Naruszenia ochrony danych osobowych mogą zdarzyć się każdemu. To zdarzenia, które mogą wywołać nie tylko rażące zaniedbania, ale także pomyłki i działanie zewnętrzne, jak jest choćby w przypadku cyberataków. Każdy administrator powinien mieć świadomość, w jaki sposób powinien postąpić, gdy dojdzie już do takiej sytuacji.
Z pomocą przyszedł Urząd Ochrony Danych Osobowych, który zaktualizował wytyczne dotyczące obsługi naruszeń. Obszerne, bo liczące niemal 100 stron opracowanie, krok po kroku opisuje obowiązki administratorów związane z naruszeniami ochrony danych osobowych. W tym wpisie poruszę temat, o który najczęściej jestem pytany – jak ocenić naruszenie. Skorzystam przy tym z wiedzy zgromadzonej we wspomnianym poradniku.
W jaki sposób ocenić naruszenie ochrony danych osobowych?
Ocena naruszenia polega na oszacowaniu ryzyka naruszenia praw lub wolności osoby fizycznej w wyniku naruszenia. Oznacza to możliwość wystąpienia negatywnych konsekwencji dla takiej osoby, zaczynając od irytacji, przez niepokój, na kradzieży tożsamości i stratach finansowych kończąc.
Oceniając naruszenie należy przede wszystkim:
- wziąć pod uwagę wszelkie możliwe skutki, które mogą wystąpić w związku z naruszeniem ochrony danych osobowych,
- oszacować jak dotkliwe mogą one być dla osoby, której dane dotyczą oraz
- ocenić prawdopodobieństwo ich wystąpienia.
Przeprowadzając taką ocenę konieczne jest wzięcie pod uwagę także innych okoliczności związanych ze sprawą. Należą do nich w szczególności:
- rodzaj naruszenia ochrony danych osobowych – czy dotyczy ono naruszenia dostępu do danych, ich integralności lub poufności;
- charakter, wrażliwość i zakres danych osobowych – ocena będzie wyższa przy szerokim zakresie danych i ich wrażliwym charakterze, np. przy danych dotyczących zdrowia;
- łatwość identyfikacji osoby, której dane dotyczą – ma na to zarówno zakres danych (im więcej, tym łatwiej przypisać na ich podstawie odpowiednią osobę) oraz unikalność danych w skali kraju;
- dotkliwość konsekwencji dla osób, których dane dotyczą – jak mocno zdarzenie może wpłynąć negatywnie na interesy osoby, której dane dotyczą;
- cechy szczególne osób, których dane dotyczą – czy osoby są objęte szczególną ochroną, np. są małoletni lub przynależą do mniejszości;
- cechy szczególne administratora – np. czy administrator jest związany szczególnymi zasadami ochrony danych osobowych;
- liczbę osób, których dane dotyczą – im więcej osób, które mogą ucierpieć w związku z naruszeniem, tym wyższa będzie ocena.
Jak postępować z ryzykiem?
Ocena naruszenia ochrony danych osobowych może doprowadzić zasadniczo do 3 wniosków, które są związane z poziomem ryzyka:
- naruszenie nie wiąże się z ryzykiem (jest ono znikome) – np. gdy ujawnione dane były publicznie dostępne, zaszyfrowane lub administrator w inny sposób skutecznie zapobiegł możliwości wystąpienia zagrożenia;
- naruszenie wiąże się z ryzykiem – w wyniku naruszenia mogą wystąpić negatywne skutki wobec osoby fizycznej;
- naruszenie wiąże się z wysokim ryzykiem – gdy istnieje wysokie prawdopodobieństwo wystąpienia negatywnych skutków, które mogą być dotkliwe dla osoby fizycznej.
Jak postępować w takich przypadkach? Zgodnie z RODO można pogrupować modele działania w powiązaniu z poziomem ryzyka:
- w przypadku braku ryzyka – naruszenie ochrony danych osobowych jest dokumentowane i odnotowywane w wewnętrznym rejestrze;
- w przypadku ryzyka – poza odnotowaniem wewnętrznym, sprawę należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych;
- w przypadku wysokiego ryzyka – poza odnotowaniem wewnętrznym i zgłoszeniu sprawy do Prezesa UODO należy poinformować osoby dotknięte naruszeniem o okolicznościach zdarzenia, możliwych jego skutkach oraz sposobach ich uniknięcia lub ograniczenia.
Ocena negatywnych konsekwencji osoby fizycznej, a nie administratora
Bardzo istotną kwestią w ocenie naruszeń ochrony danych osobowych jest naturalna tendencja do wzięcia pod uwagę wpływu zdarzenia na organizację administratora. W przypadku naruszeń ochrony danych osobowych w centrum znajdują się jednak wszystkie osoby, których dane były objęte naruszeniem, a nie administrator. Oceniając naruszenie należy więc odizolować oceny przez pryzmat własnego interesu i skupić się na skutkach, jakich mogą doświadczyć osoby fizyczne – klienci, pacjenci czy inne osoby, które powierzyły swoje dane w związku z realizowaną obsługą.
Naruszenia ochrony danych osobowych nie powinny być „zamiatane pod dywan”. Przede wszystkim dlatego, że mogą realnie wpłynąć na czyjeś życie, często potężnie je komplikując. Z drugiej strony należy mieć na uwadze także to, że zgłoszenie naruszenia stanowi obowiązek prawny, który z pewnością wpłynie na ostateczną decyzję Prezesa UODO w przypadku wykrycia takiego naruszenia w inny sposób, np. w wyniku skargi osoby fizycznej. W takim przypadku administrator może zostać wezwany do złożenia wyjaśnień, a wtedy pomocna będzie solidna dokumentacja naruszenia, która pozwoli na przedstawienie argumentacji związanej z jego oceną i podjętą decyzją co do postępowania z ryzykiem.