Zgłaszanie i ewidencjonowanie naruszeń ochrony danych osobowych w świetle wytycznych UODO

Według statystyk Urzędu Ochrony Danych Osobowych (UODO) w ciągu pierwszego roku obowiązywania Ogólnego Rozporządzenia o Ochronie Danych (RODO) zgłoszono ponad 4,5 tys. naruszeń ochrony danych, z czego dwie trzecie zgłoszeń pochodziło od administratorów z sektora prywatnego. W związku z licznymi błędami popełnianymi przez zgłaszających Urząd postanowił opublikować dokument ze wskazówkami dla administratorów w tej materii.

Jak rozumieć pojęcie naruszenia ochrony danych osobowych?

Zgodnie z definicją określoną w RODO o naruszeniu ochrony danych osobowych mówimy, kiedy łącznie spełnione zostaną trzy przesłanki:

  1. naruszenie dotyczy danych osobowych przetwarzanych przez podmiot;
  2. naruszenie wynika ze złamania zasad bezpieczeństwa danych;
  3. skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.

UODO jako przykłady naruszeń wskazuje takie zdarzenia jak:

  • przypadkowe wysłanie danych osobowych klienta do osoby postronnej;
  • nieupoważniony dostęp do danych wskutek zainfekowania systemu informatycznego złośliwym oprogramowaniem;
  • zgubienie lub kradzież nośnika (np. pendrive’a, laptopa) zawierającego bazy danych klientów;
  • utrata danych z systemu informatycznego przy jednoczesnym braku możliwości ich odzyskania z kopii zapasowej;
  • niedozwolona modyfikacja danych osobowych, np. poprzez dopisanie liter do nazwisk klientów.

Obowiązki administratorów i podmiotów przetwarzających

Podstawowym obowiązkiem administratorów oraz podmiotów przetwarzających jest wdrożenie odpowiedniej procedury postępowania na wypadek wystąpienia naruszenia ochrony danych osobowych. Taka procedura może być częścią polityki ochrony (bezpieczeństwa) danych osobowych firmy bądź stanowić odrębny dokument i powinna określać działania pracowników oraz kadry zarządzającej w przypadku stwierdzenia naruszenia ochrony danych osobowych.

Obowiązkiem wynikającym z art. 33 ust. 1 RODO jest zgłaszanie przez administratora danych naruszeń ochrony danych osobowych Prezesowi UODO w terminie 72 godzin od stwierdzenia naruszenia, z tym że przepis ten wskazuje, że nie każde naruszenie podlega takiemu zgłoszeniu. Otóż jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, administrator zwolniony jest z ww. obowiązku. UODO zwraca uwagę na to, że z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą, taką jak np. dyskryminacja, kradzież tożsamości, oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, utrata poufności danych osobowych chronionych tajemnicą zawodową czy naruszenie dobrego imienia. W przypadku naruszenia szczególnych kategorii danych osobowych (tzw. danych wrażliwych) będzie mowa o dużym prawdopodobieństwie wystąpienia takiej szkody. Jeżeli naruszenie danych osobowych wystąpiło w podmiocie przetwarzającym, ma on obowiązek zgłoszenia tego naruszenia administratorowi danych bez zbędnej zwłoki. Zwrot „bez zbędnej zwłoki” oznacza tyle co „najszybciej jak to możliwe” i biegnie on od momentu stwierdzenia naruszenia.

Z kolei z art. 34 ust. 1 RODO wynika obowiązek zawiadamiania przez administratora osób, których dane dotyczą, o zaistniałym naruszeniu, jeżeli stwierdzono, że naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena, czy naruszenie może powodować wysokie ryzyko naruszenia praw lub obowiązków osób fizycznych, powinna być dokonywana każdorazowo przy uwzględnieniu wielu czynników warunkujących charakter naruszenia. Realizacja ww. obowiązku powinna nastąpić bez zbędnej zwłoki.

Administratorzy powinni odnotowywać każde naruszenie w wewnętrznym rejestrze (ewidencji) naruszeń, co wynika z art. 33 ust. 5 RODO. Odnotowanie naruszenia w rejestrze powinno obejmować przynajmniej: datę i godzinę stwierdzenia naruszenia, opis, okoliczności i skutki naruszenia, a także podjęte środki zaradcze. Przy każdym naruszeniu niezbędne jest przeprowadzenie analizy pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, natomiast w samym rejestrze naruszeń konieczne jest wskazanie wniosków z takiej analizy.

Kiedy i jak zgłaszać Prezesowi UODO naruszenia oraz zawiadamiać o naruszeniach osoby, których dane obejmowało naruszenie?

Termin na dokonanie zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO wynosi 72 godziny i biegnie od momentu stwierdzenia takiego naruszenia. Jeżeli czas ten zostanie przekroczony, do zgłoszenia należy dołączyć wyjaśnienie przyczyn opóźnienia. Brak zgłoszenia naruszenia Prezesowi UODO, kiedy taki obowiązek istniał, może skutkować nałożeniem przez organ nadzorczy kary pieniężnej w wysokości do 10 mln euro lub do 2% obrotu z poprzedniego roku obrotowego (zastosowanie znajdzie kwota wyższa). Dodatkowo takie niezgłoszenie naruszenia może stanowić okoliczność obciążającą przy ustalaniu wymiaru kary pieniężnej. UODO przedstawia kilka dróg prawidłowego zgłaszania naruszeń (w formie elektronicznej – głównie poprzez portal biznes.gov.pl, a także pisemnie na wypełnionym formularzu). Zgłoszenie naruszenia powinno obejmować informacje wskazane w art. 33 ust. 3 RODO. Jeżeli tych informacji nie można udzielić w tym samym czasie, można je przedstawiać sukcesywnie bez zbędnej zwłoki. Informacje te nie powinny być ograniczone jedynie do ogólnych stwierdzeń, na co zwraca uwagę UODO. Podobnie zawiadomienie osób, których dane dotknięte były naruszeniem, powinno zawierać dokładny opis, możliwe konsekwencje oraz zastosowane środki zaradcze, aby prawidłowo został spełniony obowiązek prawny wynikający z RODO.

Podsumowując, wystąpienie naruszenia ochrony danych osobowych pociąga za sobą szereg skutków, na które warto się przygotować. W przypadku stwierdzenia takiego naruszenia w firmie, należy dokonać właściwej analizy w celu stwierdzenia, czy w świetle wszystkich okoliczności i charakteru naruszenia wystąpią obowiązki określone w RODO. W razie niepewności lepiej ten temat skonsultować ze specjalistą, niż narażać się na sankcje określone w RODO. Więcej informacji o zgłaszaniu i ewidencjonowaniu naruszeń można znaleźć w dokumencie „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, dostępnym na stronie UODO pod adresem https://uodo.gov.pl/pl/134/1029, jak również u prawników z Kancelarii Prawnej Lebek i Wspólnicy sp. k.

Niniejsza informacja nie stanowi porady prawnej ani podatkowej. Kancelaria nie ponosi odpowiedzialności za wykorzystanie informacji w nim zawartych bez wcześniejszego zasięgnięcia opinii Kancelarii.