Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Działania administratorów w przypadku naruszenia danych osobowych – na tle opinii Grupy Roboczej Art. 29

11/09/2015

Jeśli administrator danych ma wątpliwości dotyczące prawdopodobieństwa wystąpienia niekorzystnego wpływu na dane osobowe lub prywatność osoby, której dane dotyczą, powinien wykazać się przesadną ostrożnością i powiadomić daną osobę o naruszeniu. Zgodnie z przepisami dyrektywy 2002/58/WE o prywatności i łączności elektronicznej nie musi jednak tego robić w każdym przypadku.


 

 

Naruszenie danych osobowych w prawie unijnym

 

 W art. 2 dyrektywy 2002/58/WE o prywatności i łączności elektronicznej "naruszenie danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych w związku ze świadczeniem publicznie dostępnych usług łączności elektronicznej we Wspólnocie.

 

Jak wynika z opinii 03/2014 na temat powiadamiania o przypadkach naruszenia danych osobowych autorstwa Grupy Roboczej ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) – w przypadku takich działań wymaga się powiadamiania właściwego organu krajowego o przypadkach naruszenia danych osobowych (wynika to bezpośrednio z treści dyrektywy 2002/58/WE). Co istotne, w przypadku gdy naruszenie danych osobowych może wywrzeć niekorzystny wpływ na dane osobowe lub prywatność osoby, której dane dotyczą, administrator danych bez zbędnej zwłoki powinien powiadomić również o takim naruszeniu osobę, której dane dotyczą.

 

Zwolnienia z obowiązku informowania o naruszeniu

 

Istnieją sytuacje, gdy administrator jest zwolniony z obowiązku informowania o zaistniałym naruszeniu - w dyrektywie 2002/58/WE zawarto odstępstwo od wymogu powiadamiania osób, których dane dotyczą, jeżeli dane stają się nieczytelne. Powiadomienie danej osoby, której dane dotyczą, o naruszeniu danych osobowych nie jest wymagane, jeżeli dostawca wykazał w sposób wymagany przez właściwy organ, że wdrożył odpowiednie technologiczne środki ochrony, aby dane stały się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich, oraz jeżeli środki te zostały zastosowane do danych, których dotyczyło naruszenie danych osobowych.

 

W związku z powyższym implikuje to twierdzenie, że najlepszym sposobem na uniknięcie konieczności powiadomienia osób, których dane dotyczą, jest uwzględnienie odpowiednich zabezpieczeń prywatności w projektach obejmujących przetwarzanie danych.

 

Grupa Robocza Art. 29 w opinii kładzie nacisk na to, by administratorzy danych działali w duchu artykułu 17 dyrektywy 95/46/WE, oraz art. 4 ust. 1 i 1 lit. a) dyrektywy 2002/58/WE, które stanowią, że administratorzy danych muszą podejmować odpowiednie środki techniczne i organizacyjne, aby zapewnić „poziom bezpieczeństwa odpowiedni do zagrożeń” wynikających z przetwarzania danych.

 

Typowe naruszenia danych osobowych – przykłady

 

Jedną z głównych korzyści wynikających z powiadomienia osób fizycznych jest udzielenie osobom, których dane dotyczą, informacji niezbędnych do ograniczenia niekorzystnych skutków wynikających z okoliczności naruszenia. W związku z tym, jak wynika z omawianej opinii, jeżeli administrator danych ma wątpliwości dotyczące prawdopodobieństwa wystąpienia niekorzystnego wpływu na dane osobowe lub prywatność osoby, której dane dotyczą, powinien wykazać się przesadną ostrożnością i powiadomić o naruszeniu daną osobę.

 

Poniżej dokonano prezentacji kilku przykładowych sytuacji, które implikują konieczność powiadomienia osób, których dane dotyczą o naruszeniach (na podstawie opinii Grupy Roboczej Art. 29):

 

1)

Z instytutu zdrowia dziecka skradziono cztery laptopy, w których przechowywano szczególnie chronione dane dotyczące zdrowia i opieki społecznej oraz inne dane dotyczące 2 050 dzieci.

 

Ze względu na potencjalne skutki należy w tym przypadku powiadomić o naruszeniu danych osobowych, przy czym ważne jest również jednak, aby uwzględnić wiek i dojrzałość osób, których dane dotyczą. Lepszym rozwiązaniem może być powiadomienie rodzica lub opiekuna prawnego, który aktywnie uczestniczy w opiece medycznej nad dzieckiem, oprócz powiadomienia samych dzieci, jeżeli jest to odpowiednie lub wymagane w przepisach prawnych mających zastosowanie.

 

2)

Doszło do bezprawnego dostępu do danych osobowych dotyczących klientów agenta ubezpieczeniowego wskutek wykorzystania podatności aplikacji na atak sieciowy. Osoby, których dane dotyczą, zostały zidentyfikowane z imienia i nazwiska, oraz został podany ich adres zamieszkania oraz pełne kwestionariusze dotyczące stanu zdrowia. Naruszenie objęło 700 osób, których dane dotyczyły.

 

Ponieważ w tym przypadku prawdopodobne jest wystąpienie niekorzystnego wpływu na osobę, których dane dotyczą, należy ją powiadomić o naruszeniu.

 

3)

Koperta zawierająca dowody zakupu kartą płatniczą lub kredytową przez pomyłkę została wyrzucona do kosza na śmieci i nie została zniszczona w bezpieczny sposób. Zawartość kosza na śmieci została przerzucona do dużego pojemnika ustawionego na zewnątrz budynku na potrzeby zbiórki odpadów. Jakaś osoba fizyczna wyjęła kopertę z drugiego pojemnika, a następnie rozpowszechniła zawarte w niej dowody dokonania zakupu kartą płatniczą lub kredytową na okolicznym osiedlu mieszkaniowym. Dane obejmowały pełne dane dotyczące kart oraz imię i nazwisko właściciela karty. W niektórych przypadkach dostępne były również podpisy właściciela karty. Naruszenie objęło 800 osób, których dane dotyczą.

 

Ponieważ w tym przypadku prawdopodobne jest wystąpienie niekorzystnego wpływu na osoby, których dane dotyczą, takie osoby należy powiadomić o naruszeniu. W opisanej sytuacji, jeżeli nie przechowywano żadnych innych danych, powiadomienie każdej osoby, której dane dotyczą, z osobna wydaje się trudne, ponieważ może nie być wiadome, które konkretnie dowody zakupu kartą płatniczą lub kredytową znajdowały się w kopercie. Sklep powinien np. powiadomić podmiot obsługujący płatności dokonywane kartami, aby mógł on monitorować potencjalnie nielegalne transakcje.

 

 

pdf

Opinia 03/2014 na temat powiadamiania o przypadkach naruszenia danych osobowych

Pobierz plik [551.63 KB]
Pojęcie konieczności i proporcjonalności oraz ochrony danych w sektorze egzekwowania prawa – na tle opinii Grupy Roboczej Art. 29
Pojęcie konieczności i proporcjonalności oraz ochrony danych w sektorze egzekwowania prawa – na tle opinii Grupy Roboczej Art. 29
Zagrożenia wypływające z cloud computingu – na tle opinii Grupy Roboczej Art. 29
Zagrożenia wypływające z cloud computingu – na tle opinii Grupy Roboczej Art. 29
Prawnie uzasadnione interesy administratora danych na mocy artykułu 7 dyrektywy 95/46/WE – na tle opinii Grupy Roboczej Art. 29
Prawnie uzasadnione interesy administratora danych na mocy artykułu 7 dyrektywy 95/46/WE – na tle opinii Grupy Roboczej Art. 29