Jakie nowe obowiązki informacyjne będzie miał administrator danych zgodnie z rodo

Monika Brzozowska-Pasieka

Autor: Piotr Janiszewski

Dodano: 22 grudnia 2016
Zgłaszanie naruszenia ochrony danych osobowych w rodo

W Twoim podmiocie doszło do naruszenia zasad ochrony danych osobowych? Gdy ogólne rozporządzenie o ochronie danych zacznie obowiązywać będziesz musiał powiadomić o tym GIODO, a w niektórych sytuacjach także osoby, których dane są zagrożone. Zobacz, jak w praktyce będziesz musiał realizować ten obowiązek.

Na przestrzeni ostatnich kilkudziesięciu lat ilość przetwarzanych danych osobowych stale rośnie. Wynika to z integracji społeczno-gospodarczej państw członkowskich Unii Europejskiej, która spowodowała zwiększenie transgranicznych przepływów danych osobowych oraz rozwoju nowych technologii. W konsekwencji wzrostu wymiany danych osobowych pomiędzy podmiotami publicznymi a prywatnymi konieczne stało się wypracowanie jednolitych uregulowań prawnych dotyczących kwestii ochrony danych osobowych.

Po co powstało nowe rozporządzenie

Wielkimi krokami zbliża się termin wejścia w życie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej rozporządzenie) oraz uchylenia dyrektywy 95/46/WE. 

Głównym celem wprowadzenia rozporządzenia jest ujednolicenie przepisów dotyczących ochrony danych osobowych obowiązujących na terenie Unii Europejskiej. Aktualne przepisy regulujące tę kwestię nie są wystarczająco spójne. Może to powodować ich kolizję, a w konsekwencji obniżenie poziomu ochrony danych osobowych. Wynika to z tego, że dyrektywa 95/46/WE zawiera tylko ogólne wymogi dotyczące zasad ochrony i przetwarzania danych osobowych. Państwa członkowskie często w sposób odmienny interpretowały i wdrażały te postanowienia. 

Kolejny duży problem, z jakim borykają się obowiązujące uregulowania prawne dotyczące ochrony danych, to ich niedostosowanie do aktualnego poziomu rozwoju technologii, w szczególności nowych sposobów przetwarzania danych z wykorzystaniem Internetu.

Jakie będą zadania ADO związane z bezpieczeństwem danych

W preambule rozporządzenia czytamy: „Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich (…)”.

Moim zdaniem źródła wprowadzenia obowiązku zgłaszania naruszeń systemu ochrony danych osobowych należy doszukiwać się w dążeniu do realizacji zasady bezpieczeństwa. Można postawić pytanie, czy faktycznie ten obowiązek służy realizacji tej zasady, skoro konieczność zgłoszenia naruszenia aktualizuje się dopiero w momencie, gdy do incydentu już doszło.

Bardzo często naruszenia godzące w bezpieczeństwo informacji trwają dłuższy czas, a ich konsekwencje pojawiają się dopiero po usunięciu danego naruszenia. Jeśli zatem otrzymamy np. informację o włamaniu do bazy danych usługodawcy i będziemy w stanie szybko zareagować, zmieniając skompromitowane hasło do innych usług – możemy dzięki takiej informacji ustrzec się przed poniesieniem poważnych szkód.

Rozporządzenie zarówno na administratora danych, jak i na podmiot przetwarzający nakłada obowiązki związane z zapewnieniem bezpieczeństwa przetwarzania danych osobowych. I tak, podmioty te powinny m.in.:

  • szyfrować dane osobowe,
  • regularnie sprawdzać i oceniać skuteczność bezpieczeństwa systemów, w których dane są przetwarzane,
  • wprowadzać procedury, które pozwolą na zwiększenie poziomu bezpieczeństwa przetwarzania danych.

Do zadań ADO należy także ocena bezpieczeństwa przetwarzania danych oraz wdrożenie odpowiednich rozwiązań, które pozwolą na wyeliminowanie zagrożeń związanych z ich przetwarzaniem. ADO powinien stale czuwać nad tym, aby systemy, w których dane osobowe są przetwarzane, spełniały wymogi bezpieczeństwa wynikające z rozporządzenia.

Czy teraz musisz informować o naruszeniu ochrony danych osobowych

Skoro informowanie o incydentach godzących w bezpieczeństwo danych jest tak ważne dla osób, których dane dotyczą, czy aktualnie obowiązujące w Polsce przepisy przewidują taki obowiązek?

Takie pytanie otrzymałem niedawno od przedstawiciela międzynarodowej korporacji, który chciał się dowiedzieć, komu i w jakim terminie, zgodnie z polskimi przepisami, należy zgłosić naruszenie zasad ochrony danych osobowych.

Otóż aktualnie żaden z przepisów ustawy o ochronie danych osobowych nie nakłada na administratora danych osobowych obowiązku informowania o naruszeniach systemu ochrony danych. Podobny obowiązek został uregulowany w prawie telekomunikacyjnym.

Artykuł 174a ustawy Prawo telekomunikacyjne mówi o tym, że „(…) dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia”.

Omawiany przepis definiuje w ust. 2 pojęcie naruszenia danych osobowych. Zgodnie z nim naruszeniem jest „(…) przypadkowe lub bezprawne zniszczenie, utrata, zmiana, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego, w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych.”

Naruszeniem może być również działanie, które wywrze niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną. Naruszenie to może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej.

Ustawodawca nakłada obowiązek powiadomienia nie tylko GIODO, ale również i samego abonenta lub użytkownika końcowego będącego osobą fizyczną, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa takiej osoby.

Ustawodawca jednocześnie nie nakłada obowiązku zawiadomienia, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona.

Uwaga

Od wprowadzenia nowelizacji Prawa telekomunikacyjnego (od marca 2013 roku) doszło w naszym kraju do wielu naruszeń podlegających obowiązkowi powiadomienia GIODO. Jednym z takich przykładów był wyciek danych osobowych klientów jednego z operatorów telekomunikacyjnych. W związku z próbą sprzedaży danych policja zatrzymała 3 osoby. GIODO poza ustaleniem przyczyn powstania naruszenia badał również, czy operator dochował należytej staranności i poinformował o tym zdarzeniu swoich klientów.

Jak obowiązek zgłaszania naruszeń wygląda w rodo

Wracając do nowych unijnych przepisów. Jakie obowiązki związane ze zgłaszaniem naruszeń nakładają na administratora danych nowe uregulowania? Jakie działania powinien podjąć? Zgodnie z art. 33 ust. 1 rozporządzenia:

„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”.

Nowe przepisy nakładają na administratora danych obowiązek zgłoszenia naruszenia. Oznacza to, że na każdym administratorze danych, od momentu wejścia w życie rozporządzenia, będzie spoczywał obowiązek poinformowania o dojściu do takiego zdarzenia.

Od tej zasady jest jednak przewidziany wyjątek. Dotyczy on sytuacji, gdy administrator danych stwierdzi, że istnieje małe prawdopodobieństwo, by zdarzenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. ADO ma także ograniczony czas na przesłanie omawianego zgłoszenia.

Brak przesłania zgłoszenia w wymaganym terminie jest naruszeniem obowiązków ADO. W razie przekroczenia terminu do dokonania powiadomienia administrator danych jest obowiązany dodatkowo wyjaśnić przyczyny opóźnienia. Przekroczenie terminu nie zwalnia administratora danych z obowiązku zgłoszenia naruszenia.

A co, jeśli do incydentu dojdzie u procesora

Co, jeśli incydent godzący w bezpieczeństwo danych osobowych wydarzy się w ramach działalności przetwarzającego (procesora)? Omawiany artykuł rozporządzenia reguluje także tę kwestię.

Podmiot przetwarzający powinien w momencie stwierdzenia naruszenia systemu ochrony danych osobowych bez zbędnej zwłoki zgłosić naruszenie administratorowi danych. To z kolei ma pozwolić administratorowi danych na realizację ciążącego na nim obowiązku.

Aby administrator danych (i podmiot przetwarzający dane osobowe) mógł w razie wystąpienia naruszenia w terminie zgłosić je odpowiednim podmiotom, należałoby wdrożyć odpowiednią procedurę dotyczącą reagowania na tego typu zdarzenia. Taka procedura powinna zostać opracowana i stosowana przez każdego administratora danych, niezaprzeczalnie służy bowiem poprawie bezpieczeństwa danych osobowych.

Taka procedura powinna zawierać oznaczenie osoby, która będzie zobowiązana przesłać do organu nadzoru zgłoszenie o naruszeniu, np. w przypadku nieobecności inspektora ochrony danych osobowych. Ważne, by procedura zobowiązywała każdego pracownika do informowania o ujawnieniu naruszania.

Te wytyczne mogą być częścią ogólnej procedury dotyczącej reagowania na incydenty godzące w bezpieczeństwo danych osobowych, a więc regulować również sposób dokumentowania naruszenia oraz wdrażanie zaleceń naprawczych. Wybór odpowiedniego sposobu zgłoszenia organowi nadzorczemu wykrytego naruszenia może budzić kontrowersje w praktyce.

Artykuł 33 rozporządzenia nie określa formy zgłoszenia, a więc powstaje wątpliwość czy administrator danych powinien dokonać takiego zgłoszenia pisemnie, czy skuteczne byłoby także powiadomienie za pomocą poczty elektronicznej lub ustne.

Należy przyjąć, że zgłoszenie powinno być dokonane w taki sposób i w takiej formie, które pozwolą odbiorcy zapoznać się z jego treścią. Dla celów dowodowych wskazane jest, by podmiot zgłaszający naruszenie posiadał potwierdzenie realizacji ciążącego na nim obowiązku.

4 elementy, które muszą znaleźć się w zgłoszeniu naruszenia danych osobowych

Zgłoszenie naruszenia powinno w swojej treści:

  1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
  2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
  4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Ważnym elementem zawiadomienia jest informacja dotycząca możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków zaproponowanych i zastosowanych przez administratora danych.

W tym kontekście kluczowe może okazać się posiadanie oraz wdrożenie kodeksów postępowań oraz zatwierdzonych mechanizmów certyfikacji przez administratora danych, jak również opracowanie procedur związanych z reagowaniem na zagrożenia godzące w bezpieczeństwo danych osobowych.

Czy musisz informować osoby, których dane są zagrożone o naruszeniu

Administrator danych ma w pewnych sytuacjach obowiązek zawiadomienia o naruszeniu bezpieczeństwa osoby, której danych incydent dotyczy.

W myśl art. 34 ust. 1 rozporządzenia:

„Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.

Mimo że administrator powinien zawiadomić organ nadzorczy o wystąpieniu naruszenia, to jednocześnie powinien on zwrócić się z takim zawiadomieniem również bezpośrednio do osoby, której danych osobowych incydent dotyczy.

Administrator danych powinien dokonać takiego powiadomienia, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W innych sytuacjach administrator danych jest zwolniony z takiego obowiązku.

Przepis nie określa dokładnie terminu oraz sposobu takiego powiadomienia. Naruszenie powinno jednak zostać zgłoszone bez zbędnej zwłoki. Z tego obowiązku jest zwolniony podmiot przetwarzający.

Zawiadomienie, jakie powinna otrzymać osoba, której dotyczy incydent, różni się od tego, które otrzymuje podmiot nadzorczy. Charakter naruszenia powinien zostać określony w treści zgłoszenia w sposób jasny i prosty. Podstawowymi elementami takiego zawiadomienia są:

  1. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  2. możliwe konsekwencje naruszenia ochrony danych osobowych,
  3. środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Ważne:

Rozporządzenie nakłada obowiązek na administratora danych oraz podmiot przetwarzający wyznaczenia inspektora ochrony danych w określonych przez przepisy przypadkach. Inspektor ochrony danych to odpowiednik administratora bezpieczeństwa informacji, o którym mowa w polskiej ustawie o ochronie danych osobowych. Artykuł 37 rozporządzenia określa podmioty oraz sytuacje, w których administrator danych oraz podmiot przetwarzający powinien dokonać takiego powołania. Inspektor danych osobowych jest podmiotem niezależnym w stosunku do administratora danych i podmiotu przetwarzającego. Jego głównym zadaniem jest dbanie o przestrzeganie przepisów rozporządzenia.

W tych 3 sytuacjach nie musisz informować podmiotów danych o naruszeniu

Rozporządzenie w art. 34 ust. 3 określa sytuacje, w których administrator danych jest zwolniony z obowiązku zawiadomienia osoby, której danych dotyczy incydent. Dotyczy to przypadków, gdy:

  1. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
  2. administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1,
  3. przesłanie zawiadomienia o naruszeniu wymagałoby poczynienia niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Organ nadzorczy może w określonych sytuacjach zobowiązać administratora danych do zawiadomienia osoby, której dane dotyczą.

Jakie mogą być konsekwencje naruszeń

Warto również wspomnieć o skutkach i konsekwencjach, jakie rodzi naruszenie zasad ochrony danych osobowych. W preambule rozporządzenia czytamy, że:

„Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne”.

Przykład

Jeden z pracowników prywatnej kliniki medycznej w Polsce kradnie bazę danych pacjentów i sprzedaje ją różnym firmom i instytucjom. Skradziona baza danych zawiera poza danymi zwykłymi, takimi jak imię i nazwisko, adres zamieszkania, numer PESEL, również informacje o stanie zdrowia pacjentów. W gronie pacjentów kliniki znajdują się osoby publiczne (np. znani politycy).

W mojej ocenie, pomimo wprowadzenia odpowiednich środków technicznych i organizacyjnych, należałoby powiadomić wszystkich pacjentów tej prywatnej kliniki o dojściu do naruszenia. Odpowiednio szybkie działanie administratora danych (w tym przypadku kliniki medycznej) może spowodować umożliwienie podjęcia przez te podmioty skutecznych działań zapobiegawczych.

Rozporządzenie w rozdziale VIII określa środki ochrony prawnej, odpowiedzialność i sankcje wynikające z nieprawidłowego przetwarzania danych osobowych. Zgodnie z art. 77 każdej osobie, której dane dotyczą, przysługuje prawo do wniesienia skargi do organu nadzorczego w momencie powzięcia wątpliwości, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie.

Natomiast art. 82 ust. 1 mówi o tym, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Przepis ten reguluje odpowiedzialność administratora danych, który odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, wyłącznie gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Organ nadzorczy ma możliwość nałożenia administracyjnej kary pieniężnej na administratora danych, np. w przypadku gdy ten dopuści się naruszenia zasad ochrony danych osobowych. Jeśli ADO zlekceważy obowiązek informacyjny dotyczący naruszenia systemu ochrony danych osobowych, może na niego zostać nałożona kara pieniężna w wysokości w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Monika Brzozowska-Pasieka

Autor: Piotr Janiszewski

radca prawny, prezes zarządu Auraco sp. z o.o. Audytem w obszarze ochrony danych osobowych zajmuje się od lat. Doświadczony Administrator Bezpieczeństwa Informacji i trener. Certyfikowany audytor wewnętrzny według normy ISO 27001. Uczestnik inspekcji oraz postępowań administracyjnych prowadzonych przez GIODO. Autor licznych artykułów i opracowań dotyczących tematyki ochrony danych osobowych. Ekspert w zakresie informacji publicznej i tajemnicy przedsiębiorstwa

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel