RODO obliguje przedsiębiorców przetwarzających dane osób do wdrożenia środków technicznych i organizacyjnych,  mających zapewnić bezpieczeństwo tego przetwarzania. Mimo to, u każdego podmiotu, który gromadzi i przetwarza dane osób może dojść do incydentu związanego z przetwarzaniem danych osobowych. 

W zależności od oceny konsekwencji naruszenia należy zawiadomić  o nim Prezesa Urzędu Ochrony danych osobowych (art. 33 RODO) lub w przypadku wystąpienia wskutek incydentu wysokiego ryzyka naruszenia praw i wolności osób,  również powiadomić osoby, których dane dotyczą (art. 34 RODO).

Niezawiadomienie organu nadzorczego lub osób, których dane zostały naruszone oraz zawiadomienie ich zbyt późno lub w niewłaściwy sposób jest zagrożone karą administracyjną w wysokości do 10 mln euro lub 2 procentów rocznego światowego obrotu z poprzedniego roku obrotowego (Patrz: Decyzja Prezesa Urzędu Ochrony Danych Osobowych (PUODO) z dnia 20 listopada 2018 r.) 

1. Czym  jest naruszenie ochrony danych osobowych

Zgodnie z  art. 4 pkt. 12 RODO naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Grupa robocza Art. 29 w swoich wytycznych dotyczących zgłaszania naruszeń ochrony danych (Patrz: Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679) wyjaśniła, że naruszenia można podzielić na następujące kategorie:

• naruszenie poufności danych - polega na ujawnieniu danych osobowych nieupoważnionej osobie;

• naruszenie integralności danych - polega  na zmianie treści danych osobowych w sposób nieautoryzowany;

• naruszenie dostępności danych - polega na trwałej utracie lub zniszczeniu danych osobowych.

2. Postępowanie w przypadku zaistnienia incydentu bezpieczeństwa 

Od momentu powzięcia podejrzenia o naruszeniu administrator  ma 72 godziny na ustalenie okoliczności naruszenia oraz podjęcia decyzji, czy ten incydent podlega obowiązkowi zgłoszenia go do Prezesa UODO oraz powiadomienia osoby, której dane dotyczą.

Wato więc przygotować się do odpowiedniego reagowania na przypadki naruszenia ochrony danych osobowych, a mianowicie  opracować i wdrożyć  procedurę zarządzania incydentami bezpieczeństwa danych osobowych. Taka procedura może także stanowić element polityki bezpieczeństwa, do której dobrze dołączyć wykaz przykładowych incydentów. Procedura powinna również określić sposób zachowania pracowników w przypadku stwierdzenia incydentu bezpieczeństwa lub podejrzenia jego wystąpienia.

W razie zaistnienia incydentu każdy pracownik niezwłocznie powinien poinformować o tym  inspektora ochrony danych (IOD) lub osobę zajmującą się kwestiami ochrony danych. Z kolei, ten specjalista podejmuje wszystkie niezbędne działania mające na celu ustalenie okoliczności zdarzenia, jego przyczyn i możliwych skutków. 

Ten obowiązek może być zrealizowany za pomocą wypełnienia przez zgłaszającego naruszenie oraz przez IOD lub specjalistę ds. ochrony danych formularza (karty naruszenia, protokołu),  w którym trzeba opisać naruszenie, przyczynę jego powstania, wskazać dana, których dotyczy naruszenie, ocenić prawdopodobieństwo identyfikacji  konkretnej osoby wskutek powstania incydentu oraz jego skutki. Również  sklasyfikować naruszenie, oceniając poziom ryzyka dla praw i wolności osób, których dane dotyczą (Patrz: Formularz dla udokumentowania naruszenia danych osobowych).

3. Określenie poziomu ryzyka

Jedną z fundamentalnych zasad, którą wprowadza RODO w celu realizacji ochrony danych jest  podejście oparte na ryzyku, które polega na tym, im ryzyko jest większe, tym większy powinien być zakres obowiązków ciążących na administratorze danych.

Niezbędną więc częścią przy wystąpieniu incydentu bezpieczeństwa oraz jednym z najważniejszych elementów postępowania z naruszeniami jest ocena ryzyka dla osób fizycznych, za pomocą której można ocenić, czy istnieje obowiązek powiadomienia o naruszeniu organu nadzorczego.

Jeżeli ocena ryzyka naruszenia praw i wolności osób, wywołanych tym incydentem wykaże:

1) wystąpienie ryzyka – należy zawiadomić PUODO,

2) wystąpienie wysokiego ryzyka – należy zawiadomić PUODO oraz osoby, których dotyczy incydent bezpieczeństwa danych osobowych.

Grupa Robocza Art. 29  opublikowała Wykaz przykładowych incydentów bezpieczeństwa, który może pomóc administratorom określić, czy w poszczególnych scenariuszach naruszenia ochrony danych osobowych należy dokonać zgłoszenia oraz pomoże również odróżnić „ryzyko” od „wysokiego ryzyka” naruszenia praw i wolności osób fizycznych.

Dla określenia poziomu ryzyka administrator może stosować  inne metodyki, np. metodykę opracowaną przez Europejską Agencję Bezpieczeństwa Sieci i Informacji (ENISA). Dana metodologia, o której mówimy w artykule „Ocena wagi naruszenia", zapełnia administratorom ilościowe narzędzie do oceny  powagi naruszenia danych dla podjęcia decyzji o zgłoszeniu go do organu nadzorczego oraz o powiadomieniu osoby, której dane  zostały naruszone.

4. Udokumentowanie naruszenia

Kolejną fundamentalną zasadą  realizacji ochrony danych jest  zasada rozliczalności, która polega na tym, że administrator danych powinien być w stanie wykazać, że jego działania i stosowane przez niego metody są zgodne z RODO.

Unijne rozporządzenie (art. 33 ust. 5) wymaga, aby administrator dokumentował wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

Bez względu na to, czy naruszenie podlega zgłoszeniu do PUODO lub poinformowaniu osób, których dane dotyczą czy nie, administrator jest zobowiązany do rejestrowania  wszelkich naruszeń oraz podejrzenia naruszeń. Ta dokumentacja powinna zawierać co najmniej informacje o okolicznościach naruszenia ochrony danych, jego skutkach oraz podjętych działaniach zaradczych.

Wzór przykładowego rejestru  naruszeń przedstawiamy w artykule „Przykładowy rejestr naruszeń bezpieczeństwa danych osobowych oraz  działań korygujących i zapobiegawczych". 

Rejestr incydentów jest jednym z tych dokumentów, który pozwoli organowi nadzorczemu weryfikowanie przestrzegania przepisów RODO podczas kontroli.

5. Informowanie PUODO o naruszeniu ochrony danych

Co do zasady, po stwierdzeniu naruszenia ochrony danych osobowych na administratorze spoczywa obowiązek zgłoszenia naruszenia „bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin” właściwemu organowi nadzorczemu.

Jeżeli do incydentu doszło u podmiotu przetwarzającego dane osobowe, on zgłasza je bez zbędnej zwłoki administratorowi.

Zgłoszenia dokonuje się elektronicznie, za pomocą udostępnionego na stronie UODO formularza. Zgłoszenie naruszenia ochrony danych osobowych  musi zawierać co najmniej

-  charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

-  opis możliwych konsekwencji naruszenia ochrony danych osobowych;

- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Kolejność kroków dla podjęcia decyzji o zgłoszeniu naruszenia przedstawiona schematem „Zgłaszanie  naruszenia ochrony danych osobowych”. 

Jeżeli w ciągu 72 godzin administratorowi nie da się udzielić wszystkich niezbędnych informacji,  można je udzielać sukcesywnie bez zbędnej zwłoki. Administrator może zatem uzupełnić pierwotne zgłoszenie o informacje pozyskane już po dokonaniu zgłoszenia. Po zawiadomieniu organu nadzorczego o naruszeniu po upływie 72 godzin, administrator musi wyjaśnić przyczyny opóźnienia.

Należy mieć na uwadze, że w przypadku prawdopodobnego braku ryzyka naruszenia praw lub wolności osób fizycznych  administrator nie musi zgłaszać incydentu do PUODO (art. 33 ust.1 RODO).

6. Zawiadamianie osobę, której dane zostały naruszone  

Jeżeli naruszenie ochrony danych osobowych w wyniku incydentu może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązanyniezwłocznie zawiadomić o takim naruszeniu osobę, którą dane dotyczą.

Administrator powinien jasnym i prostym językiem opisać charakter naruszenia ochrony danych osobowych oraz udzielić co najmniej następujących informacji:

- opis charakteru naruszenia;

- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego;

- opis możliwych konsekwencji naruszenia; oraz

- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Szybkie zawiadomienie o naruszeniu pozwoli osobom fizycznym podjąć niezbędne działania, żeby zminimalizować wszelkie negatywne skutki naruszenia. Dlatego administrator powinien przede wszystkim dostarczyć im szczegółowe informacje na temat działań zapobiegawczych, które te osoby powinny podjąć (Patrz: Jakie informacje powinny być podane w zawiadomieniu o naruszeniu ochrony danych osoby, której dane dotyczą (zgodnie z decyzją Prezesa UODO) ).

W przypadku, gdyby takie działanie wymagałoby niewspółmiernie dużego wysiłku administrator może wydać publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób (art. 34 ust. 3 lit. c RODO).

Podjąć prawidłową decyzję w kwestii powiadomienia osoby, której dane zastały naruszone pomoże schemat „Zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych”. 

W art. 34 ust. 3 RODO zostały określone trzy wyjątki, w których obowiązek zawiadomienia o naruszeniu nie zachodzi. Zawiadamianie osoby nie jest wymagane w przypadkach, gdy:

- administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

-administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,

- wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

W przypadku każdego naruszenia bezpieczeństwa bardzo istotne jest wyciąganie wniosków na przyszłość. Na przykład, jeżeli w rejestrze naruszeń pojawia się jakiś  proces, to  można go ciągle udoskonalać i wprowadzać zmiany. W tym sensie dokumentacja dotycząca incydentów jest  bardzo pomocniczym narzędziem, które ułatwia wyciągnięcie wniosków oraz wdrożenie takich środków i rozwiązań, aby drugi raz ten sam incydent się nie pojawił.

Olga Sklyarova, audytor JDS Consulting