Monika Młotkiewicz
Dyrektor Zespołu Współpracy z Administratorami Danych w Urzędzie Ochrony Danych Osobowych
Co to jest naruszenie ochrony danych osobowych?
Naruszeniami ochrony danych w rozumieniu RODO są takie przypadki złamania zasad bezpieczeństwa danych przetwarzanych przez administratora, których skutkiem jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych. Chodzi zatem o takie zdarzenia, jak np.: przypadkowe udostępnienie danych, wprowadzenie w nich nieuprawnionych zmian lub naruszenie ich dostępności, czyli brak możliwości wykorzystania danych w założonym czasie, przez osobę do tego uprawnioną.
RODO zobowiązuje, by takie przypadki zgłaszać do Prezesa Urzędu Ochrony Danych Osobowych, a niekiedy informować o nich osoby, których dane dotyczą. Kto musi to robić?
Jest to obowiązek administratora danych. Czynnikiem warunkującym obowiązek zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych oraz zawiadomienia osób o zaistniałym zdarzeniu jest poziom ryzyka naruszenia praw lub wolności osób fizycznych, tj. niski, średni lub wysoki.
Jeżeli administrator stwierdził, że ma do czynienia z niskim ryzykiem naruszenia praw i wolności osób fizycznych, nie zgłasza naruszenia Prezesowi UODO. Musi jednak wpisać je do wewnętrznej ewidencji naruszeń.
W przypadku średniego ryzyka, pojawia się obowiązek zgłoszenia naruszenia ochrony danych Prezesowi UODO. Administrator powinien to zrobić bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Wystąpienie wysokiego ryzyka naruszenia, wymaga nie tylko powzięcia wyżej wskazanych działań, ale zawiadomienia osób, których dane dotyczą, chyba że administrator podjął działania prewencyjne przed zaistnieniem negatywnych skutków danego naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO).
Przykładem naruszenia powodującego wysokie ryzyko negatywnych skutków dla osoby, której dane dotyczą, jest zagubienie dokumentacji zawierającej imię, nazwisko i nr PESEL, co może skutkować nieuprawnionym wykorzystaniem takich danych osobowych, np. do wyłudzenia ubezpieczenia czy uzyskania kredytów w firmach pożyczkowych, na szkodę osoby, której dane naruszono.
Jaki jest cel zgłaszania naruszeń?
Dzięki zgłoszeniom naruszeń Prezes UODO może ocenić skalę i charakter naruszenia i – w razie potrzeby – skorzystać ze swoich uprawnień. Na przykład, gdy administrator niewłaściwie ocenił prawdopodobieństwo wystąpienia negatywnych skutków naruszenia i nie zawiadomił osób, których dane dotyczą o naruszeniu albo zgłoszenie zawiera braki, organ nadzorczy może zażądać powiadomienia osób w prawidłowy sposób, tak aby otrzymały one wszystkie ważne informacje na temat zdarzenia i zalecenia co do zminimalizowania jego potencjalnych negatywnych skutków.
Prezes UODO może również zwrócić się do administratora z żądaniem podjęcia działań mających na celu wyeliminowanie przyczyn występowania naruszeń w przyszłości. Może też np. nakazać administratorowi dostosowanie operacji przetwarzania do przepisów prawa lub zastosować szereg innych środków, a nawet nałożyć administracyjną karę pieniężną na mocy art. 83 RODO, w zależności od okoliczności konkretnej sprawy.
Jak podmioty zobowiązane wywiązują się z tego obowiązku?
Wiele z nich robi to rzetelnie i starannie. W większości przypadków nie jest konieczne wzywanie administratora do uzupełnienia informacji czy podejmowania określonych działań. Nadesłany formularz zgłoszenia jest kompletny, poziom ryzyka oceniony właściwie, a osoby których dane dotyczą, zostały prawidłowo powiadomione o zdarzeniu, jeśli sytuacja tego wymagała.
Niemniej jest też wiele przypadków zgłoszeń błędnych lub niekompletnych. Obserwujemy jednak, że wiele podmiotów – na skutek kierowanych przez nas wystąpień – koryguje swoje praktyki i stara się już potem eliminować popełniane błędy.