Opracuj procedurę postępowania w przypadku naruszenia ochrony danych

Monika Brzozowska-Pasieka

Autor: Piotr Janiszewski

Dodano: 11 września 2017
Przygotuj się do rodo. Opracuj procedurę postępowania w przypadku naruszenia ochrony danych

Ogólne rozporządzenie o ochronie danych (RODO) nakłada na administratorów obowiązek zgłaszania naruszeń ochrony danych organowi nadzorczemu, a w niektórych przypadkach także osobom, których dane dotyczą. Można już zacząć przygotowywać się do realizacji tych obowiązków, np. przygotowując wewnętrzną procedurę postępowania w przypadku naruszenia. Sprawdź, jakie elementy warto w niej zawrzeć.

Naruszenie ochrony danych to zgodnie z ogólnym rozporządzeniem o ochronie danych (ogólne rozporządzenie, RODO) to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ogólne rozporządzenie nakłada na administratorów obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu.

Doszło do naruszenia – trzeba zgłosić je organowi nadzorczemu

Należy zwrócić uwagę na bardzo krótki czas pozostawiony na zgłoszenie naruszenia organowi nadzorczemu. Zgodnie z RODO administrator danych powinien zgłosić naruszenie organowi nadzorczemu bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia”. Jeśli nie zgłosi naruszenia w tym terminie, do zgłoszenia naruszenia będzie musiał dołączyć wyjaśnienia dotyczące przyczyny opóźnienia.

Ważne:

Obowiązek zgłoszenia naruszenia będzie ciążył również na podmiocie przetwarzającym, przy czym nie będzie on zgłaszał naruszenia bezpośrednio organowi nadzorczemu, a tylko administratorowi danych, który następnie zgłosi naruszenie do organu nadzorczego. Podmiot przetwarzający zobowiązany będzie do zgłoszenia naruszenia administratorowi bez zbędnej zwłoki.

Przepisy ogólnego rozporządzenia określają minimum informacji, które powinny znaleźć się w zgłoszeniu naruszenia organowi nadzorczemu. Zgodnie z nimi zgłoszenie musi:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Uwaga

Ogólne rozporządzenie o ochronie danych nie określa formy, w jakiej należy zgłosić naruszenie (papierowa czy elektroniczna) oraz nie wprowadza wzoru zgłoszenia. Obecnie nie są znane również żadne projekty prawa krajowego określające wzór takiego zgłoszenia. Należy się jednak spodziewać, że przyszły organ nadzorczy udostępni odpowiednie narzędzie umożliwiające dokonywanie zgłoszeń w formie elektronicznej.

Jakich naruszeń nie trzeba będzie zgłaszać

Administratorzy danych będą musieli samodzielnie ocenić, czy wystąpienie naruszenia wiąże się z ryzykiem naruszenia praw lub wolności osób fizycznych i w związku z tym, czy zgłaszać naruszenie, czy nie. Z obowiązku zgłoszenia zostały bowiem zwolnione te naruszenia, wobec których zachodzi małe prawdopodobieństwo, że naruszą te prawa i wolności. Z pomocą przychodzi tutaj motyw 75 RODO, który wylicza dosyć szczegółowo skutki przetwarzania danych, które mogą powodować ryzyko naruszenia praw i wolności osób. Będą nimi skutki przetwarzania danych prowadzące np. do:

  • kradzieży tożsamości,
  • straty finansowej,
  • naruszenia dobrego imienia,
  • naruszenia poufności danych chronionych tajemnicą zawodową,
  • utraty przysługujących osobom praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi oraz
  • ujawnienia danych wrażliwych.

Kogo jeszcze trzeba będzie zawiadomić o naruszeniu

Kolejnym, przewidzianym przez ogólne rozporządzenie, obowiązkiem, który będzie musiał zrealizować administrator danych, będzie obowiązek poinformowania o naruszeniu danych osoby, której dane dotyczą. Obowiązek ten będzie istniał jednak tylko wtedy, kiedy incydent naruszenia ochrony danych będzie mógł powodować wysokie ryzyko naruszenia praw lub wolności tej osoby. Zatem administrator danych po raz kolejny zostanie zmuszony do samodzielnej, niełatwej oceny dotyczącej zachodzącego ryzyka. Zawiadomienia takiego powinien dokonać bez zbędnej zwłoki, opisując jasnym i prostym językiem charakter naruszenia. Musi ono ponadto zawierać treści określone w trzech ostatnich punktach wymaganych dla zgłoszenia naruszenia organowi nadzorczemu.

Kiedy nie trzeba będzie informować o naruszeniu osoby, której dane dotyczą

Nikt nie lubi przyznawać się do błędu. Słowa te nabierają szczególnego znaczenia, gdy naruszenie dotyczy np. sporej liczby klientów przedsiębiorcy. Poinformowanie klientów o naruszeniu może skutkować utratą ich zaufania i w efekcie ich stratą. Jednak ogólne rozporządzenie pozostawia administratorom danych furtkę. Zawiadamianie osób o naruszeniu ich danych nie będzie konieczne w przypadkach, gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zastosował do danych osobowych, których dotyczy naruszenie. W szczególności chodzi o takie środki jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym danych osobowych i dostęp do nich. Warunkiem jest też to, że administrator danych ma zastosować następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

Ważne:

W sytuacji, w której zawiadomienie wymagałoby niewspółmiernie dużego wysiłku, administrator może wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane o naruszeniu w równie skuteczny sposób.

Jakie będą konsekwencje niezgłoszenia naruszenia

Za niewykonanie każdego z tych obowiązków – zgłoszenie naruszenia organowi nadzorczemu i powiadomienie o nim osoby, której dane dotyczą – będzie groziła ogromna kara pieniężna. Taryfikator z ogólnego rozporządzenia określa ją na kwotę w wysokości do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie będzie miała wyższa kara). Zatem można się spodziewać, że grożąca kara będzie miała istotne znaczenie dla podjęcia decyzji przez wahającego się administratora, czy naruszenie podlega obowiązkowi zgłoszenia oraz powiadomieniu osoby, której dane dotyczą.

Zacznij przygotowania do realizacji tego obowiązku

Choć procedura zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o naruszeniach osób, których dane dotyczą, powinna być elementem kodeksu postępowania, o którym mowa w art. 40 ogólnego rozporządzenia o ochronie danych, to posiadanie takiego kodeksu nie będzie obowiązkiem administratora danych. Dlatego, jeśli administrator nie będzie miał zatwierdzonego kodeksu postępowania, warto by wprowadził wewnętrzne procedury postępowania w przypadku naruszenia ochrony danych. Jest to istotne również z tego powodu, że ogólne rozporządzenie nakłada na administratora obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym ich okoliczności, skutków oraz podjętych działań zaradczych.

PRZYKŁAD

Elementy wewnętrznej procedury postępowania w przypadku naruszenia ochrony danych
1. Określenie, jakie zdarzenia mogą stanowić naruszenia ochrony danych osobowych, przy uwzględnieniu specyfiki danego administratora (na podstawie definicji naruszenia ochrony danych).
2. Sposób reagowania na naruszenia przez pracowników, którzy je ujawnili. Powinien się tu znaleźć:

  • obowiązek niezwłocznego poinformowania o zdarzeniu osoby nadzorującej (powinien to być inspektora ochrony danych, a w przypadku gdy nie został wyznaczony inna osoba upoważniona przez administratora lub sam administrator danych),
  • obowiązek pozostawienia miejsca zdarzenia w stanie nienaruszonym do czasu przybycia inspektora ochrony danych lub innej osoby nadzorującej.

3. Obowiązki inspektora ochrony danych lub innej osoby odpowiedzialnej związane z dokumentowaniem okoliczności naruszenia, tj.:

  • sporządzenie notatki z przeprowadzonych oględzin miejsca zdarzenia,
  • sporządzenie kopii obrazu wyświetlonego na ekranie monitora komputera związanego z naruszeniem,
  • sporządzenie kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych lub zapisów konfiguracji technicznych środków zabezpieczeń systemu,
  • odebranie pisemnych wyjaśnień od osoby, która ujawniła naruszenie.

4. Obowiązek niezwłocznego przedstawienia zebranych materiałów administratorowi danych, który z pomocą inspektora ochrony danych, w terminie i na podstawie przesłanek określonych w ogólnym rozporządzeniu o ochronie danych powinien ocenić, czy zaistniałe naruszenie podlega obowiązkowi zgłoszenia organowi nadzorczemu oraz powiadomieniu osoby, której dane dotyczą.
5. Obowiązek przedstawienia administratorowi przez inspektora ochrony danych skutków naruszenia oraz środków i działań mających zaradzić naruszeniu, a także, jeżeli to konieczne, mających zminimalizować negatywne skutki naruszenia.
6. Jeżeli istnieje taki obowiązek – sporządzenie zgłoszenia do organu nadzorczego oraz zawiadomienia do osoby, której dane dotyczą.
7. Udokumentowanie skutków oraz podjętych środków i działań, o których mowa w pkt 5.

Monika Brzozowska-Pasieka

Autor: Piotr Janiszewski

radca prawny, prezes zarządu Auraco sp. z o.o. Audytem w obszarze ochrony danych osobowych zajmuje się od lat. Doświadczony Administrator Bezpieczeństwa Informacji i trener. Certyfikowany audytor wewnętrzny według normy ISO 27001. Uczestnik inspekcji oraz postępowań administracyjnych prowadzonych przez GIODO. Autor licznych artykułów i opracowań dotyczących tematyki ochrony danych osobowych. Ekspert w zakresie informacji publicznej i tajemnicy przedsiębiorstwa

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel