W poprzednim moim artykule poruszyłem temat skargi do Prezesa UODO. Jeżeli nie miałeś dotąd okazji go przeczytać, to kliknij tutaj. A co w przypadku naruszenia może – a właściwie powinien – zrobić administrator? Odpowiedź na te pytania znajdziesz w tym wpisie.
Czym jest naruszenie ochrony danych osobowych?
Naruszeniem ochrony danych osobowych może być każde zdarzenie niezgodne z zasadami przetwarzania danych osobowych lub wpływające na ich bezpieczeństwo. W szczególności są to sytuacje, gdy:
- utraciłeś dostęp do danych lub został on ograniczony;
- ucierpiała integralność danych osobowych;
- dane osobowe utraciły poufność.
Żeby zobrazować Ci o jakie przypadki chodzi, podam kilka przykładów.
Naruszeniem może być sytuacja, gdy w wyniku awarii serwera utraciłeś dostęp do zapisanych na nim danych osobowych. Środkiem wpływającym na istotność tego zdarzenia jest stosowanie kopii zapasowych. Z życia wskazałbym w szczególności głośną sprawę pożaru OVH, francuskiego przedsiębiorstwa hostingowego, w wyniku którego wielu administratorów miało co najmniej utrudniony dostęp do danych.
W przypadku integralności możemy mówić np. o włamaniu do systemu i zmianie poszczególnych danych osobowych, np. w wyniku działania ataku hakerskiego.
W odniesieniu do poufności danych osobowych naruszeniem będzie nieautoryzowany dostęp do danych albo ujawnienie ich w inny sposób. Może to nastąpić intencjonalnie, np. przez opublikowanie danych osobowych w sposób nieuprawniony, jak nieintencjonalnie, np. przy przesłaniu maila do niewłaściwego adresata lub udostępnieniu danych osobie nieuprawnionej.
Co zrobić w przypadku stwierdzenia naruszenia ochrony danych osobowych?
No dobra. Skoro już wiesz, czym są naruszenia ochrony danych osobowych, to kolejnym krokiem będzie zaprezentowanie, jak się w takim przypadku zachować.
Zacznijmy jednak od tego, że nie każde zdarzenie będzie naruszeniem. Nieszkodliwe w skutkach incydenty nie będą się do nich zaliczać, pamiętaj jednak, że mogą one stanowić sygnał ostrzegawczy. Coś może działać nie tak jak powinno lub nie działać wcale. Dlatego nawet jeżeli nie stwierdzisz poważnych skutków, koniecznie zidentyfikuj przyczyny incydentu.
Każde zdarzenie mające potencjalnie wpływ na bezpieczeństwo przetwarzania danych osobowych powinno zostać rozpatrzone przez administratora. Jak tego dokonać? RODO nie daje na to konkretnej odpowiedzi. Możesz jednak posiłkować się w tym metodyką opracowaną przez ENISA – link do niej znajdziesz tutaj: KLIK! Myślę, że to dobry start do oceny wagi naruszenia.
Pamiętaj jednak, że istotne są również inne wytyczne, w szczególności pochodzące od polskiego organu nadzorczego – Prezesa UODO. Zwróć też uwagę na specyfikę krajową wykorzystania danych. U nas organ nadzorczy zwraca szczególną uwagę na ujawnienie numeru PESEL z imieniem i nazwiskiem. O karach z tym związanych możesz przeczytać, a jakże, na moim blogu, np. tutaj.
Wynik oceny wagi naruszenia, jak również określenie potencjalnego ryzyka dla praw lub wolności osoby fizycznej, zdeterminują dalsze działanie. Jakie masz możliwości?
Wariantem pierwszym, w przypadku naruszeń mniejszej wagi, jak i nie powodujących potencjalnie wysokiego ryzyka dla interesów osób dotkniętych naruszeniem, jest odnotowanie naruszenia w wewnętrznym rejestrze bez konieczności podejmowania dalszych działań – oczywiście poza uszczelnieniem tego, co spowodowało naruszenie.
Druga opcja to zgłoszenie naruszenia do organu nadzorczego – Prezesa UODO. Zgłoszeniu podlegają naruszenia wagi wyższej niż znikoma i mogące potencjalnie powodować wysokie ryzyko naruszenia praw lub wolności osoby dotkniętej naruszeniem. W takim przypadku o naruszeniu, możliwych konsekwencjach i sposobach przeciwdziałania tym skutkom, powinieneś poinformować też osoby dotknięte naruszeniem.
Jaki jest termin na zgłoszenie naruszenia ochrony danych osobowych?
Jeżeli z oceny naruszenia wyjdzie, że powinieneś je zgłosić do Prezesa UODO, pamiętaj o ustanowionym w RODO terminie. Zgodnie z przepisami masz na to 72 godziny od stwierdzenia naruszenia. Istotna sprawa – nie ma znaczenia, czy termin upływa w dzień wolny lub święto. 72 godziny to 72 godziny. Jeżeli nie zdążysz ustalić wszystkich istotnych okoliczności zdarzenia, możesz oczywiście złożyć zgłoszenie wstępne, a następnie je uzupełnić.
Jak zgłosić naruszenie ochrony danych osobowych?
Naruszenie możesz zgłosić na cztery sposoby:
- elektronicznie, przez wypełnienie formularza;
- elektronicznie, wysyłając wypełniony formularz elektroniczną skrzynką podawczą ePUAP;
- elektronicznie, przez wysłanie wypełnionego formularza za pomocą pisma ogólnego;
- tradycyjną pocztą.
We wszystkich wypadkach powinieneś uzupełnić formularz, a więcej informacji na ten temat znajdziesz na stronie UODO – choć życzę Ci, abyś nie musiał nigdy skorzystać z tego linku.😉
Jakie mogą być konsekwencje zgłoszenia lub niezgłoszenia naruszenia ochrony danych osobowych?
Zanim dowiesz się, jakie mogą być konsekwencje zgłoszenia naruszenia – pamiętaj, że to Twój prawny obowiązek jako administratora. Prezes UODO zwraca na to uwagę w wydawanych przez siebie decyzjach.
A konsekwencje mogą być różne. Przede wszystkim może zostać wszczęte postępowanie, w wyniku którego Prezes UODO zdecyduje co zrobić dalej w sprawie. Może ono zostać umorzone, ale organ nadzorczy może też zdecydować o ukaraniu administratora. Najsurowszą z katalogu kar jest oczywiście kara finansowa. Dla podmiotów prywatnych kary mogą sięgnąć nawet 10 lub 20 milionów euro albo 2 lub 4 procent całkowitego światowego obrotu firmy z poprzedniego roku. Dla podmiotów publicznych, jak urzędy, wysokość ta została ograniczona do 100.000 zł.
Jako administratorowi przysługuje Ci możliwość złożenia skargi do Wojewódzkiego Sądu Administracyjnego. Jak pokazuje aktualne orzecznictwo w tym zakresie, jest to możliwe – zerknij np. tutaj.
W telegraficznym skrócie
- Zgłaszanie naruszeń ochrony danych osobowych jest obowiązkiem prawnym administratora.
- Nie każde naruszenie wymaga zgłoszenia do organu nadzorczego.
- Administrator powinien zgłosić naruszenie organowi nadzorczemu w terminie 72 godzin od jego stwierdzenia.
Pingback: Jak ocenić naruszenie ochrony danych osobowych? - Zdrowe Dane