Naruszenie ochrony danych osobowych

Ostatnio w naszej Kancelarii kilka razy spotkaliśmy się z naruszeniem ochrony danych osobowych u naszych Klientów. Zasadniczym pytaniem, które się pojawiało w takiej sytuacji jest pytanie, czy konkretne naruszenie powinno zostać zgłoszone do Urzędu Ochrony Danych Osobowych ? Odpowiedź na to pytanie nie jest jednoznaczna i zawsze wymaga odpowiedniej analizy powstałego przypadku naruszenia.

Podkreślić należy, że nie każde naruszenie ochrony danych osobowych skutkuje zawiadomieniem o tym organu.

Czym jest naruszenie ? Mówi o tym art.4 pkt.12 RODO: „Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”

Aby dokładnie wiedzieć jak w danym przypadku postępować w firmie, kiedy pojawi się naruszenie ochrony danych osobowych, polecamy przede wszystkim skonstruować procedurę dotyczącą raportowania incydentów naruszenia, która zostanie skutecznie zakomunikowana wszystkim pracownikom danej organizacji. Wdrażana procedura powinna zawierać informacje dotyczące min. tego kogo i w jaki sposób należy poinformować o powstałym naruszeniu, kto jest odpowiedzialny za koordynowanie postępowania w zakresie naruszenia, a także w jaki sposób i na jakiej podstawie następuje ocena ryzyka naruszenia. Ta ostatnia kwestia jest niezmiernie ważna ponieważ właściwe określenie ryzyka da odpowiedź na pytanie, czy naruszenie kwalifikuje się do zgłoszenia Prezesowi UODO, a także czy istnieje konieczność zawiadamiania o naruszeniu osób, których danych ono dotyczy.

Wystąpienie naruszenie powinno być w odpowiedni sposób udokumentowane. Z każdego przypadku osoba odpowiedzialna (Inspektor Ochrony Danych) powinien sporządzić protokół. Niezależnie od tego, czy naruszenie zostanie zgłoszone do organu, fakt jego zaistnienia powinien zostać odnotowany również w rejestrze naruszeń. Dobrze byłoby również przeprowadzić pracownikom szkolenie w tym zakresie.

Dziś więcej o ocenie ryzyka danego przypadku naruszenia ponieważ ona zawsze budzi najwięcej wątpliwości. Przede wszystkim w każdym przypadku po stwierdzeniu naruszenia konieczne jest przeprowadzenie analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Dopiero taka analiza pozwoli stwierdzić, czy należy zgłosić naruszenie organowi nadzorczemu. Zgodnie z treścią art. 33 ust.1 RODO: „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.”

Warto dodać, że wystąpienie naruszenia ochrony danych może:

– nie spowodować skutków dla praw lub wolności osób, których dane są przetwarzane,

– spowodować znikome skutki,

– spowodować skutki katastrofalne.

Administrator, który ocenił wielkość potencjalnej szkody, które naruszenie może spowodować, biorąc pod uwagę kontekst i okoliczności całego zdarzenia, powinien ocenić prawdopodobieństwo jego zaistnienia.

Jeżeli w wyniku przeprowadzenia badania okaże się, że nie ma ryzyka naruszenia praw lub wolności osób, administrator jest zwolniony z obowiązku powiadamiania organu nadzorczego o naruszeniu. W takim przypadku trzeba jednak pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

W przypadku analizy konkretnego przypadku naruszenia zawsze pojawia się pytanie: kiedy powstaje ryzyko naruszenia praw lub wolności osób fizycznych ?

Ryzyko naruszenia praw lub wolności osób fizycznych powstaje, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np.:

– dyskryminacja,

– kradzież tożsamości lub oszustwo dotyczące tożsamości,

– nadużycia finansowe,

– starty finansowe,

– nieuprawnione cofnięcie pseudominizacji,

– utrata poufności danych osobowych chronionych tajemnicą zawodową,

– naruszenie dobrego imienia,

– inne znaczące skutki dla osoby, której dane zostały naruszone.

Jeżeli naruszenie dotyczy danych osobowych ujawniających:

– pochodzenie etniczne,

– poglądy polityczne,

– przekonania religijne lub światopoglądowe,

– przynależność do związków zawodowych,

– dane genetyczne,

– dane dotyczące zdrowia,

– dane dotyczące życia seksualnego

należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

Powyższe są tylko bardzo ogólnymi wytycznymi i ważne jest, aby każde z powyższych zdarzeń rozpatrywać indywidualnie.