Naruszenie ochrony danych – co robić?

Naruszenie ochrony danych – co robić?

Przez pierwszy rok stosowania ogólnego rozporządzenia o ochronie danych (RODO) administratorzy zgłosili dokładnie 4539 naruszeń ochrony danych osobowych.

Obowiązek poinformowania o tym fakcie Prezesa Urzędu Ochrony Danych (PUODO) wynika z art. 33 ust. 1 RODO - czy jednak we wszystkich, prawie 5 tys., przypadków administratorzy postąpili słusznie?

Z pomocą śpieszy sam Urząd Ochrony Danych Osobowych, który w rocznicę stosowania RODO, wydał specjalny poradnik „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, zbierający doświadczenia Urzędu z zakresu naruszeń ochrony danych osobowych.

Sektor prywatny, a publiczny

Analizując liczbę naruszeń, jakie zostały zgłoszone do PUODO widać wyraźną przewagę sektora prywatnego – dwie trzecie wszystkich zgłoszeń pochodziło od przedsiębiorców, głównie z firm: ubezpieczeniowych, telekomunikacyjnych, finansowych oraz banków. Natomiast w sektorze publicznym najwięcej zgłoszeń wpłynęło od placówek oświatowych (szkół, przedszkoli, żłobków) oraz służby zdrowia.

Co sprawia największy problem?

Z rocznych doświadczeń UODO wynika, że administratorzy mają największy problem z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dany incydent i czy można go traktować jako naruszenie ochrony danych.

Zgodnie z art. 33 ust. 1 RODO naruszenia nie należy zgłaszać organowi nadzorczemu, jeśli „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Artykuł ten wyraźnie wskazuje na konieczność oceny skutków, jakie dany incydent może wywołać. Ważnym aspektem jest także dokumentowanie wszystkich naruszeń w wewnętrznych rejestrach oraz udokumentowanie przeprowadzonej analizy, bowiem organ nadzorczy może zwrócić się do administratora z wnioskiem o uzasadnienie decyzji o niezgłaszaniu naruszenia.

Kiedy w takim razie powiadomić Prezesa UODO?

Jeżeli w wyniku przeprowadzonej analizy incydentu okaże się, że istnieje prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator obowiązany jest do powiadomienia organu nadzorczego.

Z ryzykiem tym mamy do czynienia, kiedy naruszenie może wywołać szkodę fizyczną, materialną lub niematerialną dla osób fizycznych, których naruszenie dotyczy. Do szkód takich można zaliczyć m.in.: dyskryminację, stratę finansową, kradzież tożsamości, utratę poufności danych chronionych tajemnicą zawodową czy też inne poważne skutki społecznej lub gospodarcze dla konkretnej osoby fizycznej.

Jeżeli naruszenie dotyczy danych osobowych zaliczanych do szczególnych kategorii (tj. dane ujawniające: pochodzenie etniczne lub rasowe, poglądy polityczne, przynależność do związków zawodowych) należy uznać, że występuje wysokie prawdopodobieństwo wystąpienia wspomnianej szkody.

Zgłoszenia naruszenia dokonuje się elektronicznie lub tradycyjną pocztą, wypełniając formularz dostępny na stronie internetowej Urzędu https://uodo.gov.pl/pl/134/233.

Nie można nie wspomnieć o obowiązku poinformowania osób, których naruszenie dotyczy. W przypadku wystąpienia wysokiego ryzyka administrator powinien zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, a treść takiego zawiadomienia zgłosić także do UODO. Zawiadomienie to powinno być dokonane niezwłocznie po wykryciu i ocenie naruszenia.

Postępowanie w sprawie naruszenia

Wystąpienie potencjalnej szkody dla osoby fizycznej oraz zgłoszenie naruszenia do UODO może skutkować wszczęciem postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. Tryb postępowania został szczegółowo uregulowany w ustawie z 10 maja 2018 r. o ochronie danych osobowych (art. 60-74) oraz kodeksie postępowania administracyjnego.

Jak uniknąć naruszeń?

Każdy podmiot przetwarzający dane osobowe powinien uczulić pracowników na kwestie związane z ochroną danych osobowych, tak by świadomie mogli oni identyfikować potencjalne zagrożenia oraz unikać naruszeń ochrony danych osobowych. Niezbędne są oczywiście również adekwatne środki techniczne i organizacyjne stosowane w celu minimalizacji ryzyka, jednak z naszego doświadczenia wynika, że najczęściej słabym ogniwem w systemie ochrony danych osobowych jest człowiek.

Nina Kowalik

Kancelaria Wyrzykowscy sp. z o.o.