Naruszenia RODO zgłaszać czy nie zgłaszać? Oto jest pytanie
Komentarz ekspercki Wojciecha Cianciary, Data Protection Specialist, RK RODO
Wraz z wejściem w życie ogólnego rozporządzenia o ochronie danych osobowych (RODO), przedsiębiorcy w Polsce oraz na całym obszarze Unii Europejskiej zostali zobowiązani do stosowania nowych standardów dotyczących ochrony danych osobowych. Jednym z kluczowych elementów RODO jest zgłaszanie incydentów związanych z naruszeniem ochrony danych osobowych do odpowiedniego organu nadzoru. W Polsce rolę tę pełni Prezes Urzędu Ochrony Danych Osobowych (PUODO).
Mimo kilkuletniej praktyki w stosowaniu, przedsiębiorcy nieustająco napotykają problemy w prawidłowej interpretacji i postępowania w zgodzie z obowiązującymi regulacjami. Co ważne, wątpliwości te często nie dotyczą zagadnień, które wzbudzają dyskusyjność i kontrowersje także wśród specjalistów branżowych, lecz koncentrują się wokół problemów – mogłoby się wydawać – podstawowych. Jednym z nich jest zachowanie transparentności przy identyfikacji, ocenie ryzyka i ostatecznie – zgłaszaniu naruszeń ochrony danych osobowych do PUODO.
Naruszenie ochrony danych osobowych należy rozumieć jako naruszenie bezpieczeństwa, które w efekcie prowadzi do przypadkowego lub niezgodnego z obowiązującymi przepisami prawa zniszczenia, utracenia kontroli, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, które są przechowywane, zostały przesłane (drogą tradycyjną/ elektroniczną) lub w jakikolwiek inny sposób przetwarzane (zgodnie z art. 4 ust. 12 RODO). Prawidłowe działania w obszarze identyfikacji, oceny oraz zgłoszeniu incydentu zwykle obejmują cztery obszary nad którymi każdy administrator danych powinien się pochylić i przyjrzeć z bliska.
Wykrycie naruszenia
Personel odpowiedzialny za ochronę danych osobowych w organizacji jest zobowiązany monitorować wszelkie potencjalne naruszenia ochrony danych. Najczęściej ma to potwierdzenie w nadanych upoważnieniach do przetwarzania danych osobowych. Incydent bezpieczeństwa w postaci naruszenia ochrony danych osobowych niesie ze sobą w każdym przypadku wywiązanie się z przez administratora danych z szeregu obowiązków nałożonych przez rozporządzenie RODO. Spektrum potencjalnych naruszeń należy rozumieć bardzo szeroko.
W praktyce w ramach identyfikacji zdarzeń możemy umieścić przeróżne formy incydentów bezpieczeństwa, począwszy od kradzieży służbowego laptopa lub smartfonu, na którym zapisane były dane osobowe klientów, kontrahentów czy naszych pracowników, idąc dalej przez ataki hackerskie, w wyniku których utraciliśmy kontrolę nad poufnością danych osobowych, a kończąc na zagubieniu dokumentacji papierowej lub omyłkowej wysyłce korespondencji pocztowej do błędnego adresata. A to tylko wybrane przykłady z szerokiego katalogu naruszeń, które powszechnie odnotowywane i zgłaszane są przez administratorów danych.
Ocena ryzyka
Po wykryciu incydentu bezpieczeństwa konieczna jest szybka ocena jego skali, potencjalnych konsekwencji oraz sposobu postępowania. I tutaj zaczynają pojawiać się problemy natury praktycznej – w postaci prawidłowej oceny – czy dane naruszenie kwalifikuje się do zgłoszenia, czy też nie musi być raportowane. W tym momencie przed administratorem pojawia się największe wyzwanie. Należy skutecznie oszacować prawdopodobieństwo naruszenia praw i wolności pokrzywdzonych naruszeniem.
W pewnym sensie, z pomocą przychodzi tutaj organ nadzoru z publicznie dostępnymi interpretacjami zagadnień z omawianego obszaru. PUODO w najnowszych opublikowanych decyzjach nakładających kary administracyjne na podmioty gospodarcze, które nie wywiązały się z obowiązków (źródło: https://uodo.gov.pl/pl/138/3049) jasno zaznacza, iż troska o dane osób, których dane dotyczą jest ważniejsza niż interes administratora danych.
W praktyce oznacza to, że ocena ryzyka powinna zostać wykonana z punktu widzenia osoby zagrożonej i powinna koncentrować uwagę administratora danych na możliwie jak najdokładniejszej analizie wszystkich możliwych, potencjalnych następstw dla osoby, której dane utraciły poufność lub integralność. Analizując możliwe negatywne skutki naruszenia należy rozważyć scenariusze, których wystąpienie choć mało prawdopodobne, to nadal istnieje i może oddziaływać na osoby, których dane dotyczą. Tu w szczególności należy zwrócić uwagę jakie kategorie i rodzaje danych osobowych stanowią przedmiot naruszenia, które nastąpiło.
Zgłoszenie do organu nadzoru
Jeśli incydent bezpieczeństwa stanowi naruszenie ochrony danych osobowych, należy niezwłocznie zgłosić go do PUODO, podając wszystkie istotne informacje dotyczące zdarzenia bez zbędnej zwłoki, lecz nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem praw lub wolności osób fizycznych. Administrator danych powinien wykazać się transparentnością w przypadku stwierdzenia naruszenia danych, którą należy rozumieć przez zgłoszenie tego naruszenia do organu.
W oparciu o złożone zawiadomienie o naruszeniu ochrony danych osobowych osoba, której dane dotyczą może samodzielnie dokonać oceny, czy w jej opinii zdarzenie to może nieść negatywne konsekwencje i jeżeli tak to podjąć stosowne działania minimalizujące zidentyfikowane ryzyka. Potwierdza to tezę, że zgłaszanie naruszeń minimalizuje potencjalne negatywne następstwa dla osób, które zostały pokrzywdzone wyciekiem danych, ale także może stanowić okoliczność łagodzącą w przypadku oceny incydentu przez PUODO.
Powiadomienie osób dotkniętych naruszeniem
W przypadku, gdy naruszenie ochrony danych osobowych może mieć negatywne konsekwencje dla osób, których dane dotyczą, administrator danych jest również zobowiązany do poinformowania ich o zdarzeniu. Podejście, że zgłoszenie naruszenia do organu nadzoru może negatywnie wpłynąć na aspekt biznesowy i wizerunkowy prowadzonej działalności jest błędne i generuje niepotrzebne ryzyka, zarówno w obszarze odbioru podmiotu gospodarczego przez klientów, jak również finansowe, które wynikają wprost z kar administracyjnych określonych w RODO.
Brak zgłoszenia naruszenia do PUODO pozbawia organ nadzorczy możliwości reakcji na zdarzenie, która polega na ocenie ryzyka naruszenia dla praw lub wolności osoby, której dane dotyczą. Uniemożliwia ponadto szczegółową weryfikację, czy administrator zastosował prawidłowe środki w celu minimalizacji negatywnych skutków naruszenia, jak również, czy zaimplementował odpowiednie środki bezpieczeństwa minimalizujące ryzyko ponownego wystąpienia naruszenia.
Zgłaszać czy nie zgłaszać?
Zgłaszanie naruszeń RODO do organu nadzoru, jest kluczowym obowiązkiem podmiotów działających na terenie Unii Europejskiej. Skuteczne i szybkie reagowanie na naruszenia ochrony danych osobowych oraz prawidłowe zgłaszanie incydentów są nie tylko wymogiem prawnym, ale także istotnym elementem dbania o zaufanie klientów oraz reputację działalności. Dlatego też, należy zapewnić odpowiednie procedury oraz szkolenia personelu w celu skutecznego radzenia sobie z incydentami związanymi z ochroną danych osobowych.
Skuteczne zarządzanie incydentem oraz odpowiednie zgłoszenie go organowi nadzoru mogą pomóc w zachowaniu zaufania osób, których dane dotyczą. Transparentne informowanie o naruszeniu i podjęcie działań mających na celu zminimalizowanie jego skutków pokazuje, że administrator danych poważnie traktuje kwestie ochrony danych osobowych i należycie dba o bezpieczeństwo przetwarzanych danych.
Zgłaszanie naruszeń do organu nadzoru może być postrzegane jako przejaw etyki biznesowej i dbałości o prywatność i bezpieczeństwo danych osobowych osób, których dane dotyczą. Jest to także wyraz poszanowania przepisów prawa oraz zobowiązań wynikających z umów i regulacji. Wartość zgłaszania incydentów na gruncie RODO do organu nadzoru polega nie tylko na spełnieniu wymogów prawnych, ale również na budowaniu zaufania, minimalizowaniu ryzyka i promowaniu wysokich standardów ochrony danych osobowych we współczesnym świecie biznesu.
Last Updated on 27 maja, 2024 by Anastazja Lach