie danych osobowych,
2) zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
3) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
4) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Podsumowanie
W przypadku naruszenia bezpieczeństwa danych kluczowa jest zmiana postępowania i wyciągnięcie wniosków na przyszłość. Istotna jest nie tylko analiza źródła i przyczyny powstałego incydentu, ale także wprowadzenie takich środków technicznych i organizacyjnych, które pozwolą skutecznie wyeliminowywać ryzyko występowania takich zdarzeń. Nierzadko jest to proces wymagający zaangażowania czasu, pracy ludzi i poświęconych środków. Wskazane we wstępie dane statystyczne pokazują, że liczba zgłoszeń będzie rosła z roku na rok. Związane jest to z rosnącą świadomością wagi ochrony danych osobowych w organizacjach i działalnością edukacyjną Urzędu Ochrony Danych Osobowych, a także rosnącą wiedzą na temat swoich praw związanych z RODO wśród osób fizycznych, będących klientami, pracownikami czy użytkownikami Internetu.
Magdalena Anna Bernacka
radca prawny, inspektor ochrony danych osobowych. Prowadzi indywidualną kancelarię prawną Specjalizuje się w sprawach z zakresu ochrony danych osobowych oraz prawa administracyjnego. Wspiera przedsiębiorców zarówno w bieżącej działalności w zakresie danych osobowych, jak i we wdrażaniu kluczowych dla nich projektów. Członek Stowarzyszenia Praktyków Ochrony Danych.
[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych i w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2]Wypowiedź Adama Sanockiego Rzecznika prasowego UODO dla Polskiej Agencji Prasowej z dnia 19 lutego 2022 r.
[3]Grupa Robocza Art. 29, Wytyczne dotyczące zgłaszania naruszeń ochrony danych zgodnie z rozporządzeniem 2016/679 https://uodo.gov.pl/pl/10/12(WP 250)
[4]Poradnik UODO „Obowiązki administratorów związane z naruszeniami ochrony danych”, czerwiec 2019, dostępny na stronie www urzędu nadzorczego.