Przetwarzanie danych osobowych jest procesem złożonym. Jego złożoność polega na tym, że angażuje z jednej strony czynnik ludzki (w procesie, o którym mowa, uczestniczą wszak pracownicy wszystkich szczebli danej organizacji), z drugiej zaś – pozaludzki (operacje przetwarzania odbywają się najczęściej w systemach informatycznych). Tym samym ewentualne naruszenie ochrony danych osobowych może nastąpić zarówno z przyczyn leżących po stronie personelu (nieprzestrzeganie procedur), jak i z przyczyn technicznych (awaria systemu). Abstrahujemy w tym momencie od takich incydentów jak cyberatak, które mogą wynikać i z błędów ludzkich (niezapewnienie odpowiedniej ochrony wskutek nieprzestrzegania procedur), i z niedostatków technicznych (system informatyczny niedostosowany do rodzaju dokonywanych operacji przetwarzania).
Czym jest naruszenie ochrony danych osobowych
Jak zaś naruszenie ochrony danych osobowych definiuje RODO? Zgodnie z art. 4 pkt 12 unijnego rozporządzenia (dalej będziemy je nazywać także „rozporządzeniem 2016/679”) jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. W rezultacie z naruszeniem ochrony danych będziemy mieli do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania pracownika przetwarzającego dane, jak i wtedy, gdy pracownik ten doprowadzi do incydentu niechcący. I w jednym, i w drugim przypadku musimy się zastanowić, czy naruszenie nie powinno zostać zgłoszone organowi nadzorczemu, którym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), a także czy o incydencie nie należałoby zawiadomić osób, których dane dotyczą, czyli potencjalnych poszkodowanych.
Szerzej o istocie naruszenia
Zanim jednak przejdziemy do kwestii zawiadamiania PUODO i osób, których dane dotyczą, zatrzymajmy się jeszcze na chwilę na definicji naruszenia, którą przytoczyliśmy powyżej. Unijny prawodawca posługuje się w niej następującymi terminami: zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie i nieuprawniony dostęp. Warto się zastanowić, co one w tym kontekście oznaczają. Odpowiedź na to pytanie znajdujemy w Wytycznych dotyczących zgłaszania naruszenia ochrony danych osobowych na mocy rozporządzenia 2016/679, opracowanych przez grupę roboczą art. 29. Otóż do zniszczenia danych osobowych dochodzi wówczas, gdy przestają one istnieć – w ogóle lub w formie umożliwiającej ich wykorzystanie przez administratora.
Utrata danych wiąże się zaś z sytuacją, w której co prawda mogą one nadal istnieć, ale administrator nie sprawuje już nad nimi kontroli, nie ma do nich dostępu lub nie jest w ich posiadaniu. Modyfikacja danych oznacza z kolei naruszenie ich integralności, innymi słowy: zmianę ich struktury. Nieuprawnione ujawnienie danych osobowych i nieuprawniony dostęp do nich obejmują wreszcie przypadki ujawnienia lub udostępnienia tych danych odbiorcom, którzy nie mają uprawnień do ich otrzymania lub uzyskania do nich dostępu, a także przypadki jakiegokolwiek innego przetwarzania, które narusza przepisy RODO[1].
Autorzy wytycznych wyróżniają w ogóle trzy rodzaje naruszeń:
- naruszenie poufności, które polega na ujawnieniu lub udostępnieniu danych osobie nieuprawnionej;
- naruszenie integralności, które sprowadza się do zmiany treści danych osobowych, czyli ich modyfikowania, w sposób nieautoryzowany;
- naruszenie dostępności, które wiąże się z trwałą utratą dostępu do danych lub ich zniszczeniem[2].
Inni autorzy zwracają z kolei uwagę, że skutki naruszenia, które wymienia art. 4 pkt 12 RODO (dla przypomnienia: zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie i nieuprawniony dostęp), można podzielić na dwie kategorie:
- naruszenie integralności danych osobowych (zniszczenie, utracenie, zmodyfikowanie);
- nieuprawnione zapoznanie się z danymi[3].
Zasady zgłaszania naruszeń organowi nadzorczemu
Zasady zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu wynikają z art. 33 rozporządzenia 2016/679. Można je streścić w kilku punktach:
- Każdy przypadek naruszenia ochrony danych osobowych administrator (czyli – potocznie rzecz ujmując – właściciel danych) powinien zgłosić organowi nadzorczemu bez zbędnej zwłoki (najlepiej w ciągu 72 godzin od stwierdzenia naruszenia), chyba że jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych (wrócimy jeszcze do tej kwestii). Jeśli zgłoszenie jest przekazywane po upływie 72 godzin od stwierdzenia naruszenia, należy do niego dołączyć wyjaśnienie przyczyn opóźnienia.
- Gdy podmiot przetwarzający stwierdzi u siebie przypadek naruszenia ochrony danych osobowych, musi bez zbędnej zwłoki powiadomić o tym administratora, w którego imieniu przetwarza dane.
- W zgłoszeniu należy:
a) opisać charakter naruszenia, czyli wyjaśnić, jakich kategorii danych (np. imię, nazwisko, adres) i jakich kategorii osób (np. pracownicy, klienci) dotyczy incydent oraz ile wpisów zostało narażonych na nieuprawnione ujawnienie, zmodyfikowanie lub zniszczenie;
b) podać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został on wyznaczony) lub innego punktu kontaktowego, od którego organ nadzorczy będzie mógł uzyskać więcej informacji;
c) opisać możliwe konsekwencje naruszenia ochrony danych osobowych;
d) wskazać, jakie środki administrator zastosował lub proponuje zastosować, aby zminimalizować negatywne skutki naruszenia i zapobiec podobnym incydentom w przyszłości.
4. Informacje, o których mowa w punkcie trzecim, administrator może przekazywać sukcesywnie (ale bez zbędnej zwłoki), jeżeli nie jest w stanie dostarczyć ich wszystkich w tym samym czasie.
5. Administrator powinien dokumentować przypadki naruszeń ochrony danych osobowych, tj. odnotowywać, w jakich okolicznościach doszło do incydentu, jakie były skutki zdarzenia i jakie działania podjął, aby zminimalizować negatywne następstwa naruszenia.
Kiedy bezwzględnie trzeba zgłosić naruszenie
W toku wcześniejszych rozważań zaznaczyliśmy, że administrator powinien zgłaszać organowi nadzorczemu każdy przypadek naruszenia ochrony danych osobowych, chyba że „jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych”. Oznacza to, że jeżeli ryzyko naruszenia praw lub wolności osób fizycznych nie występuje lub jest niewielkie, z powiadomienia można zrezygnować. W tym momencie powstaje jednak pytanie: jak stwierdzić, czy takie ryzyko istnieje, a jeżeli istnieje, to jaka jest jego skala? Pewne wskazówki w tym zakresie odnajdujemy w motywie 75 RODO. Co z nich wynika? Przede wszystkim to, że ryzyko naruszenia praw lub wolności osób jest następstwem takiego przetwarzania danych osobowych, które może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych. Chodzi tu zwłaszcza o sytuacje, w których[4]:
- osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw lub wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
- przetwarzaniu podlegają dane szczególnie chronione, czyli dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie, przekonania światopoglądowe lub przynależność do związków zawodowych, a także dane genetyczne, dotyczące zdrowia, seksualności, wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa;
- dochodzi do zautomatyzowanego przetwarzania danych, w tym profilowania;
- przetwarzane są dane osób wymagających szczególnej opieki, zwłaszcza dzieci;
- przetwarzanie danych odbywa się na dużą skalę i wpływa na znaczną liczbę osób, których dane dotyczą.
Żeby zaś ustalić, czy ryzyko naruszenia praw lub wolności osób fizycznych jest mało realne, czy też wysoce prawdopodobne, należy uwzględnić, jak wynika z motywu 76 RODO, charakter, zakres, kontekst i cele przetwarzania danych.
Formularz zgłoszeniowy na stronie PUODO
Na stronie organu nadzorczego[5] znajdują się formularze, które można wykorzystać, zgłaszając naruszenie ochrony danych osobowych (jeden – interaktywny, drugi – alternatywny). Ich wypełnienie jest o tyle łatwe, że zawierają już listę potencjalnych odpowiedzi na większość pytań, w tym wyszczególnienie najczęstszych incydentów (rubryka 4B) i ich możliwych konsekwencji (rubryka 8A). Tym samym cały formularz ma formę ankiety, której znaczną część stanowią pytania zamknięte.
Wśród naruszeń ochrony danych autorzy formularza wymieniają[6]:
- zgubienie lub kradzież nośnika lub urządzenia;
- zgubienie, kradzież lub pozostawienie w niezabezpieczonej lokalizacji dokumentacji papierowej, która zawiera dane osobowe;
- utratę przez operatora pocztowego korespondencji papierowej lub otwarcie jej przed zwróceniem nadawcy;
- nieuprawnione uzyskanie dostępu do informacji;
- nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń;
- pojawienie się złośliwego oprogramowania, które ingeruje w poufność, integralność i dostępność danych;
- uzyskanie poufnych informacji przez pozornie zaufaną osobę w oficjalnej komunikacji elektronicznej, tj. drogą e-mailową lub za pomocą komunikatora internetowego (phishing);
- nieprawidłową anonimizację danych osobowych w dokumencie;
- nieprawidłowe usunięcie lub zniszczenie danych osobowych z nośnika lub urządzenia elektronicznego przed jego zbyciem przez administratora;
- niezamierzoną publikację;
- wysłanie danych osobowych do niewłaściwego odbiorcy;
- ujawnienie danych niewłaściwej osoby;
- ustne ujawnienie danych osobowych.
Do możliwych konsekwencji naruszenia autorzy formularza zaliczają z kolei[7]:
- utratę przez administratora kontroli nad własnymi danymi osobowymi;
- ograniczenie możliwości realizowania praw z art. 15–22 RODO[8];
- ograniczenie możliwości realizowania praw;
- dyskryminację;
- kradzież lub sfałszowanie tożsamości;
- stratę finansową;
- naruszenie dobrego imienia;
- utratę poufności danych osobowych chronionych tajemnicą zawodową;
- nieuprawnione odwrócenie pseudonimizacji.
Zawiadamianie osób, których dane dotyczą
Jeżeli incydent może skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, trzeba o nim zawiadomić nie tylko organ nadzorczy, lecz także osoby, których dane dotyczą, czyli potencjalnych poszkodowanych. Obowiązek ten wynika z art. 34 ust. 1 rozporządzenia 2016/679. W zawiadomieniu, o którym mowa, należy prostym językiem opisać charakter naruszenia, a ponadto podać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został on wyznaczony) lub innego punktu kontaktowego, od którego osoba zainteresowana będzie mogła uzyskać więcej informacji, opisać możliwe konsekwencje naruszenia ochrony danych osobowych i wyjaśnić, jakie środki administrator zastosował lub proponuje zastosować, aby zminimalizować negatywne skutki naruszenia i zapobiec podobnym incydentom w przyszłości.
Zgodnie z art. 34 ust. 3 RODO zawiadomienie osób, których dane dotyczą, nie jest konieczne w trzech przypadkach:
- jeżeli administrator wdrożył u siebie właściwe techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych, których dotyczy naruszenie (np. szyfrowanie);
- jeżeli po incydencie administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą (np. zawarcie umowy poufności z podmiotem, który zapoznał się z danymi w sposób nieuprawniony[9]);
- jeżeli wymagałoby to niewspółmiernie dużego wysiłku (wówczas wystarczający będzie publiczny komunikat, np. ogłoszenie w prasie lub telewizji albo informacja na stronie internetowej administratora, zależnie od sytuacji[10]).
Warto nadmienić, że na mocy art. 34 ust. 4 rozporządzenia 2016/679 sam organ nadzorczy – jeżeli stwierdzi, że incydent może skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych – ma prawo zobowiązać administratora do zawiadomienia potencjalnych poszkodowanych (oczywiście w sytuacji, w której administrator nie uczynił tego jeszcze z własnej inicjatywy). Może również stwierdzić, że zachodzi jeden z trzech przypadków, które zwalniają z tego obowiązku (zobacz wyżej).
Postępowanie w sprawie naruszeń
Powyższe może stać się przyczynkiem do wszczęcia postępowania w sprawie naruszeń przepisów o ochronie danych osobowych, które jest szczegółowo uregulowane przez art. 60–74 Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a także Kodeks postępowania administracyjnego. Zgodnie z art. 7 przywołanej ustawy postępowanie przed PUODO jest jednoinstancyjne, a na postanowienie organu nadzorczego służy skarga do sądu administracyjnego.
Podsumowanie
Przepisy rozporządzenia 2016/679 nakładają na administratorów i podmioty przetwarzające obowiązek monitorowania, czy przetwarzanie danych osobowych odbywa się u nich zgodnie z unijnymi standardami. W przypadku stwierdzenia naruszenia dalsze kroki tych podmiotów zależeć powinny od potencjalnych skutków incydentu: jeżeli istnieje ryzyko naruszenia praw lub wolności osób fizycznych, konieczne jest zawiadomienie organu nadzorczego; jeżeli ryzyko to jest wysokie, niezbędne jest zawiadomienie zarówno organu nadzorczego, jak i osób, których dane dotyczą. Z zawiadamiania organu (a co za tym idzie osób, których dane dotyczą) można zrezygnować, jeśli ryzyko naruszenia praw lub wolności osób fizycznych nie występuje albo jest minimalne (mało prawdopodobne).
[1] Wytyczne dotyczące zgłaszania naruszenia ochrony danych osobowych na mocy rozporządzenia 2016/679, https://www.uodo.gov.pl/pl/10/12, s. 7.
[2] Ibidem, s. 7-8.
[3] E. Bielak-Jomaa, D. Lubasz i inni (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018, s. 265.
[4] Wytyczne, o których była mowa wcześniej, wymieniają następujące czynniki, które należy uwzględnić przy ocenie ryzyka: 1. rodzaj naruszenia; 2. charakter, wrażliwość i ilość danych osobowych; 3. łatwość identyfikacji osób fizycznych; 4. powaga konsekwencji dla osób fizycznych; 5. cechy szczególne osoby fizycznej; 6. cechy szczególne administratora; 7. liczba osób fizycznych, których dane naruszono (s. 23–26).
[5] Zob. https://uodo.gov.pl/pl/134/233
[6] Zgłoszenie naruszenia ochrony danych osobowych – formularz interaktywny, rubryka 4B; Zgłoszenie naruszenia ochrony danych osobowych – formularz alternatywny, rubryka 4B (https://uodo.gov.pl/pl/134/233).
[7] Zgłoszenie naruszenia ochrony danych osobowych – formularz interaktywny, rubryka 8A; Zgłoszenie naruszenia ochrony danych osobowych – formularz alternatywny, rubryka 8A (https://uodo.gov.pl/pl/134/233).
[8] Chodzi o prawo dostępu przysługujące osobie, której dane dotyczą (art. 15), prawo do sprostowania danych (art. 16), prawo do usunięcia danych, czyli prawo do bycia zapomnianym (art. 17), prawo do ograniczenia przetwarzania (art. 18), prawo do przenoszenia danych (art. 20), prawo do sprzeciwu (art. 21) oraz prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22).
[9] E. Bielak-Jomaa, D. Lubasz i inni (red.), op. cit., s. 725.
[10] Ibidem, s. 726.