Poznaj 10 wskazówek Grupy Roboczej Art. 29 w sprawie zgłaszania naruszeń organowi nadzorczemu

Jowita Sobczak

Autor: Jowita Sobczak

Dodano: 11 grudnia 2017
Poznaj 10 wskazówek Grupy Roboczej Art. 29 w sprawie zgłaszania naruszeń organowi nadzorczemu

Grupa Robocza Art. 29 wydała w ostatnim czasie wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. Dowiedz się, jakie 10 wskazówek warto będzie wziąć pod uwagę realizując ten obowiązek.

Grupa Robocza Art. 29 na początku października 2017 roku wydała wytyczne w sprawie powiadomień o naruszeniu ochrony danych osobowych. Wytyczne zawierają praktyczne wskazówki dotyczące realizacji przepisów ogólnego rozporządzenia o ochronie danych (RODO) w zakresie obowiązku zgłaszania organowi nadzorczemu naruszeń w zakresie ochrony danych osobowych.

Według Grupy Roboczej Art. 29 konieczność zgłaszania naruszeń w zakresie danych osobowych może przynieść administratorowi wiele korzyści, gdyż będzie musiał on zastosować m.in. odpowiednie narzędzia do wykrywania naruszeń, co pozwoli na wczesną reakcję na wszelkie zdarzenia związane z naruszeniem danych osobowych.

Jak RODO odnosi się do zgłaszania naruszeń

Obowiązek zgłaszania naruszeń w zakresie ochrony danych osobowych wprowadza art. 33 RODO, zgodnie z którym administrator zobowiązany jest zgłosić takie naruszenie nie później niż w terminie 72 godzin po jego stwierdzeniu.

Rozporządzenie przewiduje wyjątki od tej sytuacji. Jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, to administrator nie musi informować o naruszeniu organu nadzorczego. Jeśli administrator nie dochowa terminu zgłoszenia naruszenia musi dołączyć stosowne wyjaśnienie przyczyn opóźnienia.

Zgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego powinno zawierać co najmniej:

  • opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego,
  • opis możliwych skutków naruszenia ochrony danych osobowych,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Wskazówka 1. Jak rozumieć kategorie danych

RODO nie definiuje kategorii osób, których dane dotyczą, ani kategorii wpisów danych osobowych. Grupa Robocza Art. 29 sugeruje jednak, że kategorie osób, których dotyczą dane, powinny odwoływać się do rodzajów osób fizycznych, których dane osobowe naruszono. Przykładowo mogą to być dzieci i inne grupy wymagające szczególnej opieki, pracownicy czy klienci. Podobnie kategorie wpisów danych osobowych mogą odnosić się do różnych typów wpisów, które może przetwarzać administrator, takich jak: dane o stanie zdrowia, informacje dotyczące opieki społecznej, szczegóły finansowe, numery rachunków bankowych, numery paszportów itd.

Kiedy dochodzi do naruszenia

Pojęcie naruszenia danych osobowych zostało zdefiniowane w art. 4 pkt 12 RODO. Zgodnie z nim „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Wskazówka 2. Czym jest zniszczenie, uszkodzenie, utrata

Według Grupy Roboczej Art.  29 „zniszczenie” danych osobowych oznacza sytuację, w której dane przestają istnieć lub przestają istnieć w formie nadającej się do użytku przez administratora. „Uszkodzenie” oznacza zaś sytuację, w której dane osobowe uległy niechcianej modyfikacji lub stały się niekompletne. „Utrata” danych to sytuacja, w której dane mogą nadal istnieć, ale administrator danych utracił kontrole nad nimi lub dostęp do nich bądź nie jest już w ich posiadaniu.

Wskazówka 3. Kiedy dochodzi do naruszenia poufności, integralności i dostępności

Grupa Robocza Art. 29 określa naruszenie danych osobowych jako naruszenie poufności, integralności i dostępności. Do naruszenia poufności może dojść, np. gdy osoba, która jest zobowiązana do zachowania danych w tajemnicy, ujawni te dane niezależnie czy dokona tego celowo, czy nieświadomie. Naruszenie integralności zajdzie, gdy np. dane osobowe zostaną zmienione w sposób nieuprawniony.

Według Grupy Roboczej Art. 29 najwięcej trudności może powstać przy zidentyfikowaniu atrybutu dostępności naruszenia. Grupa Robocza Art. 29 jako przykład utraty dostępności podaje sytuacje, w których doszło do usunięcia danych, a administrator nie jest w stanie odzyskać do nich dostępu np. z kopii zapasowej. Takie zdarzenia można określić jako utrata dostępności. Utrata dostępności może również mieć miejsce w przypadku znaczącego zakłócenia działalności organizacji, np. w wyniku przerwy w dostawie prądu.

Oznacza to, że nawet zdarzenie związane z czasową utratą dostępności danych osobowych będzie stanowiło naruszenie, które może wymagać zgłoszenia do organu nadzorczego. Taka konieczność zgłoszenia naruszenia pojawi się, gdy niedostępność danych osobowych spowoduje ryzyko naruszenia praw i wolności osób fizycznych. Przykładowo. brak dostępu do kluczowych informacji na temat pacjentów szpitala może stanowić ryzyko dla praw i wolności osób fizycznych, np. prowadzić do odwołania operacji.

Jak dokumentować naruszenia ochrony danych

Administrator zobowiązany jest dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności ich naruszenia. Oznacza to, że powinien prowadzić stosowną dokumentację w tym zakresie. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania wymogów dotyczących zgłaszania naruszeń określonych w RODO.

Wskazówka 4. Czy dokumentować niezgłoszenie naruszenia

Grupa Robocza Art. 29 zaleca dokumentowanie uzasadnienia decyzji podjętej w odpowiedzi na naruszenie ochrony danych osobowych. W szczególności należy udokumentować powody decyzji w przypadku niezgłoszenia naruszenia. Należy podać przyczyny, dla których administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne.

Kiedy zgłosić naruszenie organowi nadzorczemu

Ogólne rozporządzenie o ochronie danych wymaga od administratora niezwłocznego zgłoszenia naruszenia ochrony danych osobowych (jeżeli to możliwe, to w ciągu 72 godzin od jego stwierdzenia). Pojawiają się jednak wątpliwości, kiedy należy uznać, że administrator „stwierdził” naruszenie.

W świetle napiętych terminów zgłaszania naruszenia ważne jest, aby zapewnić właściwe wykrywanie włamań, procedury dochodzeniowe i wewnętrzne procedury sprawozdawcze, ponieważ administrator, chcąc zgłosić naruszenie ochrony danych, musi przed takim zgłoszeniem ocenić, czy faktycznie doszło do naruszenia. Dokonując oceny, musi wykonać czynności analityczne, których końcowym efektem jest dokument pozwalający na samodzielną interpretacje, czy faktycznie doszło do naruszenia ochrony danych osobowych, o którym mowa w RODO.

Według Grupy Roboczej Art. 29 w czasie trwania takiego dochodzenia nie można jeszcze uznać, że administrator „stwierdził” naruszenie. Oznacza to, że czas na zgłoszenie naruszenia ochrony danych biegnie od momentu przyjęcia do wiadomości przez administratora, że doszło do naruszenia ochrony danych osobowych.

Wskazówka 5. Kiedy administrator stwierdza naruszenie

Zdaniem Grupy Roboczej Art. 29 należy przyjąć, że administrator może stwierdzić naruszenie, kiedy ma wystarczającą wiedzę i stopień pewności na temat zdarzenia związanego z naruszeniem danych osobowych. Dlatego każdy przypadek należy rozważać indywidualnie w zależności od okoliczności konkretnego naruszenia. W niektórych przypadkach wyraźnie można stwierdzić, że doszło do naruszenia. Natomiast w innych stwierdzenie naruszenia ochrony danych osobowych może zająć więcej czasu.

Przykładowo, w sytuacji utraty płyty CD z niezaszyfrowanymi danymi często nie da się ustalić, czy osoby nieupoważnione uzyskały do nich dostęp. Taki przypadek należy jednak zgłosić, ponieważ istnieje wystarczający stopień pewności co do tego, że doszło do naruszenia. Administrator „stwierdza” naruszenie w chwili uzyskania informacji o utracie płyty.

Zgłaszanie naruszeń – obowiązki procesora

Zgodnie z RODO podmiot przetwarzający zobligowany jest do zgłaszania naruszeń w zakresie ochrony danych osobowych administratorowi. Ogólne rozporządzenie o ochronie danych nie podaje wyraźnego terminu, w którym podmiot przetwarzający powinien powiadomić administratora, a jedynie stanowi, że musi tego dokonać „bez zbędnej zwłoki”.

Wskazówka 6. Kiedy podmiot przetwarzający zawiadamia o naruszeniu

Grupa Robocza Art. 29 zaleca, by podmiot przetwarzający natychmiast – po powzięciu informacji o naruszeniu – powiadomił administratora i sukcesywnie przekazywał dalsze informacje na ten temat. Jest to ważne, aby administrator mógł wywiązać się z obowiązku powiadomienia organu nadzorczego w ciągu 72 godzin. Co ważne, podmiot przetwarzający może dokonać zgłoszenia w imieniu administratora, jeżeli administrator nadał mu odpowiednie upoważnienie oraz zostało to uregulowane w umowie pomiędzy administratorem a podmiotem przetwarzającym.

Warto zauważyć, że odpowiedzialność prawna w związku ze zgłoszeniem naruszenia ochrony danych osobowych leży po stronie administratora. Dlatego administrator danych, tworząc wewnętrzne procedury dotyczące zgłaszania naruszeń, powinien przewidzieć upoważnienie do zgłaszania naruszeń, do których doszło u procesora, do organu nadzorczego.

Czy trzeba od razu poinformować o wszystkim

Administrator powinien odpowiednio szybko podejmować działania w związku z każdym naruszeniem – bez zbędnej zwłoki. Jeżeli nie jest w stanie udzielić w tym samym czasie organowi nadzorczemu wszystkich informacji związanych z naruszeniem danych osobowych, to może udzielać ich sukcesywnie.

W zależności od charakteru naruszenia konieczne może okazać się dalsze zbadanie sprawy przez administratora w celu ustalenia wszystkich istotnych faktów związanych ze zdarzeniem. Ogólne rozporządzenie o ochronie danych zakłada zatem, że administratorzy nie zawsze będą dysponować wszystkimi potrzebnymi informacjami dotyczącymi naruszenia w ciągu 72 godzin od jego stwierdzenia. Dlatego też dopuszcza możliwość powiadamiania sukcesywnego.

Wskazówka 7. Jak sukcesywnie powiadamiać o naruszeniu

W ciągu 72 godzin od wykrycia naruszenia administrator powiadamia organ nadzorczy np. o utracie płyty CD zawierającej kopię danych osobowych jego klientów. Później niewłaściwie oznaczona płyta zostaje odnaleziona w lokalu administratora, a jej zawartość odzyskana. Administrator przekazuje organowi nadzorczemu aktualne informacje i prosi o zmianę powiadomienia.

Gdy o naruszeniu powiadomiono z opóźnieniem

Ogólne rozporządzenie o ochronie danych stanowi, że do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin należy dołączyć wyjaśnienie przyczyn opóźnienia. Oznacza to, że w przypadku gdy zgłoszenie nie jest możliwe do zrealizowania przez administratora, może on przekroczyć termin 72 godzin. Przykładowo, kiedy zgłoszenie wpłynie do administratora w dzień wolny od pracy, proces weryfikacji naruszenia może znacznie się opóźnić.

Wskazówka 8. Co zrobić, żeby nie opóźniać się z zawiadomieniem

Mimo że RODO dopuszcza możliwość opóźnienia zgłoszenia naruszenia, nie należy uznawać tej możliwości za rozwiązanie w zwykłym trybie. Dlatego chcąc uniknąć sytuacji związanej z opóźnieniem zgłoszenia naruszenia, administrator tworząc wewnętrzne procedury dotyczące zgłaszania naruszenia ochrony danych, powinien dokonać stosownej analizy ryzyka, aby dostosować system zgłaszania naruszeń do rodzaju prowadzonej działalność, wielkości oraz struktury jednostki organizacyjnej (np. oddziały), a także do wielkości zasobów ludzkich, jakimi dysponuje.

Pod uwagę należy wziąć również częstotliwość i regularność (np. przetwarzanie odbywa się w ściśle określony dzień miesiąca, jak w przypadku wypłaty wynagrodzeń) występowania potencjalnych naruszeń w obszarze ochrony danych osobowych.

W przypadku, gdy wyniki analizy ryzyka wykażą, że naruszenia w obszarze ochrony danych osobowych występują najczęściej np. w dni wolne od pracy (weekend) lub w godzinach po zakończeniu pracy, to administrator powinien uwzględnić ten fakt podczas wdrażania wewnętrznej procedury zgłaszania naruszeń, np. wprowadzając dyżury w określonych godzinach.

Kiedy informować osoby, których dane dotyczą

Administrator jest zobowiązany zawiadomić osobę, której dane dotyczą, jeżeli naruszenie ochrony danych osobowych mogłoby spowodować wysokie ryzyko naruszenia jej praw. Głównym celem takiego powiadamiania jest ochrona osób fizycznych przed negatywnymi skutkami naruszenia. Zgodnie z RODO administrator powinien udzielić tym osobom informacji, takich jak:

  • opis charakteru naruszenia,
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego,
  • opis prawdopodobnych skutków naruszenia,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Wskazówka 9. Jak zawiadomić o naruszeniu osoby, których dane dotyczą

Administrator danych powinien wybrać metodę zawiadomienia osoby fizycznej. W celu uniknięcia ryzyka związanego z niewłaściwą komunikacją z osobami, których dane zostały naruszone, powinien on opracować stosowne procedury komunikacji i zawiadamiania osób fizycznych o naruszeniach dotyczących ich danych osobowych.

Jak ocenić ryzyko naruszenia praw i wolności

Według Grupy Roboczej Art. 29 administrator po stwierdzeniu naruszenia powinien nie tylko zminimalizować skutki zdarzenia, ale także ocenić ryzyko, jakie może ono spowodować. Pomoże mu to podjąć skuteczne działania w celu ustalenia, czy konieczne jest powiadomienie organu nadzorczego. Ryzyko jest obecne, kiedy naruszenie danych może skutkować szkodą dla osób fizycznych (materialną, niematerialną lub fizyczną).

Jako przykłady takiej szkody Grupa Robocza Art. 29 wymienia: dyskryminacje, kradzież tożsamości lub oszustwo dotyczące tożsamości, naruszenie dobrego imienia. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, wyroków skazujących i naruszeń prawa lub związanych z nimi środków bezpieczeństwa, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

Wskazówka 10. Co zrobić po stwierdzeniu naruszenia

Po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zminimalizować skutki zdarzenia oraz ocenić ryzyko, jakie może ono spowodować.

Podstawa prawna: 
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
  • wytyczne w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679 (WP250).
Jowita Sobczak

Autor: Jowita Sobczak

ekspert ds ochrony danych osobowych, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze GIODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel