GDPR  nakłada na administratorów danych szereg nowych praw i obowiązków. Jednym z nich jest obowiązek zawiadomienia organu nadzorczego o naruszeniu przetwarzania danych osobowych, zwany  obowiązkiem notyfikacji naruszeń (data breach notification).

Celem niniejszego artykułu jest analiza instytucji, w szczególności próba odpowiedzi na pytanie w jaki sposób administratorzy danych (oraz administratorzy bezpieczeństwa informacji) mogą przygotować się do przeprowadzenia ewentualnej notyfikacji, jeszcze przed rozpoczęciem obowiązywania przepisów GDPR.

Notyfikacja czyli…?

Zgodnie z art. 33 ust. 1 GDPR, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Przede wszystkim podkreślić należy, że norma zawarta w ww. przepisie, nie nakłada na administratorów danych obowiązku informowania organu nadzorczego (w Polsce na chwilę obecną takim organem jest GIODO) o jakimkolwiek incydencie związanym z przetwarzaniem danych osobowych. Notyfikacja powinna być efektem naruszenia ochrony danych osobowych, zgodnie zaś z definicją legalną zawartą w art. 4 pkt 12 GDPR, za naruszenie ochrony danych osobowych uznaje się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Zatem nie w każdym przypadku wykrycie na skutek bieżącego nadzoru nad przetwarzaniem danych osobowych (np. w związku z realizacją zasady privacy by design) uchybienia przepisom regulującym ochronę danych osobowych, będzie wiązało się z obowiązkiem notyfikacji. Dla przykładu naruszeniem ochrony danych osobowych nie będzie błędne (niepełne) wypełnienie obowiązku informacyjnego, bądź wadliwie skonstruowanie zgody jako podstawy prawnej przetwarzania danych osobowych (co nie zmienia faktu, że tego typu uchybienia w przypadku wykrycia przez organ nadzoru, mogą wiązać się z nałożeniem kary w wysokości nawet do 20 000 000 EUR).

Mając na uwadze powyższe zastrzeżenie, przyjąć należy, że obowiązek notyfikacji, jest związany z takim zdarzeniem którego efektem jest naruszenie bezpieczeństwa przetwarzanych danych.  Istotnym jest przy tym, iż naruszenie powinno prowadzić do wystąpienia określonego w art. 4 pkt 12 GDPR skutku (np. utracenia danych), przy czym nie ma znaczenia, czy naruszenie związane było z działaniem przypadkowym czy niezgodnym z prawem.

Pomocna dla zrozumienia sensu ograniczenia obowiązku notyfikacji wyłącznie do przypadków związanych z incydentem bezpieczeństwa, będzie analiza motywu 85 GDPR. Motyw ten określa, że brak odpowiedniej i szybkiej reakcji na naruszenie ochrony danych (jak powyżej wskazano, rozumianego jako naruszenie bezpieczeństwa przetwarzanych danych), może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych takich jak utrata kontroli nad własnymi danymi, ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa itp.

Obowiązek notyfikacji jest zatem elementem usuwania skutków incydentów bezpieczeństwa mogących mieć istotny wpływ na interesy osoby fizycznej i wynika z powszechnie akceptowanej i jak się wydaje oczywistej zasady bezpieczeństwa przetwarzania danych[1].

Termin i treść zgłoszenia

Obowiązek zgłoszenia naruszenia powinien zostać zrealizowany bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W przypadku przekroczenia ww. terminu administrator będzie zobowiązany do wyjaśnienia GIODO  przyczyn opóźnienia. Warto jednak pamiętać, że nieopłacalnym może być celowe unikanie spełnienia obowiązku notyfikacji, gdyż zgodnie z art. 83 ust. 4 lit a GDPR, działanie takie będzie zagrożone administracyjną karą pieniężną do 10 000 000 EUR, bądź 2 § całkowitego rocznego światowego obrotu.

Zgłoszenie naruszenia do GIODO powinno zawierać:

  • opis charakteru naruszenia, w tym w miarę możliwości wskazywać kategorię i przybliżoną liczbę osób, których dane dotyczą,
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (ABI),
  • opis możliwych konsekwencji naruszenia,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych oraz minimalizowaniu negatywnych skutków naruszenia.

Warto jednak pamiętać, że na dzień dzisiejszy nie można jednoznacznie przesądzić, iż do 25 maja 2018 r. nie zostaną przyjęte przepisy, które w szczegółowy sposób określą formę i tryb mający zastosowanie przy realizacji obowiązku notyfikacji. Na okoliczność taką wskazuje motyw 88 GDPR.

Może jednak naruszenie nie jest poważne?

Prawdziwym wyzwaniem dla administratorów danych, ale jak sądzę, również dla organów nadzoru, będzie wykładnia i praktyczne zastosowanie wyłączenia od obowiązku notyfikacji, w przypadku w którym wykryte naruszenie bezpieczeństwa  będzie związane z niewielkim prawdopodobieństwem zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych. Mając na uwadze, iż niedopełnienie obowiązku notyfikacji skutkować może nałożeniem przez organ finansowej kary administracyjnej, ocena prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności, nabiera szczególnego znaczenia. Wydaje się że poza zdrowym rozsądkiem oraz pro klienckim podejściem, administratorzy danych, przy dokonywaniu ww. oceny powinni kierować się wytycznymi organów nadzorczych krajów UE (nie tylko GIODO), jak i innych instytucji opiniodawczych. Jako przykład można wskazać niezwykle ważną opinię Grupy Roboczej Art. 29 na temat powiadamiania o przypadkach naruszenia danych osobowych[2], w treści której Grupa zawarła szereg przykładów naruszeń które mogą wywierać niekorzystny wpływ na osoby, których dane dotyczą, oraz przykładowe działania zabezpieczające, dzięki którym można byłoby ograniczyć ryzyko, gdyby zostały one zawczasu wdrożone.

Notyfikacja już funkcjonuje

Pomimo, iż ustawa o ochronie danych osobowych, ani dyrektywa 95/46/WE nie przewidywała obowiązku notyfikacji naruszeń do GIODO, jednak sama koncepcja nie stanowi bezwzględnego novum w polskim porządku prawnym. Pomijając wytyczne wzywające do dobrowolnego zgłaszania naruszeń wydawane przez Grupę Roboczą Art. 29[3], przywołać należy obowiązek notyfikacji naruszeń określony w art. 174a ustawy Prawo telekomunikacyjne, który wiąże dostawców powszechnie dostępnych usług telekomunikacyjnych. Podobnie jak w przypadku art. 33 GDPR, obowiązek wskazany w Prawie telekomunikacyjnym odnosi się do naruszeń bezpieczeństwa danych na skutek przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego. Przedsiębiorca taki jest zobligowany do poinformowania o zdarzeniu GIODO w terminie 3 dni od stwierdzenia naruszenia.

Jak się przygotować?

Próba odpowiedzi na to pytanie nie jest łatwa. Wydaje się jednak, że najlepszą metodą będzie wdrożenie w organizacji (tam gdzie to jeszcze nie funkcjonuje) rejestru incydentów związanych z bezpieczeństwem danych, oraz prowadzenie pełnej dokumentacji związanej z postępowaniem zmierzającym do usunięcia skutków uchybień, w szczególności warto zapewnić, aby dokumentacja zawierała elementy, które będą obligatoryjne w przyszłej notyfikacji, zwłaszcza opis możliwych konsekwencji naruszenia, oraz środków podjętych celem neutralizacji efekt

Autor: Marcin Cwener

[1] Por. http://www2.deloitte.com/nl/nl/pages/risk/articles/the-general-data-protection-regulation.html

[2] http://www.giodo.gov.pl/1520203/id_art/7788/j/pl/

[3] Por. D. Lubasz, Europejska reforma ochrony danych osobowych – nowe obowiązki administratorów o ogólnym rozporządzeniu o ochronie danych,  w: E. Bielak – Jomma, D. Lubasz (red.) Polska i europejska reforma ochrony danych osobowych, Wolters Kluwer, Warszawa 2016

Related Post