Naruszenie. Zgłaszać czy nie?
Podczas prowadzenia swojej działalności niejeden Administrator stanął w obliczu naruszenia ochrony danych osobowych. Bez wątpienia to zdarzenie mogące wywołać przyspieszone bicie serca, jednak nie można zapominać o obowiązkach wynikających z RODO. Jednym z nich jest konieczność zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych (PUODO). Jednak czy każde naruszenie powinno zostać zgłoszone?
Czym jest naruszenie ochrony danych osobowych?
Naruszenie ochrony danych osobowych to nic innego jak zdarzenie, którego skutki negatywnie oddziałują na bezpieczeństwo przetwarzanych danych osobowych. W wyniku takiego zdarzenia dochodzi do utraty, modyfikacji lub nielegalnego ujawnienia danych osobowych. Naruszeniem może być zatem zgubiony nośnik danych z bazą klientów, kradzież bazy danych przez hakera czy zalanie dokumentów w archiwum. Bez wątpienia sytuacja taka może rodzić poważne konsekwencje dla Administratora.
Kiedy zgłaszać?
Konsekwencje te mogą być jeszcze bardziej dotkliwe, jeśli Administrator niewłaściwie uzna, że nie będzie powiadamiać PUODO. Należy zauważyć, iż w myśl art. 83 ust. 4 RODO, za brak zgłoszenia naruszenia, Administratorowi grozi administracyjna kara pieniężna. Poza stratami finansowymi ucierpi również wizerunek organizacji, gdyż ewentualna kara z pewnością wpłynie na zaufanie otoczenia, w którym ta funkcjonuje. Wydaje się, że bezpieczniej zgłaszać wszystkie incydenty bezpieczeństwa. Niestety takie działanie także byłoby niekorzystne dla organizacji, ponieważ świadczyłoby o nieznajomości przepisów dotyczących ochrony danych osobowych. W takim razie co podlega zgłoszeniu? Odpowiedź na to pytanie znajdziemy w art. 33 ust.1 RODO, wedle którego zgłoszeniu podlegają wszystkie naruszenia powodujące ryzyko naruszenia praw lub wolności osób fizycznych.
Od czego zacząć?
Wiemy już, kiedy powinniśmy dokonać zgłoszenia organowi nadzorczemu. W związku z tym pierwsze co powinien zrobić Administrator, to ustalenie czy powstałe zdarzenie można zakwalifikować jako naruszenie w rozumieniu RODO. Jeżeli odpowiedź jest twierdząca, to kolejnym krokiem powinno być dokonanie oceny czy może ono stwarzać zagrożenie dla praw lub wolności osób fizycznych. W jaki sposób tego dokonać?
Analiza zdarzenia, ocena i podjęcie decyzji
Otóż należy zebrać jak najwięcej informacji, które pozwolą ustalić fakty związane z powstałą sytuacją. Informacje te Administrator pozyskuje w toku prowadzonego postępowania wyjaśniającego przede wszystkim od osoby, która zidentyfikowała dane zdarzenie. Gdy jest możliwe ustalenie sprawcy, to i od niego należy żądać szczegółowych wyjaśnień. Zdarzyć się może, że i to nie będzie wystarczające, a do postępowania będzie potrzeba dołączyć innych pracowników organizacji np. z działu IT, którzy zweryfikują rejestry zdarzeń. Postępowanie powinno w szczególności dać odpowiedź na następujące pytania: Kiedy zdarzenie miało miejsce? Jakich i kogo danych osobowych dotyczyło? Jak duża jest skala całej sytuacji? Jakie zastosowano w tym przypadku środki bezpieczeństwa i czy były one skuteczne? Na tej podstawie można stwierdzić czy do naruszenia w ogóle doszło. Jeżeli do niego doszło, w dalszej kolejności dokonuje się oceny jego wpływu na prawa lub wolności osób, których dane zostały naruszone. Administrator powinien dokonać tej oceny według wybranej metodologii. Ta powinna uwzględniać charakter i kontekst naruszenia, kontekst czynności przetwarzania dotkniętej naruszeniem, zidentyfikowane skutki dla osób, których dane zostały naruszone oraz prawdopodobieństwo wystąpienia tych skutków. Jeżeli w wyniku oceny Administrator uzna, iż naruszenie praw lub wolności osób fizycznych jest możliwe, wtedy musi dokonać zgłoszenia organowi nadzorczemu.
Czas też się liczy
Niezwykle istotne znaczenie ma czas w jakim Administrator powinien dokonać powyższych analiz i ocen. RODO precyzyjnie wskazuje w tym przypadku, że wszystko to, łącznie z samym zgłoszeniem, powinno trwać nie więcej niż 72 godziny. Niedotrzymanie tego terminu spowoduje więc złamanie przepisów i narazi Administratora na nieprzyjemne konsekwencje. Niekiedy zdarza się, że mimo wszystko termin wskazany w RODO okazuje się być niewystarczający. Wtedy wraz ze zgłoszeniem Administrator składa stosowne wyjaśnienia dotyczące opóźnienia.
Zgłoszenie to nie wszystko
Samo zgłoszenie naruszenia PUODO nie wystarczy. Administrator musi również podjąć działania ograniczające jego skutki. Dodatkowo w art. 34 RODO nakłada się na Administratorów obowiązek zawiadomienia o fakcie naruszenia wszystkie osoby, których dane w nim uczestniczyły. W takim zawiadomieniu Administrator informuje osoby fizyczne m. in. o konsekwencjach, jakie to zdarzenie może dla nich powodować. To nie wszystko, gdyż RODO zobowiązuje Administratorów do dokumentowania wszelkich zidentyfikowanych naruszeń ochrony danych osobowych, nawet gdy zdecydowano się nie informować o nich PUODO.
Patrząc z innej perspektywy, naruszenie może okazać się mimo wszystko szansą organizacji. Szansa ta polegać może na identyfikacji luk i uchybień w obowiązującym Systemie Bezpieczeństwa Danych Osobowych (SBDO), co prowadzić będzie do jego usprawnienia. Dobrze zorganizowany i poddawany przeglądom SBDO z pewnością przyczyni się do ograniczenia prawdopodobieństwa wystąpienia naruszenia ochrony danych osobowych. Gdy jednak do takiego naruszenia dojdzie, pozwoli Administratorowi odpowiednio nim zarządzać i podjąć właściwe decyzje.
Zapraszamy także do zapoznania się z tematem Zgłoszenie naruszenia – kto, jaki i komu może zgłosić (osoby fizyczne)?