GRUPA ROBOCZA ART. 29

18/PL

WP250rev.01

 

Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679

Przyjęte w dniu 3 października 2017 r.

Ostatnio zmienione i przyjęte w dniu 6 lutego 2018 r.

 

 

GRUPA ROBOCZA DS. OCHRONY OSÓB FIZYCZNYCH W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH

powołana na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.,

uwzględniając art. 29 i 30 tej dyrektywy,

uwzględniając swój regulamin wewnętrzny,

 

PRZYJMUJE NINIEJSZE WYTYCZNE:

 

WPROWADZENIE

 

 

W ogólnym rozporządzeniu o ochronie danych (RODO) wprowadzono wymóg zgłaszania naruszeń ochrony danych osobowych (zwanych dalej „naruszeniami”) właściwemu krajowemu organowi nadzorczemu (lub – w przypadku naruszeń o charakterze transgranicznym – wiodącemu organowi nadzorczemu) oraz, w określonych przypadkach, przekazywania informacji o naruszeniach osobom fizycznym, na których dane osobowe wywarły one wpływ.

 

Obowiązek zgłaszania przypadków naruszeń spoczywa obecnie na określonych rodzajach organizacji, np. na dostawcach publicznie dostępnych usług łączności elektronicznej (zgodnie z dyrektywą 2009/136/WE i rozporządzeniem (UE) nr 611/2013). Niektóre państwa członkowskie UE również ustanowiły już wymóg zgłaszania naruszeń w swoich własnych przepisach krajowych. Wymóg ten może wiązać się z koniecznością zgłaszania naruszeń powiązanych z określonymi kategoriami administratorów i dostawców publicznie dostępnych usług łączności elektronicznej (na przykład w Niemczech i we Włoszech) lub z koniecznością powiadamiania o wszystkich naruszeniach związanych z danymi osobowymi (na przykład w Niderlandach). Inne państwa członkowskie mogą mieć stosowne kodeksy praktyk w tym zakresie (na przykład Irlandia). Choć obecnie szereg organów ochrony danych zachęca administratorów do zgłaszania naruszeń, w dyrektywie 95/46/WE o ochronie danych, którą RODO zastępuje, nie ustanowiono żadnego konkretnego obowiązku zgłaszania naruszeń, dlatego też wprowadzenie takiego wymogu sprawi, że wiele organizacji będzie musiało dostosować się do nowej sytuacji. Zgodnie z przepisami RODO w ich obecnym brzmieniu wszyscy administratorzy są zobowiązani do zgłaszania naruszeń, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw i wolności osób fizycznych. Podmioty przetwarzające również mają do odegrania ważną rolę i muszą zgłaszać wszelkie naruszenia swojemu administratorowi.

 

W opinii Grupy Roboczej Art. 29 ustanowienie nowego wymogu zgłaszania naruszeń wiąże się z szeregiem korzyści. Zgłaszając naruszenie organowi nadzorczemu, administratorzy mogą zasięgnąć opinii tego organu w kwestii tego, czy w danym przypadku należy przekazać stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. Organ nadzorczy może nakazać administratorowi, aby poinformował odpowiednie osoby fizyczne o naruszeniu. Zawiadomienie osób fizycznych o naruszeniu zapewnia administratorowi możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi skutkami naruszenia. Każdy plan reagowania na naruszenia powinien koncentrować się przede wszystkim na zapewnieniu ochrony osobom fizycznym i ich danym osobowym. Dlatego też mechanizm zgłaszania naruszeń powinien być postrzegany jako narzędzie przyczyniające się do poprawy przestrzegania przepisów w zakresie ochrony danych osobowych. Jednocześnie należy podkreślić, że niewywiązanie się z obowiązku zgłoszenia naruszenia osobie fizycznej albo organowi nadzorczemu może potencjalnie skutkować nałożeniem na administratora kary zgodnie z art. 83.

 

Z tego względu administratorów i podmioty przetwarzające zachęca się do opracowywania stosownych planów z wyprzedzeniem i wdrażania procedur umożliwiających wykrywanie naruszeń i szybkie ograniczanie ich negatywnych skutków, ocenianie ryzyka dla osób fizycznych, a następnie podejmowanie decyzji w kwestii tego, czy w danym przypadku zachodzi konieczność zgłoszenia naruszenia właściwemu organowi nadzorczemu, jak również – w stosownych przypadkach – zawiadomienia zainteresowanych osób fizycznych o naruszeniu. Zgłoszenie naruszenia organowi nadzorczemu powinno stanowić jeden z elementów takiego planu reagowania na incydenty.

 

RODO zawiera przepisy określające, kiedy i komu należy zgłosić naruszenie, a także jakie informacje powinny znaleźć się w zgłoszeniu. Choć informacje, które muszą znaleźć się w zgłoszeniu, można przekazywać stopniowo, administratorzy powinni każdorazowo reagować na wszelkie naruszenia w odpowiednim czasie.

 

W swojej opinii 03/2014 na temat powiadamiania o przypadkach naruszenia danych osobowych Grupa Robocza Art. 29 przedstawiła wytyczne dla administratorów, aby ułatwić im podjęcie decyzji w kwestii tego, czy w danym przypadku osoby, których dane dotyczą, powinny zostać zawiadomione o naruszeniu. W opinii wzięto pod uwagę obowiązki spoczywające na dostawcach usług łączności elektronicznej zgodnie z dyrektywą 2002/58/WE, zaprezentowano przykłady zaczerpnięte z wielu sektorów w kontekście RODO, które wówczas znajdowało się na etapie projektu, i przedstawiono dobre praktyki dla wszystkich administratorów.

 

W niniejszych wytycznych objaśniono ustanowione w RODO wymogi w zakresie obowiązkowego zgłaszania naruszeń i zawiadamiania o naruszeniach oraz omówiono niektóre działania, jakie administratorzy i podmioty przetwarzające mogą podjąć, aby należycie wywiązać się z tych nowych zobowiązań. Przedstawiono w nich również przykłady różnych rodzajów naruszeń oraz wskazano podmioty, którym w poszczególnych scenariuszach należałoby zgłosić naruszenie.

 

1. Zgłaszanie naruszenia ochrony danych osobowych zgodnie z RODO

 

1. Podstawowe kwestie dotyczące bezpieczeństwa

 

Zgodnie z jednym z wymogów ustanowionych w RODO dane osobowe muszą być przetwarzane za pomocą odpowiednich środków technicznych i organizacyjnych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

Tym samym przepisy RODO zobowiązują zarówno administratorów, jak i podmioty przetwarzające do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych. Administratorzy i podmioty przetwarzające powinni uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Ponadto w RODO ustanowiono wymóg przyjęcia wszelkich odpowiednich technicznych środków ochrony i wszelkich odpowiednich środków organizacyjnych, by od razu stwierdzić naruszenie ochrony danych osobowych, co z kolei ma decydujące znaczenie dla ustalenia, czy w danym przypadku obowiązek zgłoszenia naruszenia ma zastosowanie.

 

Oznacza to, że zdolność do zapobiegania naruszeniom w przypadkach, w których jest to możliwe, oraz zdolność do niezwłocznego reagowania na naruszenia w sytuacjach, w których mimo to dojdzie do ich wystąpienia, stanowi kluczowy element każdej polityki w zakresie bezpieczeństwa danych.

A.

2. Czym jest naruszenie ochrony danych osobowych?

 

1. Definicja

 

Podejmując jakiekolwiek działania mające na celu zaradzenie naruszeniu, administrator powinien w pierwszej kolejności potwierdzić jego wystąpienie. Termin „naruszenie ochrony danych osobowych” został zdefiniowany w art. 4 pkt 12 RODO jako:

„naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

 

To, co należy rozumieć pod pojęciem „zniszczenia” danych osobowych, powinno być stosunkowo jasne: pojęcie to odnosi się do sytuacji, w której dane już nie istnieją lub przestały istnieć w postaci, w której administrator mógłby je w jakikolwiek sposób wykorzystać. Znaczenie pojęcia „uszkodzenie” również powinno być stosunkowo oczywiste: odnosi się ono do sytuacji, w której dane osobowe zostały zmodyfikowane, zniekształcone lub przestały być kompletne. Jeżeli chodzi o pojęcie „utraty” danych osobowych, należy interpretować je jako odnoszące się do sytuacji, w której dane mogą nadal istnieć, ale administrator utracił nad nimi kontrolę, nie posiada już do nich dostępu lub nie znajduje się już w ich posiadaniu. Nieuprawnione lub niezgodne z prawem przetwarzanie może oznaczać ujawnienie (lub udostępnienie) danych osobowych odbiorcom, którzy nie są upoważnieni do ich otrzymania (lub do uzyskania do nich dostępu), lub jakąkolwiek inną formę przetwarzania skutkującą naruszeniem przepisów RODO.

 

Przykład

 

Przykładem utraty danych osobowych może być sytuacja, w której dochodzi do utraty lub kradzieży urządzenia, na którym przechowywana jest kopia bazy danych klientów administratora. Kolejnym przykładem zdarzenia skutkującego utratą danych może być również sytuacja, w której jedyna kopia zbioru danych osobowych została zaszyfrowana wskutek zastosowania oprogramowania typu ransomware, lub sytuacja, w której administrator zaszyfrował dane za pomocą klucza, który nie znajduje się już w jego posiadaniu.

W tym kontekście należy podkreślić, że naruszenie jest rodzajem incydentu bezpieczeństwa. Jak jednak wskazano w art. 4 pkt 12, przepisy RODO mają zastosowanie wyłącznie w przypadku, gdy dochodzi do naruszenia ochrony danych osobowych. Wystąpienie takiego naruszenia prowadzi do sytuacji, w której administrator nie jest w stanie zapewnić zgodności z zasadami dotyczącymi przetwarzania danych osobowych ustanowionymi w art. 5 RODO. Stanowi to element pozwalający odróżnić incydent bezpieczeństwa od zdarzenia skutkującego naruszeniem ochrony danych osobowych – co do zasady, choć wszystkie przypadki naruszenia ochrony danych osobowych są incydentami bezpieczeństwa, nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych.

 

Poniżej omówiono potencjalne negatywne skutki naruszenia ochrony danych osobowych dla osób fizycznych.

 

2. Rodzaje naruszeń ochrony danych osobowych

 

W swojej opinii 03/2014 na temat powiadamiania o przypadkach naruszenia Grupa Robocza Art. 29 wyjaśniła, że zgodnie z trzema powszechnie uznawanymi zasadami bezpieczeństwa naruszenia można podzielić na następujące kategorie:

 

• „naruszenie dotyczące poufności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;

 

• „naruszenie dotyczące integralności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;

 

• „naruszenie dotyczące dostępności danych” – naruszenie, w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych.

 

Należy również podkreślić, że – w zależności od okoliczności – naruszenie może dotyczyć jednocześnie poufności, integralności i dostępności danych, a także dowolnego połączenia dwóch spośród tych trzech kategorii naruszeń.

 

Choć ustalenie, czy w danym przypadku doszło do naruszenia dotyczącego poufności lub integralności danych, jest stosunkowo łatwe, stwierdzenie wystąpienia naruszenia dotyczącego dostępności danych może okazać się trudniejsze. Naruszenie zostanie każdorazowo uznane za naruszenie dotyczące dostępności danych, jeżeli doprowadziło ono do trwałej utraty lub zniszczenia danych osobowych.

Przykład

 

Przykłady utraty dostępności obejmują sytuacje, w których doszło do przypadkowego usunięcia danych albo ich usunięcia przez nieuprawnioną osobę, lub – w przypadku bezpiecznie zaszyfrowanych danych – sytuacje, w których utracono klucz deszyfrujący. Sytuację, w której administrator nie jest w stanie przywrócić dostępu do danych, na przykład korzystając z kopii bezpieczeństwa, uznaje się za sytuację, w której doszło do trwałej utraty dostępności.

 

Do utraty dostępności może dojść również w przypadku poważnego zakłócenia normalnego sposobu funkcjonowania organizacji, np. wskutek awarii systemu zasilania lub ataku typu „odmowa usługi”, skutkującego utratą dostępu do danych osobowych.

 

W tym kontekście warto zastanowić się nad tym, czy tymczasowa utrata dostępności danych osobowych powinna zostać uznana za sytuację, w której doszło do wystąpienia naruszenia, a jeżeli tak – czy naruszenie to należy zgłosić. W art. 32 RODO zatytułowanym „Bezpieczeństwo przetwarzania” wyjaśniono, że przy wdrażaniu środków technicznych i organizacyjnych pozwalających zapewnić stopień bezpieczeństwa odpowiadający ryzyku, należy wziąć pod uwagę m.in. „zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania” oraz „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”.

 

Dlatego też incydent bezpieczeństwa skutkujący utratą dostępu do danych osobowych przez określony czas również stanowi rodzaj naruszenia, ponieważ brak dostępu do danych może wywrzeć istotny wpływ na prawa i wolności osób fizycznych. Gwoli wyjaśnienia, jeżeli dane osobowe są niedostępne z uwagi na fakt, że system jest poddawany wcześniej zaplanowanym pracom konserwacyjnym, taka sytuacja nie stanowi przypadku „naruszenia bezpieczeństwa”, o którym mowa w definicji ustanowionej w art. 4 pkt 12.

 

Naruszenie skutkujące tymczasową utratą dostępności danych powinno zostać udokumentowane zgodnie z art. 33 ust. 5, podobnie jak naruszenie skutkujące trwałą utratą lub zniszczeniem danych osobowych (lub dowolny inny rodzaj naruszenia). Ułatwi to administratorowi wykazanie rozliczalności przed organem nadzorczym, który może zwrócić się o udostępnienie mu rejestrów do wglądu. W zależności od specyfiki danego naruszenia konieczne może jednak okazać się zgłoszenie go organowi nadzorczemu lub zawiadomienie o jego wystąpieniu osób fizycznych, na które wywiera ono wpływ. Administrator będzie musiał ocenić prawdopodobieństwo wystąpienia i wagę wpływu na prawa i wolności osób fizycznych w związku z brakiem dostępności danych osobowych. Zgodnie z art. 33 administrator jest zobowiązany do zgłoszenia naruszenia, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw i wolności osób fizycznych. Kwestię tę trzeba będzie oczywiście ocenić w poszczególnych przypadkach.

Przykłady

 

Utrata dostępu do kluczowych danych medycznych w szpitalu – nawet jeżeli ma wyłącznie tymczasowy charakter – może wiązać się z ryzykiem naruszenia praw i wolności osób fizycznych; wystąpienie takiej sytuacji może np. wiązać się z koniecznością odwołania operacji, co stwarza zagrożenie dla życia pacjentów.

Z kolei jeżeli przedsiębiorstwo medialne nie mogło przesłać swoim subskrybentom biuletynów informacyjnych z uwagi na kilkugodzinną utratę dostępu do swoich systemów (np. z powodu awarii systemu zasilania), prawdopodobieństwo, że taka sytuacja będzie wiązała się z ryzykiem naruszenia prawa i wolności osób fizycznych, jest niewielkie.

 

Należy podkreślić, że choć utrata dostępu do systemów administratora może mieć wyłącznie tymczasowy charakter i może nie wywierać wpływu na osoby fizyczne, administrator powinien wziąć pod uwagę wszystkie potencjalne konsekwencje naruszenia, ponieważ może ono nadal wymagać zgłoszenia z innych względów.

Przykład

 

Zainfekowanie oprogramowaniem typu ransomware (złośliwym oprogramowaniem, które szyfruje dane administratora do momentu zapłacenia okupu) mogłoby doprowadzić do tymczasowej utraty dostępności, jeżeli w danym przypadku możliwe byłoby przywrócenie danych z kopii bezpieczeństwa. Nie zmienia to jednak faktu, że włamanie do sieci miało miejsce i może podlegać obowiązkowi zgłoszenia, jeżeli dany incydent zostanie uznany za naruszenie dotyczące poufności danych (tj. jeżeli hakerowi udało się uzyskać dostęp do danych osobowych) i wiąże się z ryzykiem naruszenia praw i wolności osób fizycznych.

 

3. Potencjalne konsekwencje naruszenia ochrony danych osobowych

 

Naruszenie może potencjalnie wywrzeć szereg negatywnych skutków dla osób fizycznych, które mogą skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub szkód niemajątkowych. W RODO wyjaśniono, że takie skutki mogą obejmować utratę kontroli nad własnymi danymi osobowymi, ograniczenie praw, dyskryminację, kradzież lub sfałszowanie tożsamości, stratę finansową, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia oraz naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Mogą one również wiązać się z wszelkimi innymi znacznymi szkodami gospodarczymi lub społecznymi dla tych osób fizycznych.

 

Dlatego też w RODO ustanowiono wymóg zobowiązujący administratora do zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem wywołania takich negatywnych skutków. Jeżeli w danym przypadku istnieje duże ryzyko wystąpienia negatywnych skutków, przepisy RODO zobowiązują administratora do przekazania informacji o naruszeniu osobom fizycznym, na które wywiera ono wpływ, tak szybko, jak będzie to rozsądnie możliwe.

 

Znaczenie zdolności do określenia, czy w danym przypadku doszło do naruszenia, ocenienia ryzyka dla osób fizycznych oraz późniejszego zgłoszenia naruszenia w przypadkach, w których będzie to konieczne, podkreślono w motywie 87 RODO:

„Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu”.

Dalsze wytyczne dotyczące oceny ryzyka negatywnych skutków dla osób fizycznych przedstawiono w sekcji IV.

 

Jeżeli administratorzy nie wywiążą się z obowiązku zgłoszenia naruszenia ochrony danych organowi nadzorczemu albo osobom, których dane dotyczą, albo zarówno organowi nadzorczemu, jak i osobom, których dane dotyczą, pomimo spełnienia wymogów ustanowionych w art. 33 lub 34, organ nadzorczy może skorzystać z możliwości, która obejmowałaby wzięcie pod uwagę wszystkich środków naprawczych znajdujących się do jego dyspozycji, co wiązałoby się z możliwością zastosowania administracyjnej kary pieniężnej w połączeniu ze środkiem naprawczym przewidzianym w art. 58 ust. 2 albo bez takiego środka. Jeżeli zdecydowano się zastosować administracyjną karę pieniężną, wartość tej kary może opiewać na kwotę do 10 000 000 EUR lub  do 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa zgodnie z art. 83 ust. 4 lit. a) RODO. Należy również pamiętać o tym, że w niektórych przypadkach niewywiązanie się z obowiązku zgłoszenia naruszenia mogłoby doprowadzić do ujawnienia braku istniejących środków bezpieczeństwa albo nieadekwatności istniejących środków bezpieczeństwa. Wytyczne Grupy Roboczej Art. 29 w sprawie administracyjnych kar pieniężnych stanowią, że: „występowanie kilku różnych naruszeń popełnionych łącznie w konkretnym pojedynczym przypadku oznacza, że organ nadzorczy może nakładać administracyjne kary pieniężne w sposób, który jest zarazem skuteczny, proporcjonalny i odstraszający na poziomie najpoważniejszego naruszenia”. W takim przypadku organ nadzorczy będzie miał również możliwość nakładania kar za niewywiązanie się z obowiązku zgłoszenia naruszenia lub zawiadomienia o wystąpieniu naruszenia (art. 33 i 34), z jednej strony, oraz za brak (odpowiednich) środków bezpieczeństwa (art. 32), z drugiej strony, ponieważ obydwie te sytuacje traktuje się jako dwa odrębne naruszenia.

 

2. Art. 33 – Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

 

A.Kiedy należy zgłosić naruszenie?

 

1. Wymogi przewidziane w art. 33 Art. 33 ust. 1 stanowi, że:

„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”.

Motyw 87 stanowi, że:

 

„Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu”.

 

2. Kiedy administrator „stwierdza” wystąpienie naruszenia?

 

Jak wyszczególniono powyżej, w RODO ustanowiono wymóg, zgodnie z którym w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Stosowanie tego wymogu może wiązać się z koniecznością ustalenia momentu, w którym można uznać, że administrator „stwierdził” wystąpienie naruszenia. W opinii Grupy Roboczej Art. 29 należy uznać, że administrator „stwierdził” wystąpienie naruszenia w momencie, w którym uzyskał wystarczającą dozą pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych.

 

Jak jednak wspomniano wcześniej, w RODO ustanowiono wymóg zobowiązujący administratora do wdrożenia wszelkich odpowiednich technicznych środków ochrony i wszelkich odpowiednich środków organizacyjnych, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osoby, których dane dotyczą. W RODO stwierdzono również, że to, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Wiąże się to z nałożeniem na administratora obowiązku utrzymania zdolności do terminowego „stwierdzania” wystąpienia wszelkich naruszeń, aby zapewnić możliwość podjęcia stosownych działań.

 

To, kiedy dokładnie można uznać, że administrator „stwierdził” wystąpienie określonego naruszenia, będzie zależało od okoliczności, w jakich doszło do tego naruszenia. W niektórych przypadkach wystąpienie naruszenia można stosunkowo łatwo stwierdzić już na początku, natomiast w innych ustalenie, czy doszło do ujawnienia danych osobowych, może wymagać czasu. W tym kontekście powinno się jednak położyć nacisk na szybkie zbadanie danego incydentu w celu ustalenia, czy faktycznie doszło do naruszenia ochrony danych osobowych, a jeżeli tak – podjąć działania zaradcze i, w razie konieczności, zgłosić naruszenie.

Przykłady

 

1. W przypadku utraty pamięci USB zawierającej niezaszyfrowane dane osobowe ustalenie, czy nieuprawnione osoby uzyskały dostęp do tych danych, okazuje się często niemożliwe. Niemniej jednak, mimo że administrator może nie być w stanie ustalić, czy w danym przypadku doszło do naruszenia dotyczącego poufności danych, taki przypadek musi zostać zgłoszony, ponieważ można z wystarczającą dozą pewności stwierdzić, że doszło do naruszenia dotyczącego dostępności danych; w tym kontekście przyjmuje się, że administrator „stwierdził” wystąpienie naruszenia w momencie, w którym zdał sobie sprawę z utraty pamięci USB.
2.  Osoba trzecia informuje administratora, że przypadkowo otrzymała dane osobowe jednego z jego klientów, i przedstawia dowody potwierdzające, że doszło do nieuprawnionego ujawnienia tych danych. Ponieważ administrator otrzymał dowody jednoznacznie świadczące o wystąpieniu naruszenia dotyczącego poufności danych, nie można mieć żadnych wątpliwości co do tego, że „stwierdził” wystąpienie takiego naruszenia

3. Administrator wykrywa potencjalne włamanie do swojej sieci. Administrator sprawdza systemy w celu ustalenia, czy bezpieczeństwo danych osobowych przechowywanych w tym systemie zostało narażone na szwank, po czym potwierdza, że faktycznie tak się stało. Ponownie, ponieważ administrator uzyskał dowody jednoznacznie świadczące o wystąpieniu naruszenia, nie można mieć żadnych wątpliwości co do tego, że „stwierdził” wystąpienie takiego naruszenia.

4. Cyberprzestępca kontaktuje się z administratorem po włamaniu się do jego systemu, aby zażądać okupu. W takim przypadku – po sprawdzeniu swojego systemu i potwierdzeniu, że faktycznie został on zaatakowany – administrator dysponuje dowodem jednoznacznie świadczącym o wystąpieniu naruszenia, dlatego też nie można mieć żadnych wątpliwości co do tego, że stwierdził wystąpienie takiego naruszenia.

Po otrzymaniu pierwszej informacji o potencjalnym naruszeniu ochrony danych osobowych od osoby fizycznej, organizacji medialnej lub z innego źródła lub po samodzielnym wykryciu incydentu bezpieczeństwa administrator może przeprowadzić krótkotrwałe postępowanie, aby ustalić, czy faktycznie doszło do danego naruszenia. Do momentu zakończenia tego postępowania nie można uznać, że administrator „stwierdził” wystąpienie naruszenia. Oczekuje się jednak, że wstępne postępowanie powinno rozpocząć się możliwie jak najszybciej i doprowadzić do ustalenia z wystarczającą dozą pewności, czy w danym przypadku faktycznie doszło do wystąpienia naruszenia; następnie można przeprowadzić bardziej szczegółowe postępowanie.

 

Po stwierdzeniu wystąpienia naruszenia przez administratora podlegające zgłoszeniu naruszenie musi zostać zgłoszone bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W tym okresie administrator powinien ocenić prawdopodobne ryzyko, na jakie narażone są osoby fizyczne, aby ustalić, czy w danym przypadku zastosowanie ma wymóg zgłoszenia naruszenia, a także aby określić działanie lub działania, które należy podjąć, aby zaradzić naruszeniu. Administrator mógł już jednak przeprowadzić wstępną ocenę potencjalnego ryzyka, z jakim może wiązać się naruszenie, w ramach oceny skutków dla ochrony danych dokonanej przed przeprowadzeniem danej operacji przetwarzania. Ocena skutków dla ochrony danych może mieć jednak bardziej ogólnikowy charakter niż ocena konkretnych okoliczności, w których doszło do dowolnego faktycznego naruszenia, dlatego też należy również każdorazowo przeprowadzić dodatkową ocenę uwzględniającą te okoliczności. Aby uzyskać bardziej szczegółowe informacje na temat oceny ryzyka, zob. sekcja IV.

 

W większości przypadków takie wstępne działania powinny zostać zakończone wkrótce po otrzymaniu początkowego ostrzeżenia (tj. w momencie powzięcia przez administratora lub podmiot przetwarzający podejrzenia o możliwości wystąpienia incydentu bezpieczeństwa mogącego wywrzeć wpływ na dane osobowe) – działania.  te mogą zostać zakończone w późniejszym terminie wyłącznie wyjątkowych przypadkach

 

Przykład

 

Osoba fizyczna informuje administratora, że otrzymała wiadomość e-mail, której nadawca podszywa się pod administratora i która zawiera dane osobowe dotyczące (faktycznego) korzystania z usług administratora przez tę osobę, i sugeruje, że doszło do złamania środków bezpieczeństwa stosowanych przez administratora. Administrator przeprowadza krótkie postępowanie, w toku którego uzyskuje potwierdzenie, że doszło do włamania do jego sieci, i gromadzi dowody świadczące o nieuprawnionym dostępie do danych osobowych. Od tego momentu przyjmuje się, że administrator „stwierdził” wystąpienie naruszenia, a zgłoszenie naruszenia organowi nadzorczemu staje się obowiązkowe, chyba że prawdopodobieństwo, iż będzie wiązało się ono z ryzykiem naruszenia praw i wolności osób fizycznych, jest niewielkie. Administrator będzie musiał podjąć odpowiednie działania zaradcze, aby zaradzić naruszeniu.

 

Dlatego też administrator powinien ustanowić wewnętrzne procedury zapewniające mu możliwość wykrycia naruszenia i zaradzenia mu. Na przykład, aby wykryć pewne nieprawidłowości w procesie przetwarzania danych, administrator lub podmiot przetwarzający mogą korzystać z określonych środków technicznych takich jak analizatory przepływu danych i analizatory dziennika umożliwiające zidentyfikowanie zdarzeń i ostrzeżeń poprzez ich zestawienie z dowolnymi danymi dziennika. Po wykryciu naruszenia należy powiadomić o jego wystąpieniu organ zarządzający wyższego szczebla, aby można było mu zaradzić i – w razie potrzeby – zgłosić je zgodnie z art. 33 oraz, w stosownych przypadkach, art. 34. Takie środki i mechanizmy zgłaszania powinny zostać szczegółowo opisane w sporządzonych przez administratora planach reagowania na incydenty lub w przyjętych przez niego zasadach zarządzania. Ułatwi to administratorowi efektywne planowanie działań i ustalenie podmiotów w organizacji, na których spoczywa odpowiedzialność operacyjna za zarządzanie naruszeniem, a także określenie – w stosownych przypadkach – czy lub w jaki sposób powiadomić organ zarządzający wyższego szczebla o wystąpieniu danego incydentu.

 

Administrator powinien również zawrzeć porozumienia ze wszystkimi podmiotami przetwarzającymi, z których usług korzysta – podmioty te są z kolei zobowiązane do zgłaszania administratorowi przypadków wystąpienia naruszenia (zob. poniżej).

 

Choć odpowiedzialność za ustanawianie odpowiednich środków umożliwiających przeciwdziałanie naruszeniom, reagowanie na naruszenia i zaradzanie im spoczywa na administratorach i podmiotach przetwarzających, istnieją pewne praktyczne działania, które powinny być podejmowane we wszystkich przypadkach:

 

• informacje na temat wszystkich zdarzeń powiązanych z bezpieczeństwem powinny być przekazywane osobie lub osobom, którym powierzono zadanie reagowania na incydenty, ustalania istnienia naruszenia i oceniania poziomu ryzyka;
• następnie należy ocenić ryzyko dla osób fizycznych związane z danym naruszeniem (prawdopodobieństwo braku ryzyka, istnienie ryzyka lub wysoki poziom ryzyka) oraz przekazać stosowne informacje w tym zakresie odpowiednim działom w ramach danej organizacji;

• w razie konieczności należy zgłosić dane naruszenie organowi nadzorczemu oraz, potencjalnie, poinformować o naruszeniu osoby fizyczne, na które wywarło ono wpływ;
• jednocześnie administrator powinien podjąć działania mające na celu ograniczenie skali naruszenia i przywrócenie stanu sprzed wystąpienia naruszenia;

• informacje na temat naruszenia powinny być dokumentowane w miarę rozwoju sytuacji.

 

Tym samym na administratorze spoczywa wyraźny obowiązek podejmowania działań w związku

z wszelkimi ostrzeżeniami otrzymanymi na początkowym etapie oraz obowiązek ustalenia, czy w danym przypadku faktycznie doszło do naruszenia, czy też nie. W tym krótkim okresie

administrator może przeprowadzić pewne postępowania oraz zgromadzić dowody i inne istotne szczegółowe informacje. Jednak po tym, gdy administrator z wystarczającą dozą pewności stwierdzi, że w danym przypadku doszło do naruszenia – i jeżel i spełnione zostały warunki ustanowione w art. 33 ust. 1 – musi zgłosić dane naruszenie organowi nadzorczemu bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin. Jeżeli administrator nie wywiąże się z obowiązku podjęcia działań w odpowiednim terminie, a okoliczności danej sprawy będą jednoznacznie wskazywały na to, że doszło do naruszenia, taka sytuacja może zostać uznana za przypadek niewywiązania się z obowiązku zgłoszenia naruszenia zgodnie z art. 33.

 

Z art. 32 jednoznacznie wynika, że administrator i podmiot przetwarzający powinni dysponować odpowiednimi środkami technicznymi i organizacyjnymi, aby zapewnić odpowiedni stopień bezpieczeństwa danych osobowych: zdolność do wykrywania naruszeń, zaradzania im oraz ich terminowego zgłaszania powinna być postrzegana jako kluczowy element tych środków.

 

3. Współadministratorzy

 

Art. 26 dotyczy współadministratorów i sta nowi, że współadministratorzy określają zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. Wiąże się to z koniecznością ustalenia, która strona będzie odpowiedzialna za wywiązywanie się z zobowiązań ustanowionych w art. 33 i 34. Grupa Robocza Art. 29 zaleca, aby uzgodnienia umowne między współadministratorami uwzględniały postanowienia wskazujące administratora, który będzie zajmował się dbaniem o wypełnianie ustanowionych w RODO obowiązków w zakresie zgłaszania naruszeń lub który będzie odpowiedzialny za wypełnianie tych obowiązków.

 

4. Obowiązki podmiotu przetwarzającego

 

Choć ogólna odpowiedzialność za dbanie o ochronę danych osobowych spoczywa na administratorze, podmiot przetwarzający odgrywa istotną rolę w zapewnianiu administratorowi możliwości wywiązania się ze spoczywających na nim obowiązków; obejmuje to również zgłaszanie naruszeń. W art. 28 ust. 3 stwierdzono, że przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego. Zgodnie z art. 28 ust. 3 lit. f) umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: „uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36”.

 

W art. 33 ust. 2 wskazano wyraźnie, że w przypadku, gdy administrator korzysta z usług podmiotu przetwarzającego, a podmiot przetwarzający stwierdzi wystąpienie naruszenia ochrony danych osobowych, które przetwarza w imieniu administratora, musi zgłosić to naruszenie administratorowi „bez zbędnej zwłoki”. Należy przy tym podkreślić, że podmiot przetwarzający nie musi ocenić prawdopodobieństwa wystąpienia ryzyka wynikającego z naruszenia przed jego zgłoszeniem administratorowi; odpowiedzialność za przeprowadzenie takiej oceny w momencie stwierdzenia wystąpienia naruszenia spoczywa na administratorze. Podmiot przetwarzający musi jedynie ustalić, czy doszło do naruszenia, a następnie zgłosić to naruszenie administratorowi. Administrator korzysta z usług podmiotu przetwarzającego, aby realizować wyznaczone cele; dlatego też zasadniczo należy przyjąć, że administrator „stwierdził” wystąpienie naruszenia w momencie, w którym podmiot przetwarzający poinformował go o jego wystąpieniu. Nałożenie na podmiot przetwarzający obowiązku zgłoszenia naruszenia administratorowi, na rzecz którego podmiot ten świadczy usługi, zapewnia temu administratorowi możliwość zaradzenia naruszeniu i ustalenia, czy w danym przypadku należy zgłosić to naruszenie organowi nadzorczemu zgodnie z art. 33 ust. 1 oraz zawiadomić o jego wystąpieniu osoby fizyczne, na które naruszenie wywiera wpływ, zgodnie z art. 34 ust. 1. Administrator może również zdecydować się na przeprowadzenie postępowania w sprawie naruszenia, ponieważ może nie dysponować wiedzą na temat wszystkich istotnych okoliczności faktycznych danej sprawy – na przykład tego, czy w posiadaniu administratora znajduje się kopia lub kopia bezpieczeństwa danych osobowych zniszczonych lub utraconych przez podmiot przetwarzający. Może to decydować o tym, czy administrator musiałby następnie zgłosić naruszenie.

 

W RODO nie ustanowiono precyzyjnie określonego terminu, w którym podmiot przetwarzający musi zgłosić naruszenie administratorowi – stwierdzono jedynie, że musi to nastąpić „bez zbędnej zwłoki”. Dlatego też Grupa Robocza Art. 29 zaleca, aby podmiot przetwarzający szybko zgłaszał naruszenia administratorowi i następnie stopniowo przekazywał dalsze informacje na temat naruszenia, w miarę uzyskiwania dostępu do bardziej szczegółowych danych. Ma to istotne znaczenie dla ułatwienia administratorowi spełnienia wymogu zgłoszenia naruszenia organowi nadzorczemu w terminie 72 godzin.

 

Jak wyjaśniono powyżej, w umowie między administratorem a podmiotem przetwarzającym należy określić, w jaki sposób planuje się zagwarantować spełnienie wymogów ustanowionych w art. 33 ust. 2 oraz zapewnić zgodność z innymi przepisami RODO. Może wiązać się to z ustanowieniem obowiązku wczesnego zgłaszania naruszeń przez podmiot przetwarzający, co z kolei ułatwia administratorowi wywiązanie się ze spoczywających na nim obowiązków w zakresie zgłaszania naruszeń organowi nadzorczemu w terminie 72 godzin.

 

Jeżeli podmiot przetwarzający świadczy usługi na rzecz szeregu administratorów, a dany incydent wywiera wpływ na wszystkich z nich, podmiot przetwarzający będzie zobowiązany do zgłoszenia wystąpienia wspomnianego incydentu każdemu z tych administratorów.

 

Podmiot przetwarzający mógłby dokonać zgłoszenia w imieniu administratora, jeżeli administrator udzieliłby takiemu podmiotowi przetwarzającemu stosownego zezwolenia, a kwestia ta zostałaby uregulowana w uzgodnieniach umownych między administratorem a podmiotem przetwarzającym. Takiego zgłoszenia należy dokonać zgodnie z art. 33 i 34. W tym kontekście należy jednak pamiętać, że zgodnie z obowiązującymi przepisami odpowiedzialność za dokonanie zgłoszenia spoczywa na administratorze.

 

2. Udzielanie informacji organowi nadzorczemu

 

1. Informacje, których należy udzielić

 

Art. 33 ust. 3 stanowi, że w przypadku, gdy administrator zgłasza naruszenie organowi nadzorczemu, zgłoszenie to powinno co najmniej:

 

a.  opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

b.zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c.opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d.opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków”.

W RODO nie zawarto definicji kategorii osób, których dane dotyczą, ani kategorii wpisów danych osobowych. Grupa Robocza Art. 29 zaproponowała jednak kategorie osób, których dane dotyczą, obejmujące różnego rodzaju osoby fizyczne, na których dane osobowe naruszenie wywarło wpływ: w zależności od zastosowanych wskaźników kategorie te mogą obejmować m.in. dzieci i przedstawicieli innych grup szczególnie wrażliwych, osoby niepełnosprawne, pracowników lub klientów. Podobnie kategorie wpisów danych osobowych mogą odnosić się do poszczególnych rodzajów wpisów, które administrator może przetwarzać, takich jak dane dotyczące zdrowia, dane dotyczące wykształcenia, informacje z dziedziny opieki społecznej, szczegółowe informacje finansowe, numery rachunków bankowych, numery paszportów itp.

 

W motywie 85 wyraźnie stwierdzono, że jednym z powodów, dla których zgłasza się naruszenie, jest ograniczenie związanych z nim szkód dla osób fizycznych. Dlatego też jeżeli rodzaje osób, których dane dotyczą, lub rodzaje danych osobowych wskazują na istnienie ryzyka wyrządzenia określonych szkód w rezultacie naruszenia (np. kradzież tożsamości, oszustwo, strata finansowa, ryzyko naruszenia poufności danych chronionych tajemnicą zawodową), należy wskazać stosowne kategorie w zgłoszeniu. Pozwoli to spełnić wymóg opisania możliwych konsekwencji naruszenia.

 

Brak dostępu do szczegółowych informacji (np. informacji o dokładnej liczbie osób, których dane dotyczą, na które naruszenie wywarło wpływ) nie powinien stanowić przeszkody dla terminowego zgłoszenia naruszenia. Przepisy RODO dopuszczają możliwość wskazywania przybliżonej liczby osób fizycznych, na które dane naruszenie wywarło wpływ, oraz przybliżonej liczby wpisów danych osobowych, których dotyczy to naruszenie. W tym kontekście należy skoncentrować się na dążeniu do zaradzenia negatywnym skutkom naruszenia, a nie na przedstawieniu precyzyjnych danych liczbowych. Dlatego też w przypadku, w którym fakt wystąpienia naruszenia nie wzbudza żadnych wątpliwości, ale jego skala nie jest jeszcze znana, sukcesywne dokonywanie zgłoszenia (zob. poniżej) stanowi bezpieczną metodę wywiązania się z zobowiązań w zakresie zgłaszania naruszeń.

 

Art. 33 ust. 3 stanowi, że administrator „musi co najmniej” przekazać tego rodzaju informacje w zgłoszeniu, aby – w stosownych przypadkach – mieć możliwość przekazania dodatkowych

szczegółowych informacji na późniejszym etapie. Różne rodzaje naruszeń (dotyczące poufności, integralności lub dostępności) mogą wiązać się z koniecznością przekazania dodatkowych informacji, aby w pełni wyjaśnić okoliczności danej sprawy.

 

Przykład

 

W zgłoszeniu skierowanym do organu nadzorczego administrator może podać nazwę swojego podmiotu przetwarzającego, jeżeli do danego naruszenia doszło na poziomie takiego podmiotu, a w szczególności jeżeli naruszenie doprowadziło do incydentu wywierającego wpływ na wpisy danych osobowych wielu innych administratorów, którzy korzystają z usług tego samego podmiotu przetwarzającego.

Niezależnie od danego przypadku organ nadzorczy może zwrócić się o udzielenie mu dalszych szczegółowych informacji w ramach prowadzonego przez siebie postępowania w przedmiocie naruszenia.

 

2. Sukcesywne dokonywanie zgłoszenia

 

W zależności od charakteru danego naruszenia ustalenie wszystkich istotnych okoliczności faktycznych związanych z incydentem może wiązać się z koniecznością przeprowadzenia bardziej szczegółowego postępowania przez administratora. Dlatego też art. 33 ust. 4 stanowi:

„Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki”.

Oznacza to, że w RODO uznaje się, iż administratorzy nie zawsze są w stanie uzyskać dostęp do wszystkich niezbędnych informacji na temat naruszenia w ciągu 72 godzin od stwierdzenia wystąpienia naruszenia, ponieważ pełne i wyczerpujące szczegółowe informacje na temat danego incydentu nie zawsze są dostępne w tym początkowym okresie. Z tego względu w RODO przewidziano możliwość sukcesywnego dokonywania zgłoszenia. Możliwość ta będzie prawdopodobnie wykorzystywana w przypadku bardziej złożonych naruszeń, takich jak niektóre rodzaje cyberincydentów, w przypadku których pełne ustalenie charakteru naruszenia oraz skali naruszenia ochrony danych osobowych może wiązać się np. z koniecznością przeprowadzenia dogłębnego dochodzenia kryminalistycznego. Z tego względu w wielu przypadkach administrator będzie zobowiązany do przeprowadzenia szerzej zakrojonych postępowań i podjęcia działań następczych w momencie uzyskania dodatkowych informacji na późniejszym etapie. Taką sytuację uznaje się za dopuszczalną, o ile administrator wyjaśni przyczyny opóźnienia zgodnie z art. 33 ust. 1. Grupa Robocza Art. 29 zaleca, aby w momencie, w którym administrator po raz pierwszy zgłasza dane naruszenie organowi nadzorczemu, poinformował również ten organ o tym, że nie dysponuje jeszcze wszystkimi wymaganymi danymi i że przekaże bardziej szczegółowe informacji na późniejszym etapie. Organ nadzorczy powinien uzgodnić z administratorem sposób i termin przekazania tych dodatkowych informacji. Nie uniemożliwia to administratorowi udzielania dodatkowych informacji na dowolnym innym etapie w przypadku, gdy uzyska wiedzę o dalszych istotnych okolicznościach faktycznych związanych z naruszeniem, która powinna zostać przekazana organowi nadzorczemu.

 

Wymóg zgłaszania naruszeń ustanowiono przede wszystkim, aby zachęcić administratorów do szybkiego reagowania na naruszenia, ograniczania ich wpływu oraz – w miarę możliwości – odzyskiwania danych osobowych, których bezpieczeństwo zostało naruszone, a także zasięgania opinii organu nadzorczego w tym zakresie. Zgłoszenie naruszenia organowi nadzorczemu w ciągu pierwszych 72 godzin od jego wystąpienia może umożliwić administratorowi zagwarantowanie podjęcia prawidłowych decyzji w kwestii tego, czy w danym przypadku należy zawiadomić osoby fizyczne o wystąpieniu naruszenia.

 

Celem zgłoszenia naruszenia organowi nadzorczemu nie jest jednak wyłącznie uzyskanie wskazówek w kwestii tego, czy o jego wystąpieniu należy zawiadomić osoby fizyczne, na które wywiera ono wpływ. W niektórych przypadkach administrator – opierając się na charakterze naruszenia i powadze związanego z nim ryzyka – będzie mógł jednoznacznie stwierdzić, że osoby fizyczne, na które dane naruszenie wywiera wpływ, muszą zostać niezwłocznie zawiadomione o jego wystąpieniu. Na przykład w sytuacji bezpośredniego zagrożenia kradzieżą tożsamości lub ujawnieniem szczególnych kategorii danych osobowych w internecie administrator powinien bez zbędnej zwłoki podjąć działania mające na celu ograniczenie skali naruszenia i zawiadomienie osób fizycznych, na które wywiera ono wpływ, o jego wystąpieniu (zob. sekcja III). W wyjątkowych okolicznościach administrator może zawiadomić osoby fizyczne o wystąpieniu naruszenia przed zgłoszeniem naruszenia organowi nadzorczemu. Ogólniej rzecz biorąc, zgłoszenie naruszenia organowi nadzorczemu nie może stanowić usprawiedliwienia dla niewywiązania się z obowiązku zawiadomienia osoby, której dane dotyczą, o wystąpieniu naruszenia w przypadkach, w których jest to konieczne.

 

Należy również podkreślić, że po dokonaniu początkowego zgłoszenia administrator może przekazywać organowi nadzorczemu bardziej aktualne informacje, jeżeli w toku postępowania przeprowadzonego po stwierdzeniu naruszenia ujawnione zostaną dowody świadczące o tym, że incydent bezpieczeństwa został zneutralizowany i że w rzeczywistości nie doszło do żadnego naruszenia. Takie informacje mogą następnie zostać wykorzystane jako uzupełnienie informacji, które zostały już przekazane organowi nadzorczemu, a sam incydent powinien zostać zarejestrowany jako niewiążący się z naruszeniem. Nie przewidziano żadnych sankcji z tytułu zgłaszania incydentów, co do których w ostatecznym rozrachunku okazało się, że nie wiązały się z naruszeniem.

 

Przykład

Administrator zgłasza organowi nadzorczemu utratę pamięci USB zawierającej kopię danych osobowych niektórych z jego klientów w terminie 72 godzin od wykrycia wystąpienia naruszenia. Pamięć USB zostaje następnie odnaleziona wśród innych dokumentów przechowywanych w pomieszczeniach administratora i odzyskana. Administrator przekazuje stosowne informacje w tym zakresie organowi nadzorczemu i występuje o zmianę treści zgłoszenia.

Należy przy tym podkreślić, że podejście bazujące na sukcesywnym zgłaszaniu naruszeń jest już stosowane w kontekście zobowiązań ustanowionych w dyrektywie 2002/58/WE i rozporządzeniu nr 611/2013 oraz w kontekście innych samodzielnie zgłaszanych incydentów.

 

3. Zgłoszenia dokonane z opóźnieniem

 

W art. 33 ust. 1 wyraźnie stwierdzono, że do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Na mocy tego przepisu – w połączeniu z koncepcją sukcesywnego dokonywania zgłoszenia – uznaje się, że administrator może nie zawsze być w stanie zgłosić naruszenie w wyznaczonym terminie oraz że dokonanie zgłoszenia z opóźnieniem może być w niektórych przypadkach dopuszczalne.

 

Taka sytuacja może wystąpić np. wówczas, gdy administrator będzie musiał w krótkim czasie stawić czoła szeregowi podobnych naruszeń dotyczących poufności danych wywierających taki sam wpływ na dużą liczbę osób, których dane dotyczą. Administrator może stwierdzić wystąpienie naruszenia i – na początkowym etapie postępowania, przed jego zgłoszeniem – wykryć kolejne podobne naruszenia wynikające z różnych przyczyn. W zależności od okoliczności danej sprawy ustalenie skali naruszeń może zająć administratorowi pewną ilość czasu, dlatego też zamiast zgłaszać poszczególne naruszenia indywidualnie, administrator może zgromadzić je w ramach jednego większego zgłoszenia uwzględniającego szereg bardzo podobnych naruszeń, które potencjalnie mogą wynikać z różnych przyczyn. W rezultacie naruszenia mogą zostać zgłoszone organowi nadzorczemu z opóźnieniem większym niż 72 godziny od momentu, w którym administrator po raz pierwszy stwierdził ich wystąpienie.

 

Ściśle rzecz biorąc, każde pojedyncze naruszenie stanowi incydent, który należy zgłosić. Aby jednak uniknąć nadmiernego obciążania administratorów, zapewniono im możliwość „zbiorczego” zgłoszenia wszystkich takich naruszeń, o ile dotyczą one tego samego rodzaju danych osobowych, których ochrona została naruszona w taki sam sposób, i o ile doszło do nich w stosunkowo krótkim odstępie czasu. Jeżeli w danym przypadku doszło do szeregu naruszeń dotyczących różnych rodzajów danych osobowych, których ochrona została naruszona w różny sposób, zgłoszenia należy dokonać w standardowym trybie, zgłaszając każde naruszenie zgodnie z przepisami art. 33.

 

Choć w niektórych przypadkach w RODO dopuszcza się możliwość dokonywania zgłoszeń z opóźnieniem, takie sytuacje należy traktować jako sytuacje nadzwyczajne. W tym względzie warto podkreślić, że zgłoszeń zbiorczych można również dokonywać w celu zgłoszenia szeregu podobnych naruszeń w wyznaczonym terminie 72 godzin.

C.           Naruszenia o charakterze transgranicznym i naruszenia w jednostkach organizacyjnych spoza UE

1. Naruszenia o charakterze transgranicznym

 

W przypadku, w którym dochodzi do transgranicznego przetwarzania danych osobowych, naruszenie może wywierać wpływ na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim. W art. 33 ust. 1 wyraźnie stwierdzono, że w przypadku wystąpienia naruszenia, administrator powinien zgłosić je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO.

Art.55 ust. 1 stanowi, że:

„Każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego”.

 

Art. 56 ust. 1 stanowi jednak, że:

„Bez uszczerbku dla art. 55 organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający”.

 

Ponadto art. 56 ust. 6 stanowi, że:

„Administrator lub podmiot przetwarzający komunikują się w sprawie dokonywanego przez nich transgranicznego przetwarzania jedynie z wiodącym organem nadzorczym”.

 

Oznacza to, że administrator będzie zobowiązany do zgłoszenia naruszenia wiodącemu organowi nadzorczemu za każdym razem, gdy w kontekście transgranicznego przetwarzania dojdzie do naruszenia wymagającego zgłoszenia. Dlatego też przy sporządzaniu swojego planu reagowania na naruszenia administrator musi ustalić, który organ nadzorczy jest wiodącym organem nadzorczym, któremu należy zgłosić naruszenie. Dzięki temu administrator będzie mógł szybko reagować na pojawiające się naruszenia i wywiązywać się z zobowiązań spoczywających na nim zgodnie z art. 33. W tym kontekście należy wyjaśnić, że naruszenie wiążące się z transgranicznym przetwarzaniem należy zgłosić wiodącemu organowi nadzorczemu, którego siedziba niekoniecznie musi znajdować się w tym samym miejscu co miejsce, w którym znajdują się osoby, których dane dotyczą, lub co miejsce, w którym doszło do naruszenia. Zgłaszając naruszenie wiodącemu organowi nadzorczemu, administrator powinien – w stosownych przypadkach – określić, czy naruszenie dotyczy jednostek organizacyjnych znajdujących się w innych państwach członkowskich, oraz wskazać państwa członkowskie, w których dane naruszenie może potencjalnie wywrzeć wpływ na osoby, których dane dotyczą. Jeżeli administrator ma jakiekolwiek wątpliwości co do tożsamości wiodącego organu nadzorczego, powinien przynajmniej zgłosić naruszenie lokalnemu organowi nadzorczemu w miejscu, w którym doszło do naruszenia.

 

2. Naruszenia w jednostkach organizacyjnych spoza UE

 

Art. 3 dotyczy terytorialnego zakresu stosowania RODO, uwzględniając przypadki, w których przepisy RODO mają zastosowanie do przetwarzania danych osobowych przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w UE. W szczególności art. 3 ust. 2 stanowi, że:

 

„Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

1. oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub

 

2. monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii”.

 

W tym kontekście za istotne należy również uznać przepisy art. 3 ust. 3, który stanowi, że:

 

„Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego”.

 

A zatem w przypadku, gdy naruszenie odnotuje administrator niemający jednostki organizacyjnej w UE, który podlega przepisom art. 3 ust. 2 lub 3, na administratorze tym wciąż spoczywają obowiązki zgłaszania określone w art. 33 i 34. W art. 27 ustanowiono wymóg zobowiązujący administratora (i podmiot przetwarzający) do wyznaczenia przedstawiciela w UE w przypadku, gdy zastosowanie ma art. 3 ust. 2. W takich przypadkach Grupa Robocza Art. 29 zaleca, aby zgłoszenia były kierowane do organu nadzorczego w państwie członkowskim, w którym przedstawiciel administratora w UE ma jednostkę organizacyjną. Podobnie w przypadku gdy podmiot przetwarzający podlega przepisom art. 3 ust. 2, spoczywają na nim obowiązki dotyczące podmiotów przetwarzających, a w szczególności obowiązek zgłaszania naruszenia administratorowi na podstawie art. 33 ust. 2.

 

4. Sytuacje, w których zgłaszanie nie jest konieczne

 

W art. 33 ust. 1 wyraźnie stwierdzono, że nie ma obowiązku zgłaszania organowi nadzorczemu naruszeń, co do których „jest mało prawdopodobne, by [...] skutkował[y] ryzykiem naruszenia praw lub wolności osób fizycznych”. Przykładem może być sytuacja, w której dane osobowe już są publicznie dostępne i ujawnienie takich danych nie wiąże się z prawdopodobnym ryzykiem dla danej osoby fizycznej. Jest to sprzeczne z istniejącymi wymogami powiadamiania o naruszeniu określonymi w dyrektywie 2009/136/WE, które spoczywają na dostawcach publicznie dostępnych usług łączności elektronicznej, zgodnie z którymi wszelkie istotne naruszenia należy zgłaszać właściwemu organowi.

 

W swojej opinii 03/2014 na temat powiadamiania o przypadkach naruszenia Grupa Robocza Art. 29 wyjaśniła, że naruszenie poufności danych osobowych, które zaszyfrowano przy użyciu najnowocześniejszego algorytmu, nadal stanowi naruszenie danych osobowych i musi zostać zgłoszone. Jeżeli jednak nie dojdzie do naruszenia poufności klucza – tj. jeżeli klucz nie został złamany w wyniku naruszenia bezpieczeństwa oraz został wygenerowany w sposób, który uniemożliwia osobie nieupoważnionej poznanie go za pomocą dostępnych technologicznie środków – to dane zasadniczo pozostają nieczytelne. Nie jest więc prawdopodobne, aby takie naruszenie wywarło niekorzystny wpływ na osoby, których dane dotyczą, a zatem nie zachodzi konieczność powiadomienia o nim takich osób. Nawet jeżeli dane są zaszyfrowane, ich utrata lub zmiana może jednak wywrzeć niekorzystny wpływ na osoby, których dane dotyczą, jeżeli administrator danych nie posiada odpowiednich kopii zapasowych. W takim przypadku należy powiadomić osoby, których dane dotyczą, nawet jeżeli same dane odpowiednio zaszyfrowano.

 

Grupa Robocza Art. 29 wyjaśniła również, że taka sama sytuacja miałaby miejsce, gdyby w stosunku do danych osobowych, takich jak hasła, zastosowano bezpieczną funkcję skrótu i ciągu zaburzającego, dane zostały zastąpione wartością klucza haszującego, obliczoną za pomocą najnowocześniejszej kryptograficznej funkcji haszującej z kluczem tajnym, klucz użyty do haszowania tych danych nie został złamany w wyniku naruszenia bezpieczeństwa, oraz został wygenerowany w sposób, który uniemożliwia osobie nieupoważnionej poznanie go za pomocą dostępnych technologicznie środków.

 

A zatem, jeżeli zapewniono, aby dane osobowe były zasadniczo nieczytelne dla osób nieupoważnionych, oraz jeżeli dane są kopią lub istnieje kopia bezpieczeństwa, nie ma potrzeby zgłaszania organowi nadzorczemu naruszenia dotyczącego poufności danych związanego z odpowiednio zaszyfrowanymi danymi osobistymi. Wynika to z niskiego prawdopodobieństwa, że takie naruszenie stworzy ryzyko naruszenia praw i wolności osób fizycznych. Oznacza to oczywiście, że nie ma również konieczności powiadamiania danej osoby fizycznej, ponieważ ryzyko prawdopodobnie nie jest wysokie. Warto jednak pamiętać, że choć początkowo zgłoszenie może nie być wymagane ze względu na fakt, iż prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych jest niskie, z czasem sytuacja może się zmienić i może wystąpić konieczność przeprowadzenia kolejnej oceny ryzyka. Przykładowo konieczność zgłoszenia może występować także w sytuacji, gdy w późniejszym czasie stwierdzono, że klucz został złamany, lub wykryto lukę w oprogramowaniu szyfrującym.

 

Należy również podkreślić, że wystąpienie naruszenia w sytuacji, w której nie istnieje kopia bezpieczeństwa zaszyfrowanych danych osobowych, oznacza, iż miało miejsce naruszenie dotyczące dostępności danych, które może stwarzać ryzyko dla osób fizycznych i w związku z tym może wymagać zgłoszenia. Sytuacja jest podobna w przypadku wystąpienia naruszenia związanego z utratą zaszyfrowanych danych – nawet jeżeli istnieje kopia bezpieczeństwa danych osobowych – takie naruszenie może również wymagać zgłoszenia w zależności od tego, ile czasu zajęło przywracanie danych z kopii zapasowej, oraz od tego, jak brak dostępności wpłynął na osoby fizyczne. Zgodnie z art. 32 ust. 1 lit. c) istotnym czynnikiem gwarantującym bezpieczeństwo jest „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”.

 

Przykład

 

Przykładem naruszenia, które nie wymagałoby zgłoszenia organowi nadzorczemu, byłaby utrata bezpiecznie zaszyfrowanego urządzenia mobilnego, z którego korzystają administrator i jego pracownicy. Zakładając, że klucz kryptograficzny jest bezpiecznie przechowywany przez administratora i nie jest to jedyna kopia danych osobowych, dane osobowe będą niedostępne dla atakującego. Oznacza to, że przedmiotowe naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw i wolności osób, których te dane dotyczą. Jeżeli później okaże się, że klucz kryptograficzny został złamany lub oprogramowanie lub algorytm szyfrujący ma słabe punkty, poziom ryzyka naruszenia praw i wolności osób fizycznych zmieni się i wówczas zgłoszenie może stać się konieczne.

Jeżeli  jednak administrator nie  powiadomi  organu nadzorczego  w sytuacji,w której  dane w rzeczywistości nie zostały bezpiecznie zaszyfrowane, wówczas ma miejsce niewywiązanie się z zobowiązań wynikających z art. 33. Dokonując wyboru   oprogramowania szyfrującego, administratorzy powinni zatem dokładnie zastanowić się nad jakością i odpowiednim wdrożeniem oferowanej metody szyfrowania, dowiedzieć się, jaki poziom ochrony faktycznie ona zapewnia, oraz czy jest adekwatna do poziomu istniejącego ryzyka. Administratorzy powinni również być zaznajomieni ze szczegółami funkcjonowania wykorzystywanego przez nich produktu szyfrującego. Na przykład urządzenie może być szyfrowane po wyłączeniu, ale nie wtedy, gdy znajduje się w trybie uśpienia. Niektóre produkty wykorzystujące szyfrowanie mogą posiadać „domyślne klucze”, które każdy klient musi zmienić, aby szyfrowanie było skuteczne. Chociaż eksperci ds. bezpieczeństwa mogą obecnie uznawać daną metodę szyfrowania za odpowiednią, może ona się za kilka lat stać przestarzała, co stworzy wątpliwości, czy szyfrowanie danych zapewniane przez ten produkt będzie wystarczające i czy będzie zapewniało właściwy poziom ochrony.

 

 

3. Art. 34 – Zawiadamianie osoby, której dane dotyczą

 

1. Zawiadamianie osób fizycznych

 

W niektórych przypadkach administrator musi nie tylko zgłosić naruszenie organowi nadzorczemu, ale również powiadomić o nim osoby fizyczne, na które to naruszenie wywiera wpływ.

 

Art. 34 ust. 1 stanowi, że:

„Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.

 

Administratorzy powinni pamiętać, że zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu jest obowiązkowe, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw i wolności osób fizycznych. Ponadto jeżeli istnieje prawdopodobieństwo, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych, należy poinformować o nim również osoby fizyczne. A zatem poziom zagrożenia skutkujący powstaniem obowiązku przekazania osobom fizycznym informacji o naruszeniu jest wyższy niż w przypadku zgłaszania naruszenia organom nadzorczym, dzięki czemu nie ma obowiązku zgłaszania osobom fizycznym wszystkich naruszeń, co pozwala ochronić je przed nadmiarem niepotrzebnych powiadomień.

 

RODO stanowi, że osoby fizyczne należy poinformować o naruszeniu „bez zbędnej zwłoki” – tj. najszybciej, jak to możliwe. Zawiadomienie osób fizycznych ma na celu przede wszystkim dostarczenie im szczegółowych informacji na temat działań zapobiegawczych, które powinny podjąć. Jak wspomniano powyżej, w zależności od charakteru naruszenia i powstałego ryzyka, szybkie zawiadomienie pozwoli osobom fizycznym podjąć działania, aby uchronić się przed wszelkimi negatywnymi skutkami naruszenia.

W załączniku B do niniejszych wytycznych przedstawiono niewyczerpujący wykaz przykładowych sytuacji, w których istnieje duże prawdopodobieństwo, że naruszenie stworzy wysokie ryzyko dla osób fizycznych, a co za tym idzie przypadków, w których administrator musi zgłosić wystąpienie naruszenia osobom, na które ma ono wpływ.

 

2. Informacje, których należy udzielić

 

W odniesieniu do zawiadamiania osób fizycznych art. 34 ust. 2 stanowi, że:

„Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d)”.

 

Zgodnie z tym przepisem administrator musi udzielić co najmniej następujących informacji:

 

• opis charakteru naruszenia;

• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego;

• opis możliwych konsekwencji naruszenia; oraz

• opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

 

Jednym z przykładów środków zastosowanych w celu zaradzenia naruszeniu i zminimalizowania jego ewentualnych negatywnych skutków może być deklaracja administratora, że po zgłoszeniu naruszenia właściwemu organowi nadzorczemu administrator uzyskał zalecenie dotyczące zarządzania naruszeniem i ograniczenia jego wpływu. Administrator powinien również – w stosownych przypadkach – przekazać osobom fizycznym szczegółowe zalecenia na temat sposobów ochrony przed potencjalnymi niekorzystnymi skutkami naruszenia – takich jak zmiana haseł – jeżeli ich dane uwierzytelniające zostały ujawnione. Również w tym wypadku administrator może podjąć decyzję o przekazaniu większej ilości informacji, niż jest to wymagane.

 

3. Kontakt z osobami fizycznymi

 

Co do zasady osoby, których dane dotyczą, należy zawiadomić o naruszeniu bezpośrednio, chyba że takie działanie wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób (art. 34 ust. 3 lit. c)).

 

Osoby, których dane dotyczą, należy zawiadamiać o naruszeniu za pomocą specjalnie do tego przeznaczonych wiadomości i nie należy tych wiadomości przesyłać wraz z innymi informacjami, takimi jak regularne aktualizacje, biuletyny lub standardowe wiadomości. Dzięki temu zawiadomienie o naruszeniu będzie jasne i przejrzyste.

 

Do przykładów przejrzystych metod zawiadamiania należą komunikacja bezpośrednia (np. wiadomości e -mail, SMS, wiadomości bezpośrednie), rzucające się w oczy bannery lub powiadomienia na stronach internetowych, komunikacja pocztowa oraz rzucające się w oczy reklamy w mediach drukowanych. Powiadomienie, które jest tylko częścią komunikatu prasowego lub zostało zamieszczone na blogu przedsiębiorstwa, nie byłoby skuteczną metodą zawiadomienia osób fizycznych o naruszeniu. Zgodnie z zaleceniami Grupy Roboczej Art. 29 administratorzy powinni wybierać metody pozwalające zapewnić jak największą szansę właściwego przekazania informacji wszystkim osobom fizycznym, na które to naruszenie wywiera wpływ. W nie których okolicznościach może to oznaczać, że administrator wykorzysta szereg metod komunikacji, a nie tylko jeden kanał kontaktowy.

Może zdarzyć się, że administratorzy będą również musieli zapewnić dostępność zawiadomienia w odpowiednich formatach alternatywnych i stosownych językach, aby zapewnić osobom fizycznym możliwość zrozumienia przedstawionych im informacji. Na przykład do zawiadomienia osoby fizycznej o naruszeniu właściwy będzie zazwyczaj język wykorzystywany we wcześniejszych zwykłych relacjach gospodarczych z odbiorcą. Jednak jeżeli naruszenie ma wpływ na osoby, z którymi administrator nie miał wcześniej kontaktu, lub w szczególności na osoby zamieszkujące w państwie członkowskim lub państwie trzecim innym niż państwo, w którym administrator posiada jednostkę organizacyjną, dopuszczalne może być użycie w zawiadomieniu miejscowego języka urzędowego, uwzględniając przy tym potrzebne zasoby. Najważniejsze, aby osoby, których dane dotyczą, zrozumiały charakter naruszenia i wiedziały, co muszą zrobić, aby się zabezpieczyć.

 

Administratorzy mają największe kompetencje do określenia kanału kontaktowego, który byłby najwłaściwszy do zawiadomienia osób fizycznych o naruszeniu, w szczególności jeżeli regularnie wchodzą w interakcję ze swoimi klientami. Jest jednak oczywiste, że administrator powinien uważać, aby nie wykorzystywać kanału kontaktowego, który w wyniku naruszenia przestał być bezpieczny, ponieważ kanał ten mogą wykorzystać również atakujący podszywający się pod administratora.

 

Jednocześnie w motywie 86 wyjaśniono, że:

„Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

 

Kontakt i konsultacje z organem nadzorczym pozwolą administratorom uzyskać nie tylko zalecenia na temat powiadamiania osób, których dane dotyczą, o naruszeniu zgodnie z art. 34, ale również na temat stosownych wiadomości, które należy wysłać do osób fizycznych, oraz najwłaściwszego sposobu skontaktowania się z nimi.

 

Kwestii tej dotyczy zalecenie zawarte w motywie 88, które stanowi, że w zawiadomieniu o naruszeniu „należy [...] uwzględnić prawnie uzasadnione interesy organów ścigania, jeżeli przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia ochrony danych osobowych”. Może to oznaczać, że w pewnych okolicznościach, gdy jest to uzasadnione, oraz zgodnie z zaleceniami organów ścigania administrator może opóźnić wysłanie zawiadomienia o naruszeniu do osób fizycznych, na które wywiera ono wpływ, do momentu, w którym takie zawiadomienie nie zaszkodzi takim postępowaniom. Osoby, których dane dotyczą, należy jednak wciąż natychmiast poinformować po upływie tego okresu.

 

Jeżeli administrator nie jest w stanie zawiadomić danej osoby fizycznej o naruszeniu, ponieważ przechowywane dane są niewystarczające do skontaktowania się z tą osobą, w takim szczególnym przypadku administrator powinien ją poinformować tak szybko, jak jest to rozsądnie wykonalne (np. jeżeli osoba fizyczna skorzysta z przewidzianego w art. 15 prawa do uzyskania dostępu do swoich danych osobowych i dostarczy administratorowi dodatkowe informacje wymagane do skontaktowania się z nią).

 

4. Sytuacje, w których zawiadomienie nie jest konieczne

 

W art. 34 ust. 3 określono trzy sytuacje, w których nie ma konieczności zawiadomienia osób fizycznych w przypadku wystąpienia naruszenia. Sytuacje te są następujące:

•      administrator i organizacyjne zastosował przed wystąpieniem środki w celu ochrony danych naruszenia osobowych, odpowiednie  techniczne w szczególności  środki uniemożliwiające odczyt danych osobom, które nie są uprawnione do dostępu do tych danych. Może to na przykład obejmować zabezpieczenie danych osobowych za pomocą najnowocześniejszego szyfrowania lub tokenizacji;

• natychmiast po wystąpieniu naruszenia administrator podjął działania w celu wyeliminowania prawdopodobieństwa powstania wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej. Na przykład w niektórych sytuacjach administrator mógł natychmiast zidentyfikować osobę fizyczną, która uzyskała dostęp do danych osobowych, i podjąć wobec niej działania, zanim mogła ona w jakikolwiek sposób wykorzystać te dane. Mimo to należy odpowiednio uwzględnić możliwe skutki każdego naruszenia poufności, również w tym wypadku biorąc pod uwagę charakter przedmiotowych danych;

 

• skontaktowanie się z danymi osobami fizycznymi wymagałoby niewspółmiernie dużego wysiłku, na przykład ponieważ w wyniku naruszenia utracono ich dane kontaktowe albo

 

dane te nigdy nie były znane. Na przykład archiwum urzędu statystycznego uległo zalaniu, a dokumenty zawierające dane osobowe przechowywano tylko w formie papierowej. W takim przypadku administrator musi wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby fizyczne zostaną poinformowane w równie skuteczny sposób. Jeżeli wykonanie tego działania wymagałoby niewspółmiernie dużego wysiłku, można również przewidzieć uzgodnienia techniczne, dzięki którym informacje na temat naruszenia będą dostępne na żądanie, co może okazać się przydatne dla osób, na które naruszenie mogło wywrzeć wpływ, lecz z którymi administrator nie mógł się w inny sposób skontaktować.

 

Zgodnie z zasadą rozliczalności administratorzy powinni być w stanie wykazać przed organem nadzorczym, że spełniają co najmniej jeden z tych warunków. Warto pamiętać, że choć początkowo zgłoszenie może nie być wymagane ze względu na fakt, iż prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych jest niskie, z czasem sytuacja może się zmienić i może wystąpić konieczność przeprowadzenia kolejnej oceny ryzyka.

 

Jeżeli administrator zdecyduje się nie zawiadamiać osoby fizycznej o naruszeniu, w art. 34 ust. 4 wyjaśniono, że organ nadzorczy może od niego tego zażądać, jeżeli jego zdaniem naruszenie może powodować wysokie ryzyko dla osób fizycznych. Ewentualnie może stwierdzić, że spełnione zostały warunki, o których mowa w art. 34 ust. 3, i w takim przypadku zawiadomienie osób fizycznych nie jest konieczne. Jeżeli organ nadzorczy stwierdzi, że decyzja o niezawiadamianiu osób, których dane dotyczą, nie jest odpowiednio uzasadniona, może rozważyć wykorzystanie swoich uprawnień i nałożenie sankcji.

 

IV.        Ocena ryzyka i wysokiego ryzyka

 

1. Ryzyko jako powód zgłoszenia

 

Mimo że w RODO wprowadzono obowiązek zgłaszania naruszenia, nie jest ono wymagane we wszystkich sytuacjach:

 

• zgłoszenie naruszenia właściwemu organowi nadzorczemu jest obowiązkowe, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw i wolności osób fizycznych;

 

• osobę fizyczną zawiadamia się o naruszeniu jedynie wówczas, gdy naruszenie może powodować wysokie ryzyko naruszenia praw i wolności tych osób.

 

Oznacza to, że natychmiast po stwierdzeniu naruszenia administrator musi nie tylko dążyć do ograniczenia negatywnych skutków incydentu, lecz również ocenić ryzyko, które może powstać w wyniku tego naruszenia. Wynika to z dwóch ważnych przyczyn: po pierwsze, znajomość prawdopodobieństwa i potencjalnej dotkliwości wpływu na osoby fizyczne pomoże administratorowi w podjęciu skutecznych działań pozwalających zapanować nad skutkami naruszenia i je zminimalizować; po drugie, pomoże administratorowi stwierdzić, czy zgłoszenie naruszenia organowi nadzorczemu oraz – w stosownych przypadkach – osobom, których dotyczy naruszenie, jest konieczne.

 

Jak wyjaśniono powyżej, zgłoszenie naruszenia jest obowiązkowe, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw i wolności osób fizycznych, a to, czy o naruszeniu należy zawiadomić osoby, których dane dotyczą, zależy przede wszystkim od tego, czy naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia. Jeżeli naruszenie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub seksualności lub dane dotyczące wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa – należy uznać, że taka szkoda prawdopodobnie nastąpi.

 

2. Czynniki, które należy uwzględnić podczas oceny ryzyka

 

Zgodnie z zaleceniami zawartymi w motywach 75 i 76 RODO podczas oceny ryzyka zasadniczo należy wziąć pod uwagę zarówno prawdopodobieństwo, jak i powagę ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Stwierdzono również, że ryzyko naruszenia należy oszacować na podstawie obiektywnej oceny.

 

Należy podkreślić, że podczas oceny ryzyka naruszenia praw i wolności osób fizycznych powstałego w wyniku wystąpienia naruszenia kładzie się nacisk na inne kwestie, niż kwestie dotyczące ryzyka uwzględniane w ocenie skutków dla ochrony danych. W ocenie skutków dla ochrony danych bierze się pod uwagę zarówno ryzyko dla planowego przetwarzania danych, jak i ryzyko powstałe w przypadku wystąpienia naruszenia. Badając możliwe naruszenie, rozpatruje się w ujęciu ogólnym prawdopodobieństwo jego wystąpienia oraz szkody dla osób, których dane dotyczą, jakie mogą z niego wyniknąć; innymi słowy, jest to ocena wydarzenia hipotetycznego. W przypadku faktycznego naruszenia wydarzenie już nastąpiło, więc nacisk kładzie się w całości na powstałe ryzyko, że naruszenie będzie skutkowało wpływem na osoby fizyczne.

 

Przykład

 

Z oceny skutków dla ochrony danych wynika, że rozważane wykorzystanie określonego oprogramowania zabezpieczającego do ochrony danych osobowych stanowi właściwy środek służący zapewnieniu stopnia bezpieczeństwa, który jest odpowiedni względem ryzyka dla osób fizycznych, jakie w innym przypadku wynikałoby z przetwarzania danych. Gdyby jednak w późniejszym czasie wykryto lukę w zabezpieczeniach, sytuacja ta wpłynęłaby na przydatność oprogramowania do ograniczenia ryzyka dla chronionych danych osobowych, a zatem oprogramowanie należałoby poddać ponownej ocenie w ramach trwającej oceny skutków dla ochrony danych.

 

Luka w oprogramowaniu zostaje później wykorzystana i następuje naruszenie. Administrator powinien przeprowadzić ocenę konkretnych okoliczności naruszenia, sprawdzić, których danych dotyczy naruszenie, a także oszacować potencjalny poziom wpływu na osoby fizyczne

 

1. prawdopodobieństwo wystąpienia tego ryzyka.

 

Oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia, administrator powinien uwzględnić zatem konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia. Grupa Robocza Art. 29 zaleca zatem, aby w trakcie oceny brano pod uwagę następujące kryteria:

 

• Rodzaj naruszenia

 

Rodzaj stwierdzonego naruszenia może wpłynąć na poziom ryzyka dla osób fizycznych. Na przykład konsekwencje dla osoby fizycznej w przypadku naruszenia dotyczącego poufności danych, którego istotą jest ujawnienie informacji medycznych osobom nieupoważnionym, mogą być inne niż konsekwencje naruszenia polegającego na utracie informacji medycznych danej osoby, do których nie ma już dostępu.

 

• Charakter, wrażliwość i ilość danych osobowych

 

Kluczowym czynnikiem podczas oceniania ryzyka jest oczywiście rodzaj i wrażliwość danych osobowych, które zostały ujawnione w wyniku naruszenia. Zazwyczaj ryzyko powstania szkody dla osób, których dotyczy naruszenie, wzrasta wraz z wrażliwością danych, lecz należy wziąć pod uwagę również inne dane osobowe dotyczące tych osób, które mogą już być dostępne. Na przykład ujawnienie imienia i nazwiska oraz adresu danej osoby prawdopodobnie nie wyrządzi jej szkody w normalnej sytuacji. Jednak jeżeli imię i nazwisko oraz adres rodzica adopcyjnego zostaną ujawnione rodzicowi biologicznemu, może mieć to bardzo poważne konsekwencje zarówno dla rodzica adopcyjnego, jak i dziecka.

 

Naruszenia powiązane z danymi dotyczącymi zdrowia, dokumentami tożsamości lub danymi finansowymi takimi jak dane kart kredytowych mogą spowodować szkody, jeżeli występują pojedynczo, lecz jeżeli wystąpią łącznie, mogą zostać wykorzystane do kradzieży tożsamości. Zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedynczy element danych osobowych.

 

Niektóre rodzaje danych osobowych mogą się na pierwszy rzut oka wydawać nieszkodliwe, ale należy dokładnie rozważyć, jakie informacje takie dane mogą ujawnić na temat osoby fizycznej, na którą naruszenie wywiera wpływ. Wykaz klientów regularnie odbierających dostawy może nie  stanowić szczególnie wrażliwych danych, ale takie same dane na temat klientów, którzy poprosili o wstrzymanie dostaw na czas urlopu, byłyby dla przestępców przydatne.

 

Ponadto niewielka ilość bardzo wrażliwych danych osobowych może mieć znaczny wpływ na daną osobę fizyczną, a wiele różnych szczegółów może się ujawnić szerszy zakres informacji na temat tej osoby. Podobnie naruszenie, które ma wpływ na duże ilości danych osobowych dotyczące wielu osób, może wywołać skutki dla odpowiednio dużej liczby osób fizycznych.

 

• Łatwość identyfikacji osób fizycznych

 

Istotnym czynnikiem, który należy wziąć pod uwagę, jest łatwość, z jaką strona, która ma dostęp do ujawnionych danych osobowych, będzie w stanie zidentyfikować konkretne osoby fizyczne lub dopasować dane do innych informacji służących identyfikacji osób fizycznych. W zależności od okoliczności identyfikacja może być możliwa bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez potrzeby gromadzenia dodatkowych informacji pozwalających określić tożsamość danej osoby lub dopasowanie danych osobowych do konkretnej osoby może być bardzo trudne, lecz wciąż wykonalne pod pewnymi warunkami. Identyfikacja może być pośrednio lub bezpośrednio możliwa w oparciu o ujawnione dane, ale może również zależeć od konkretnego kontekstu naruszenia i publicznej dostępności powiązanych danych osobowych. Może to mieć większe znaczenie w przypadku naruszeń dotyczących poufności i dostępności danych.

 

Jak stwierdzono powyżej, dane osobowe chronione za pomocą odpowiedniego poziomu szyfrowania będą nieczytelne dla osób nieupoważnionych, które nie posiadają klucza deszyfrującego. Ponadto odpowiednio wdrożona pseudonimizacja (zdefiniowana w art. 4 pkt 5 jako „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”) również może zmniejszyć prawdopodobieństwo zidentyfikowania osób fizycznych w przypadku naruszenia. Jednak aby dane były nieczytelne, nie można polegać jedynie na technikach pseudonimizacji.

 

• Waga konsekwencji dla osób fizycznych

 

W zależności od charakteru danych osobowych, których dotyczy naruszenie – na przykład szczególnych kategorii danych osobowych – możliwe szkody, których mogą doznać osoby fizyczne, mogą być szczególnie poważne, zwłaszcza w przypadku gdy w wyniku naruszenia nastąpi kradzież lub sfałszowanie tożsamości, uszkodzenie ciała, cierpienie psychiczne, upokorzenie lub naruszenie dobrego imienia. Jeżeli naruszenie jest związane z danymi osobowymi dotyczącym osób szczególnie narażonych, może to dla nich stwarzać większe ryzyko szkody.

 

To, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Może nastąpić naruszenie dotyczące poufności danych polegające na omyłkowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicją w art. 4 pkt 10, lub innemu odbiorcy. Może to nastąpić na przykład w sytuacji, gdy dane osobowe zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług powszechnie się korzysta. Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach – z uwagi na fakt, że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące – odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu. W takich przypadkach administrator może uwzględnić tę kwestię w ocenie ryzyka przeprowadzanej w następstwie naruszenia – fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca. To z kolei może jednak wyeliminować prawdopodobieństwo wystąpienia ryzyka dla osób fizycznych, w wyniku czego nie będzie już potrzeby powiadomienia organu nadzorczego lub osób fizycznych, na które to naruszenie wywiera wpływ Również w tym wypadku wszystko będzie zależało od konkretnej sytuacji. Administrator wciąż jednak musi przechowywać informacje dotyczące naruszenia w ramach ogólnego obowiązku prowadzenia dokumentacji na temat naruszeń (zob. sekcja V poniżej).

 

Należy również zwrócić uwagę na to, jak trwałe są konsekwencje wobec osób fizycznych, gdyż wpływ może być postrzegany jako poważniejszy, jeżeli dotyczy długiego okresu.

 

• Cechy szczególne danej osoby fizycznej

 

Naruszenie może mieć wpływ na dane osobowe dotyczące dzieci lub innych osób szczególnie narażonych, w przypadku których w takiej sytuacji może występować większe ryzyko, że znajdą się w nie bezpieczeństwie. Z daną osobą fizyczną mogą wiązać się również inne czynniki wpływające na wagę konsekwencji naruszenia, jakie mogą dla niej wyniknąć.

 

• Cechy szczególne administratora danych

 

Charakter i rola administratora oraz prowadzone przez niego działania mogą mieć wpływ na poziom ryzyka dla osób fizycznych wynikającego z naruszenia. Przykładowo w organizacji medycznej przetwarzane są szczególne kategorie danych osobowych, co oznacza, że w przypadku naruszenia tych danych osobowych osoby fizyczne są narażone na większe zagrożenie niż w przypadku, gdy naruszenie dotyczy listy adresowej czasopisma.

 

• Liczba osób fizycznych, na które naruszenie wywiera wpływ

 

Naruszenie może dotyczyć tylko jednej osoby, kilku osób lub kilku tysięcy osób – albo dużo większej ich liczby. Zazwyczaj potencjalny wpływ naruszenia wzrasta wraz z liczbą osób, których ono dotyczy. Jednak w zależności od charakteru danych osobowych oraz kontekst u, w którym zostały one ujawnione, naruszenie może mieć poważne konsekwencje nawet dla jednej osoby. Również w tym wypadku najważniejsze jest przeanalizowanie prawdopodobieństwa wystąpienia konsekwencji dla osób, na które naruszenie na wpływ, oraz tego, jak poważne będą te konsekwencje.

 

• Uwagi ogólne

 

W związku z tym podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna. W załączniku B przedstawiono użyteczne przykłady różnych rodzajów naruszeń skutkujących ryzykiem lub wysokim ryzykiem dla osób fizycznych.

 

Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) opracowała zalecenia dotyczące metod oceny wagi naruszenia, które mogą się przydać administratorom i podmiotom przetwarzającym podczas opracowywania planów działania i zarządzania w sytuacji wystąpienia naruszenia. 

 

5. Rozliczalność i prowadzenie dokumentacji

 

1. Dokumentowanie naruszeń

 

Bez względu na to, czy należy zgłosić dane naruszenie organowi nadzorczemu, czy też nie, administrator jest zobowiązany do dokumentowania wszystkich naruszeń, jak wyjaśniono w art. 33 ust. 5:

„Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania niniejszego artykułu”.

 

Jest to powiązane z zasadą rozliczalności zawartą w art. 5 ust. 2. RODO. Wymóg dokumentowania zarówno naruszeń, których nie trzeba zgłaszać, jak i naruszeń, które zgłaszać trzeba, jest również związany z obowiązkami administratora określonymi w art. 24, a organ nadzorczy może zażądać wglądu do tej dokumentacji. Administratorzy powinni zatem stworzyć wewnętrzny rejestr naruszeń bez względu na to, czy muszą je zgłaszać, czy też nie.

 

Chociaż administrator określa metody i strukturę dokumentowania naruszeń, we wszystkich przypadkach należy uwzględnić określone kluczowe elementy zapisywanych informacji. Zgodnie z art. 33 ust. 5 administrator jest zobowiązany do rejestrowania szczegółowych informacji na temat naruszenia, które obejmują jego przyczyny, przebieg wydarzeń oraz zakres danych osobowych, których dotyczyło naruszenie. Powinny one obejmować również skutki i konsekwencje naruszenia, uwzględniając działania zaradcze podjęte przez administratora.

 

W przepisach RODO nie sprecyzowano okresu przechowywania takiej dokumentacji. W przypadku gdy takie zapisy zawierają dane osobowe, administrator musi określić właściwy okres przechowywania zgodnie z zasadami dotyczącymi przetwarzania danych osobowych⁴⁴ oraz podstawą prawną przetwarzania. Musi on przechowywać dokumentację zgodnie z art. 33 ust. 5 w zakresie, w jakim może zostać wezwany do przedstawienia organowi nadzorczemu dowodów na przestrzeganie przepisów tego artykułu lub, w ujęciu bardziej ogólnym, zasady rozliczalności. W przypadku gdy dokumentacja nie zawiera żadnych danych osobowych, ustanowiona w RODO zasada ograniczenia przechowywania oczywiście nie ma zastosowania.

 

Grupa Robocza Art. 29 zaleca, aby poza tymi informacjami szczegółowymi administrator dokumentował również uzasadnienia decyzji podjętych w odpowiedzi na naruszenie. Uzasadnienie decyzji należy udokumentować w szczególności w przypadku niezgłoszenia naruszenia. Uzasadnienie powinno obejmować powody, dla których administrator uznał, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli natomiast administrator uznał, że spełnione zostały którekolwiek warunki określone w art. 34 ust. 3, powinien być w stanie przedstawić wystarczające dowody potwierdzające.

 

W przypadku gdy administrator zgłasza naruszenie organowi nadzorczemu, lecz robi to z opóźnieniem, administrator musi przedstawić przyczyny takiego opóźnienia; stosowna dokumentacja może pomóc w wykazaniu, że opóźnienie w zgłoszeniu naruszenia jest uzasadnione i nie jest nadmierne.

 

Powiadamiając o naruszeniu osoby fizyczne, na które wywiera ono wpływ, administrator powinien zachować w tej kwestii przejrzystość i przekazać informacje w sposób sprawny i terminowy. Przechowywanie dowodów takiego powiadamiania ułatwi również administratorowi wykazanie swojej rozliczalności i zgodności z przepisami.

 

Zarówno administratorom, jak i podmiotom przetwarzającym łatwiej będzie przestrzegać przepisów art. 33 i 34, jeżeli wdrożą udokumentowaną procedurę powiadamiania, w której określone zostaną procesy postępowania po wykryciu naruszenia, jak również metody ograniczenia skutków incydentu, zarządzania nim i przywrócenia stanu sprzed jego wystąpienia, a także metody oceny ryzyka i zgłaszania naruszenia. W tym kontekście w wykazaniu zgodności z RODO pomocne może być również wykazanie, że pracownicy zostali poinformowani o istnieniu takich procedur i mechanizmów oraz że wiedzą, jak reagować na naruszenia.

 

Należy przy tym również podkreślić, że niewywiązanie się z obowiązku właściwego udokumentowania naruszenia może spowodować, że organ nadzorczy wykorzysta swoje uprawnienia na mocy art. 58 lub nałoży administracyjną karę pieniężną zgodnie z art. 83.

 

2. Rola inspektora ochrony danych

 

Administrator lub podmiot przetwarzający może wyznaczyć inspektora ochrony danych– zgodnie z wymogami art. 37 albo dobrowolnie w ramach dobrej praktyki. W art. 39 RODO określono szereg zadań wchodzących w zakres obowiązków inspektora ochrony danych, co jednak nie uniemożliwia przydzielenia mu – w stosownych przypadkach – dodatkowych zadań przez podmiot przetwarzający.

 

Do zadań wchodzących w zakres obowiązków inspektora ochrony danych, które są szczególnie istotne z punktu widzenia zgłaszania naruszenia – obok innych obowiązków – należą: przekazywanie administratorowi lub podmiotowi przetwarzającemu zaleceń oraz informacji dotyczących ochrony danych, monitorowanie przestrzegania przepisów RODO oraz przekazywanie zaleceń w zakresie ocen skutków dla ochrony danych. Inspektor ochrony danych musi również współpracować z organem nadzorczym i służyć jako punkt kontaktowy dla organu nadzorczego i osób, których dane dotyczą. Należy również podkreślić, że zgodnie z art. 33 ust. 3 lit. b) podczas zgłaszania naruszenia organowi nadzorczemu administrator musi przekazać imię i nazwisko oraz dane kontaktowe swojego inspektora ochrony danych lub innego punktu kontaktowego.

 

W kwestii dokumentowania naruszeń administrator lub podmiot przetwarzający mogą rozważyć zasięgnięcie opinii swojego inspektora ochrony danych na temat struktury i przygotowania dokumentacji oraz zarządzania nią. Inspektor ochrony danych może również otrzymać dodatkowe zadanie polegające na prowadzeniu takich rejestrów.

 

Z powyższych czynników wynika, że inspektor ochrony danych powinien odgrywać kluczową rolę we wspieraniu zapobiegania naruszeniom lub przygotowaniu na wypadek ich wystąpienia poprzez wydawanie zaleceń i monitorowanie przestrzegania przepisów, jak również w sytuacji naruszenia (tj. podczas zgłaszania naruszenia organowi nadzorczemu) oraz podczas wszelkich dalszych postępowań prowadzonych przez organ nadzorczy. W tym kontekście Grupa Robocza Art. 29 zaleca niezwłoczne informowanie inspektora ochrony danych o wystąpieniu naruszenia oraz angażowanie go na wszystkich etapach procesu zarządzania w sytuacji wystąpienia naruszenia oraz procesu zgłaszania naruszenia.

 

VI.        Obowiązki zgłaszania określone w innych instrumentach prawnych

 

Poza zgłaszaniem naruszeń i powiadamianiem o nich na podstawie RODO i niezależnie od tych działań administratorzy powinni również posiadać wiedzę na temat wszelkich wymogów w zakresie zgłaszania incydentów bezpieczeństwa na podstawie innego powiązanego prawodawstwa, które może w ich przypadku mieć zastosowanie, a także wiedzę na temat tego, czy są na tej podstawie również zobowiązani do jednoczesnego zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Poszczególne państwa członkowskie mogą nakładać takie wymogi w różnych postaciach, lecz jako przykładowe wymogi zgłaszania naruszeń zawarte w innych instrumentach prawnych oraz ich współzależności z RODO można wymienić:

• rozporządzenie (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie eIDAS)

 

W art 19 ust. 2 rozporządzenia eIDAS nałożono na dostawców usług zaufania wymóg zawiadamiania organu nadzoru o wszelkich przypadkach naruszenia bezpieczeństwa lub utraty integralności, które mają znaczący wpływ na świadczoną usługę zaufania lub przetwarzane w jej ramach dane osobowe. W stosownych przypadkach – tj. gdy tego rodzaju naruszenie lub utrata stanowią również naruszenie ochrony danych osobowych zgodnie z RODO – dostawca usług zaufania powinien również zgłosić naruszenie organowi nadzorczemu.

 

• dyrektywę (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa dotycząca cyberbezpieczeństwa)

 

W art. 14 i 16 dyrektywy dotyczącej cyberbezpieczeństwa nałożono na operatorów usług kluczowych oraz na dostawców usług cyfrowych obowiązek zgłaszania incydentów bezpieczeństwa właściwemu organowi. Zgodnie z motywem 63 dyrektywy dotyczącej cyberbezpieczeństwa incydenty bezpieczeństwa często wiążą się z niebezpieczeństwem naruszenia danych osobowych. Chociaż w dyrektywie dotyczącej cyberbezpieczeństwa nałożono na właściwe organy i organy nadzorcze wymóg współpracy i wymiany informacji w tym kontekście, pozostaje faktem, że w przypadku gdy takie incydenty stanowią naruszenie ochrony danych osobowych zgodnie z RODO lub w momencie gdy się nim stają, wspomniani operatorzy lub dostawcy musieliby zawiadomić organ nadzorczy niezależnie od wymogów dotyczących zgłoszenia incydentu zawartych w dyrektywie dotyczącej cyberbezpieczeństwa

 

Przykład

 

Dostawca usługi przetwarzania w chmurze, który zgłasza naruszenie na podstawie dyrektywy dotyczącej cyberbezpieczeństwa, może również mieć obowiązek powiadomienia administratora, jeżeli naruszenie to obejmuje naruszenie ochrony danych osobowych. Podobnie dostawca usług zaufania, który zgłasza naruszenie na podstawie rozporządzenia eIDAS, może być również zobowiązany do powiadomienia odpowiedniego organu ochrony danych, jeżeli doszło do naruszenia.

• dyrektywę 2009/136/WE (dyrektywa w sprawie praw obywateli) oraz rozporządzenie nr 611/2013 (rozporządzenie w sprawie powiadamiania o przypadkach naruszenia danych osobowych).

W kontekście dyrektywy 2002/58/WE dostawcy publicznie dostępnych usług łączności elektronicznej są zobowiązani do zgłaszania naruszeń właściwym organom krajowym.

 

Administratorzy powinni mieć również świadomość wszelkich dodatkowych spoczywających na nich obowiązków zgłaszania naruszeń o charakterze prawnym, medycznym lub zawodowym przewidzianych w ramach pozostałych mających zastosowanie systemów.

 

VII.       Załącznik

A. Schemat ilustrujący wymogi zgłaszania naruszeń

B. Przykłady naruszeń ochrony danych osobowych i podmiotów, które należy poinformować

 

 

Treść Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych wraz ze załącznikami dostępna pod tym linkiem