Naruszenie ochrony danych osobowych, to temat który omówimy dziś z dwóch perspektyw. Z perspektywy firmy, która przetwarza dane osobowe oraz z perspektywy osoby, której dane są przetwarzane. Na dobry początek zaczniemy jednak od podstawowych informacji i uporządkujemy najważniejsze definicje. Czym w teorii i w praktyce jest naruszenie danych? Jak ten temat został określony i opisany w RODO? Jakie jest w tym zakresie stanowisko Urzędu Ochrony Danych Osobowych oraz Europejskiej Rady Ochrony Danych? Jak zgłosić naruszenie ochrony przez pracownika, jak przez osobę, której dane dotyczą? Na te i inne pytania odpowiemy w dzisiejszym wpisie, zapraszamy!
Naruszenie danych osobowych w teorii
Na początku warto podsumować czym jest naruszenie danych osobowych. Termin ten zdefiniowano w art. 4 ust. 12 RODO i oznacza on naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Definicja z jednej strony wprost określa jak należy rozumieć naruszenia, z drugiej strony jest na tyle szeroka, że nie precyzuje kiedy i w jakich dokładnie okolicznościach mamy do czynienia z naruszeniem danych osobowych. Aby lepiej zrozumieć czym jest naruszenie, przedstawiamy dwa dodatkowe stanowiska w tym zakresie – z Urzędu Ochrony Danych Osobowych (UODO) oraz stanowisko Europejskiej Rady Ochrony Danych (EROD).
Stanowisko UODO – Naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie. Skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych. Naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Stanowisko EROD – podkreśla natomiast, że naruszenia możemy podzielić na trzy kategorie: naruszenie dotyczące poufności danych (dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych), naruszenie dotyczące integralności danych (dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych) oraz naruszenie dotyczące dostępności danych (dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych).
Więcej wytycznych polskiego organu nadzorczego i kilka dodatkowych informacji znajdziesz w publikacji ”Obowiązki administratorów związane z naruszeniami ochrony danych”, jak również w pozostałych wpisach na naszym blogu. A teraz przyjrzyjmy sie tematowi naruszeń danych osobowych od praktycznej strony.
Naruszenie danych osobowych w praktyce
Tak jak wspomnieliśmy już wyżej, aby była mowa o naruszeniu ochrony danych osobowych muszą być spełnione wszystkie z trzech opisanych warunków. Oznacza to, że naruszenie musi dotyczyć danych osobowych, musi być skutkiem złamania zasad bezpieczeństwa danych, a skutkiem jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych. W praktyce oznacza to, że na przykład nieudana próba przechwycenia danych i złamania zabezpieczeń w firmie, nie będzie naruszeniem ochrony danych osobowych. Podobnie jeśli dojdzie do kradzieży sprzętu firmowego, albo zgubieniu pendrive’a firmowego, który nie zawierał danych osobowych. A co w przypadku kiedy jednak dojdzie do rzeczywistego naruszenia?
Jeśli stwierdzimy naruszenie ochrony danych osobowych, konieczna będzie m.in. ocena ryzyka naruszenia praw i wolności osób, których danych to zdarzenie dotyczy. Po wykonaniu oceny, że incydent skutkuje ryzykiem naruszenia, musimy powiadomić o nim UODO, a często też osoby, których dane dotyczą. Każdorazowe wszczęcie procedury reagowania na incydent bezpieczeństwa, będzie wymagało od nas przeprowadzenia różnorodnych czynności. Wiele zależy ty od rodzaju naruszenia i indywidualnych szczegółów. Jeśli w Twojej firmie jest doświadczony administrator danych i powołany Inspektor Danych Osobowych nie będziesz musiał zastanawiać sie co dokładnie i kiedy należy zrobić. A co w przypadku, gdy naruszenie zostanie wykryte przez pracownika?
Naruszenie ochrony danych wykryte przez pracownika
Jeśli naruszenie zostanie wykryte przez pracownika, najważniejsze jest aby wiedział do kogo powinien sie zgłosić, w jaki sposób i jak szybko powinien to zrobić. Jeśli Twoi pracownicy mieli podstawowe szkolenie RODO, nie powinni mieć z tym problemu. Jeśli nie – dobrze będzie je zaplanować, choćby korzystając z naszego wsparcia. Kontakt pracownika z odpowiednią osobą (na przykład z Inspektorem Ochrony Danych, wyznaczonym pracownikiem, czy administratorem) powinien nastąpić niezwłocznie. Innymi słowy, jak tylko naruszenie zostanie przez niego wykryte – powinno być od razu zgłoszone. Czas w niektórych przypadkach będzie odgrywał duże znaczenie. W polityce ochrony danych warto określić dokładny sposób komunikacji naruszeń, np. bezpośrednio odpowiednio określonym osobom, w określony sposób. Choćby z wykorzystaniem maili, wysyłając je pod dedykowany takim zgłoszeniom adres. Pracownicy powinni dostać jasne wytyczne nie tylko jak szybko i w jaki dokładnie sposób zgłosić wykryte naruszenie ale też jakie informacje powinni i mogą przekazać odpowiedzialnym osobom. To niezwykle ważne z perspektywy sprawnego rozpoznania problemu i rozpoczęcia postępowania sprawdzającego. Im lepsze dane dostanie administrator lub inspektor, im więcej informacji otrzyma, tym szybciej i skuteczniej będzie mógł zareagować. Jeśli chodzi o podstawowy wzór zgłoszenia, można wskazać jego podstawowe elementy, w tym:
- czas i miejsce naruszenia,
- kategorie danych,
- rozmiar naruszenia (czyli przybliżoną liczbę osób, których dotyczy naruszenie),
- opis naruszenia (na czym polega),
- możliwe konsekwencje naruszenia (o ile jest to możliwe do rozpoznania przez pracownika),
- informacje o ewentualnym podjęciu środków zaradczych (o ile jest to zasadne).
Najczęściej, tak jak już wspomnieliśmy, osobą odpowiedzialną za koordynowanie postępowania w zakresie naruszenia jest IOD. Może nią być po prostu pracownik oddelegowany do tej roli, który posiada niezbędne rozeznanie i wiedzę w zakresie ochrony danych osobowych i RODO. To może być również ktoś, kto koordynuje przetwarzanie danych osobowych w ramach infrastruktury IT (np. ASI). Działania odpowiedzialnej osoby, powinny być jasno określone i zgodnie z wdrożonymi procedurami. Podstawowa procedura zgłaszania naruszeń została podsumowana tutaj.
Najczęściej pierwszą i podstawową kwestią jest analiza zgłoszenia i ewentualnego naruszenia (ewentualnego, bo pracownik zgłaszając pewien incydent, może nie mieć właściwej wiedzy, aby samodzielnie ocenić czy jest to już naruszenie, czy nie). Właściwe określenie sytuacji i ryzyka jest obowiązkiem IOD (lub odpowiedzialnej osoby) i to on finalnie zadecyduje z czym dokładnie mamy do czynienia i czy jest konieczność zgłaszania sprawy Prezesowi UODO oraz czy istnieje konieczność zawiadamiania o naruszeniu osób, których danych dotyczy. Oczywiście niezmiernie ważne będzie też przygotowanie odpowiedniej dokumentacji i przystąpienie do działań naprawczych, tak aby zminimalizować negatywne skutki naruszenia. Z każdego postępowania sprawdzającego Inspektor Ochrony Danych (lub inna osoba odpowiedzialna) powinien sporządzić protokół, a fakt jego zaistnienia powinien zostać odnotowany również w rejestrze naruszeń. Wszystkie napływające zgłoszenia naruszenia ochrony danych są skrupulatnie analizowane, a kiedy zachodzi potrzeba uzyskania dalszych informacji – UODO nawiązuje szybki, często też telefoniczny, kontakt z administratorami i wyznaczonymi przez nich inspektorami ochrony danych. A jak sytuacja wygląda gdy naruszenie zostanie wykryte nie przez pracownika, nie przez administratora czy inspektora? Co może zrobić klient, zwykła osoba i jak powinna zgłosić naruszenie?
Jak zgłosić naruszenie danych osobowych?
Najważniejsza informacja – organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest UODO, a dokładniej – Prezes Urzędu Ochrony Danych Osobowych. Jeśli chcesz zgłosić naruszenie danych osobowych, możesz zrobić to na 4 sposoby (3 pierwsze są możliwe elektronicznie):
- wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl;
- wysłanie skargi bezpośrednio na skrzynkę e-PUAP Prezesa UODO;
- wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl lub platformie epuap.gov.pl;
- wysłanie uzupełnionego formularza tradycyjną pocztą na adres Urzędu.
A kto może złożyć skargę? Skargę do Prezesa Urzędu może złożyć osoba fizyczna, jeżeli nieprawidłowe przetwarzanie dotyczy jej danych osobowych. W przypadku, gdy skarga dotyczy przetwarzania danych osobowych innej osoby, konieczne jest pełnomocnictwo udzielone przez tę osobę do jej reprezentowania w postępowaniu przed Prezesem Urzędu. Pełnomocnikiem może być z kolei osoba fizyczna, podmiot, organizacja lub zrzeszenie – które nie mają charakteru zarobkowego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą. Warto pamiętać, aby skarga zawierała podstawowe informacje takie jak Twoje imię i nazwisko oraz adres zamieszkania, wskazanie podmiotu, na który składasz skargę (nazwę/imię i nazwisko oraz adres siedziby/zamieszkania), jak również opis naruszenia i Twoje żądanie (czyli jakich działań oczekujesz od Prezesa UODO np. usunięcia danych, wypełnienia obowiązku informacyjnego, sprostowania danych, itp.). Jeżeli posiadasz dowody potwierdzające okoliczności wskazane w skardze (np. korespondencję z administratorem, umowy, zaświadczenia), dołącz je do skargi. Jeśli reprezentuje cię pełnomocnik, jesteś zobowiązany do opłaty skarbowej za dołączenie pełnomocnictwa do sprawy. Opłata nie obowiązuje cię, jeśli twoim pełnomocnikiem jest mąż, żona, dziecko, rodzic, dziadek, babcia, wnuk lub rodzeństwo.
Jeśli potrzebujecie dodatkowych informacji odnośnie zgłoszenia naruszenia i skargi do UODO, znajdziecie je na tej stronie. Jeśli natomiast potrzebujecie dodatkowych wskazówek i pomocy przy wdrożeniach RODO, obsłudze zgłoszeń i naruszeń, wsparcia doświadczonego inspektora, czy też przeszkolenia pracowników w swojej firmie – zachęcamy do bezpośredniego kontaktu z naszą firmą.
