Które naruszenia ochrony danych trzeba zgłaszać do organu nadzorczego

Agnieszka Sztuwe

Autor: Agnieszka Sztuwe

Dodano: 15 marca 2018
Które naruszenia ochrony danych trzeba zgłaszać do organu nadzorczego

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) administrator będzie miał obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. Dowiedz się, jakie zdarzenia będzie trzeba zakwalifikować jako naruszenia i zawiadomić o nich organ nadzorczy.

Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO). Przykładowym naruszeniem może być kradzież płyty CD z danymi pacjentów kliniki stomatologicznej. Zgodnie z opinią 03/2014 Grupy Roboczej Art. 29 naruszenia można podzielić na trzy grupy:

1) „confidentiality breach” (można przetłumaczyć jako naruszenie tajemnicy), gdy dochodzi do nieuprawnionego lub przypadkowego wyjawienia lub dostępu do danych osobowych,

2) „availability breach” (można przetłumaczyć jako naruszenie dostępu), gdy dochodzi do nieuprawnionej lub przypadkowej utraty dostępu do danych osobowych albo do ich zniszczenia,

3) „integrity breach” (można przetłumaczyć jako naruszenie integralności), gdy dochodzi do nieuprawnionej lub przypadkowej zmiany danych osobowych.

Zgłaszanie naruszeń ochrony danych organowi nadzorczemu jest nowym obowiązkiem, który zostanie nałożony przez RODO na wszystkie podmioty będące administratorami. Zgodnie z polskimi przepisami jedynie przedsiębiorcy z branży telekomunikacyjnej są zobowiązani zgłosić naruszenie do GIODO na specjalnie udostępnionym przez ten organ formularzu.

Doszło do naruszenia – co trzeba zrobić

Obowiązek zgłaszania naruszeń wynika z art. 33 RODO. Przepis ten stanowi, że w przypadku naruszenia administrator bez zbędnej zwłoki, ale nie później niż w ciągu 72 godzin po jego stwierdzeniu, zgłasza je organowi nadzorczemu (Prezes Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jak wynika z wytycznych Grupy Roboczej Art. 29, każdy administrator powinien samodzielnie ocenić ryzyko naruszenia praw lub wolności osób fizycznych, aby ustalić, czy ma obowiązek zgłosić naruszenie do organu nadzorczego (wytyczne w zakresie zgłaszania naruszeń nie zostały przetłumaczone na język polski). Nie ma przy tym znaczenia, czy utrata danych lub dostępu do nich jest długotrwała, czy krótkotrwała. Administrator powinien ocenić sytuację, zawsze kierując się tym, czy zaistniało ryzyko naruszenia praw lub wolności osób fizycznych.

PRZYKŁAD

W szpitalu doszło do krótkotrwałego pozbawienia dostępu do bardzo ważnych danych pacjentów – to powoduje powstanie ryzyka w zakresie praw pacjentów, ponieważ szpital będzie zmuszony np. odwołać ważną operację – będzie obowiązek zgłoszenia takiego naruszenia.

W przedsiębiorstwie działającym w branży medialnej doszło do kilkunastogodzinnego pozbawienia dostępu do systemu informatycznego, co uniemożliwiło wysyłanie newslettera do subskrybentów – taka sytuacja nie powoduje powstania ryzyka w zakresie praw czy wolności subskrybentów – nie będzie obowiązku zgłoszenia takiego naruszenia (wytyczne Grupy Roboczej Art. 29 s. 7).

Naruszenie trzeba zgłosić bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Kiedy dochodzi do „stwierdzenia naruszenia”? Grupa Robocza Art. 29 wskazuje, że ze „stwierdzeniem naruszenia” będziemy mieli do czynienia, gdy administrator będzie miał racjonalny poziom pewności, że naruszenie doprowadziło do zagrożenia bezpieczeństwa danych osobowych. Oznacza to, że administrator ma czas, aby przeprowadzić „wewnętrzne dochodzenie”, które umożliwi ocenę sytuacji. Dopiero po sprawdzeniu i „stwierdzeniu”, że rzeczywiście doszło do naruszenia, administrator ma 72 godziny, aby zgłosić naruszenie.

Czy podmiot przetwarzający też zgłasza naruszenia

Zgodnie z art. 33 ust. 2 RODO podmiot przetwarzający o naruszeniu bezpieczeństwa musi zawiadomić tylko administratora. Powinien to zrobić bez zbędnej zwłoki w taki sposób, aby administrator miał czas na zgłoszenie naruszenia oraz ustalenie wszystkich informacji. Zgodnie z RODO podmiot przetwarzający powinien współpracować z administratorem w takich przypadkach, a to oznacza, że procesor nie może poprzestać na lakonicznej informacji, że np. wykradziono teczki osobowe pracowników. Powinien ustalić wszystkie niezbędne okoliczności, które pomogą administratorowi w zgłoszeniu oraz innych czynnościach związanych z naruszeniem.

Ważne:

W umowach powierzenia przetwarzania danych osobowych trzeba zawrzeć postanowienia regulujące dokładnie kwestie zawiadamiania administratora przez procesora o naruszeniu, aby administrator mógł prawidłowo wykonać swoje obowiązki i nie narazić się na negatywne skutki.

O czym dokładnie trzeba poinformować organ nadzorczy

Zgodnie z art. 33 ust. 3 RODO zgłoszenie naruszenia ochrony danych musi zawierać co najmniej:

  • opis charakteru naruszenia, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opis możliwych konsekwencji naruszenia;
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym w stosownych przypadkach w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeśli administrator ma więcej informacji, powinien podać je organowi nadzorczemu, aby ten mógł ocenić wagę naruszenia, a także w razie potrzeby wskazać, jakie działania administrator powinien podjąć. Jeśli z jakichś przyczyn administrator przekroczy 72 godziny, powinien wskazać i wyjaśnić przyczyny opóźnienia. Jeśli nie jest w stanie od razu podać tych wszystkich informacji, może udzielać ich sukcesywnie (art. 33 ust. 4 RODO). Może bowiem się okazać, że część informacji administrator będzie mógł uzyskać po przeprowadzeniu skomplikowanych operacji lub przy pomocy specjalistów, co może być możliwe dopiero po pewnym czasie.

Ważne:

RODO nakłada na administratorów wymóg prowadzenia dokumentacji dotyczącej wszelkich incydentów związanych z naruszeniem bezpieczeństwa danych osobowych. ADO nie tylko musi zgłosić naruszenie danych osobowych, ale także udokumentować je w wewnętrznym rejestrze naruszeń. Pozwoli to organowi nadzorczemu na sprawną weryfikację obowiązków notyfikacyjnych.

Jeśli administrator nie zgłosi naruszenia, organ nadzorczy może zastosować środki wskazane art. 58 ust. 2 RODO, karę administracyjną do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (za każde naruszenie!), inne sankcje wynikające z prawa polskiego.

Agnieszka Sztuwe

Autor: Agnieszka Sztuwe

Radca prawny w Kancelarii Adwokatów Naworska Marszałek sp.k. w Toruniu. W praktyce zawodowej zajmuje się obsługą przedsiębiorców, przede wszystkim w zakresie ochrony danych osobowych (z uwzględnieniem RODO). Interesuje się ponadto prawem autorskim, prawem własności przemysłowej. Obsługuje Rolnicze Grupy Producenckie przed organami administracji państwowej. Jest absolwentką Wydziału Prawa i Administracji Uniwersytetu Mikołaja Kopernika w Toruniu (2013). Podczas studiów odbywała praktyki w renomowanych, międzynarodowych kancelariach w Warszawie.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x