Aktualności

Czy zawsze trzeba informować o nieautoryzowanym ujawnieniu danych osobowych? Wytyczne dla administratorów, jak prawidłowo zgłaszać naruszenia ochrony danych

Czy zawsze trzeba informować o nieautoryzowanym ujawnieniu danych osobowych? Wytyczne dla administratorów, jak prawidłowo zgłaszać naruszenia ochrony danych

Zarządzanie naruszeniami ochrony danych osobowych, to jedno z wielu wyzwań jakie administratorom danych stawia RODO. Administratorzy mają często problemy z określeniem czy i jak zgłosić naruszenie ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych. Praktykowana do tej pory przez niektórych przedsiębiorców praktyka zgłaszania z ostrożności każdego incydentu ochrony danych nie zawsze przynosi oczekiwane efekty. Ostatnia decyzja PUODO nakładająca karę finansową na podmiot, który zamieścił na stronie internetowej nadmierne dane osobowe sędziów sportowych, rozwiała nadzieje przedsiębiorców, że samodzielnie zgłoszenie naruszenia pozwala uchronić się przed negatywnymi konsekwencjami ze strony organu.

W celu ułatwienia administratorom danych prawidłowego wywiązywania się z obowiązku ewidencjonowania i zgłaszania naruszeń, Urząd Ochrony Danych Osobowych przygotował w czerwcu 2019 roku praktyczny poradnik, dostępny na stronie internetowej urzędu.

Zarządzając naruszeniami ochrony danych osobowych należy przede wszystkim pamiętać, że:

  • nie tylko ujawnienie danych stanowi naruszenie ochrony danych

Naruszenie ochrony danych występuje w trzech postaciach: (i) naruszenia poufności (dane osobowe ujawniane są osobie nieuprawnionej), (ii) naruszenia dostępności (administrator trwale lub czasowo traci dostęp do danych osobowych) i (iii) naruszenia integralności (dane osobowe zostają zmodyfikowane w sposób nieuprawniony).

Z naruszeniem możemy więc mieć do czynienia nie tylko gdy np. wyślemy plik zawierający dane osobowe na niewłaściwy adres email, ale również gdy zniszczeniu ulegnie dysk komputera, na którym przechowujemy dane osobowe bez wykonania kopii zapasowej lub udostępnimy osobie trzeciej hasło do komputera pracowniczego. Warto uczulić swoich pracowników na to, jakie zdarzenia mogą stanowić naruszenie ochrony danych, by wiedzieli oni kiedy należy powiadomić o nim wyznaczone osoby.

  • zawarcie umowy powierzenia przetwarzania danych osobowych nie zwalnia z odpowiedzialności za dane

Administrator jest odpowiedzialny za to, kto w jego imieniu przetwarza dane osobowe. Przed zawarciem umowy powierzenia przetwarzania danych osobowych należy zweryfikować czy podmiot, z którym zawieramy umowę faktycznie gwarantuje odpowiedni poziom zabezpieczeń np. poprzez przeprowadzenie ankiety, a w przypadku kluczowych umów - audytu. Sporządzając treść umowy przetwarzania administrator danych powinien zadbać o to, by zawierała ona postanowienia zapewniające mu otrzymanie informacji o naruszeniu na tyle wcześnie, by miał czas na zapobieżenie lub zmniejszenie rozmiaru naruszeń i ewentualne powiadomienie PUODO. Dobrą praktyką jest wskazywanie wprost, ile godzin ma procesor na poinformowanie administratora o stwierdzonym naruszeniu.

  • każde naruszenie powinno być odnotowane w rejestrze administratora, ale nie wszystkie należy zgłaszać do Prezesa Urzędu Ochrony Danych Osobowych

W przypadku stwierdzenia naruszenia ochrony danych, administrator ma obowiązek zbadać, czy niesie ono za sobą ryzyko naruszenia praw i wolności osób fizycznych i jaki jest poziom tego ryzyka. W przypadku braku lub bardzo niskiego poziomu ryzyka, wystarczy odnotowanie incydentu w rejestrze. Małym ryzykiem będzie np. zgubienie firmowego laptopa z danymi osobowymi pracowników, jeżeli posiada on szyfrowany dysk i jest chroniony hasłem.Wyciek loginów i haseł do kont klientów w sklepie internetowym o dużym zasięgu, może być obarczone dużym ryzykiem, z uwagi na ryzyko kradzieży tożsamości i narażenia klientów na straty finansowe. Administrator powinien wdrożyć w swojej organizacji instrukcję szacowania ryzyka naruszenia ochrony danych dopasowaną do charakteru jego działalności i przetwarzanych danych osobowych. Warto w tym celu skorzystać z wytycznych Grupy Roboczej at. 29 i zasięgnąć porady specjalistów.

  • warto poświęcić czas na rzetelne przygotowanie zgłoszenia

Od momentu stwierdzenia naruszenia przez administratora do zgłoszenia naruszenia do PUODO nie powinno minąć więcej niż 72 godziny. Z tego powodu, by zmieścić się w terminie, zgłoszenia sporządzane są często bardzo zdawkowo, z pomięciem istotnych informacji np. zakresu danych, które objęte zostały naruszeniem albo kategorii osób, których dane dotyczą.

Administrator ma prawo uzupełnić swoje zgłoszenie, po ustaleniu dalszych szczegółów zdarzenia. Warto z tego prawa korzystać i przekazać organowi pełne informacje. Uniknie się dzięki temu długiego postępowania wyjaśniającego i odpowiadania na liczne zapytania o okoliczności naruszenia.

  • samo zgłoszenie naruszenia nie wystarczy

Praca administratora danych nie kończy się na zgłoszeniu naruszenia i czekaniu na odpowiedź organu. Należy jak najszybciej podjąć czynności w celu zapobieżenia lub ograniczenia skutków naruszenia. Takimi działaniami może być zwrócenie się do osób, którym dane ujawniono, wydanie odpowiednich komunikatów, wprowadzenie dodatkowych zabezpieczeń, zmiana haseł do systemów informatycznych. Wysokie ryzyko naruszenia wiąże się też z koniecznością poinformowania o zdarzeniu osób, których dane zostały narażone. Zaniechanie poinformowania o stwierdzonym naruszeniu może nie tylko powodować odpowiedzialność na gruncie RODO, ale również osłabić wizerunek administratora danych. Naruszenie ochrony danych powinno również skłonić administratora do weryfikacji obecnie posiadanych środków zabezpieczeń w celu podniesienia bezpieczeństwa.



Anna Szymielewicz

Prawnik

Anna Szymielewicz

Radca prawny, Counsel

Anna Szymielewicz

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa