Jak zawiadomić podmiot danych o naruszeniu – 5 rad dla ADO
Obowiązkiem administratora danych osobowych, u którego wystąpi naruszenie ochrony danych, jest zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Ale to nie wszystko. W określonych przypadkach konieczne stanie się również poinformowanie o tym naruszeniu osoby, której dane dotyczą. Upewnij się, kiedy takie zawiadomienie jest konieczne, co powinno zawierać i w jakiej formie i terminie je zrealizować.
Nie poprzestawaj na samym zawiadomieniu Prezesa UODO
Jeżeli administrator danych osobowych uzyska informacje o naruszeniu ochrony danych w jego organizacji powinien niezwłocznie ocenić ryzyko naruszenia praw i wolności osób fizycznych, które mogło powstać wskutek tego naruszenia. Ocena taka powinna umożliwić administratorowi podjęcie działań w celu opanowania naruszenia i zminimalizowania jego skutków. Poza tym w oparciu o tę ocenę należy podjąć decyzję co do zawiadomienia o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, ale także podmiotu danych.
Dokonując oceny ryzyka naruszenia praw i wolności osób fizycznych powstałego w wyniku naruszenia ochrony danych, warto uwzględnić kryteria zalecane przez Grupę Roboczą Art. 29 w Wytycznych WP 250 w sprawie powiadomień o naruszeniu ochrony danych.
Ustal, czy zawiadomienie podmiotu danych jest konieczne
Gdy administrator stwierdzi wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, wówczas musi on zawiadomić o tym naruszeniu podmiot danych.
Poinformowanie podmiotu danych nie jest konieczne, gdy administrator stwierdzi jedynie średnie lub małe ryzyko naruszenia ochrony danych. Przy czym w razie stwierdzenia średniego ryzyka nadal należy poinformować Prezesa Urzędu Ochrony Danych Osobowych.
Zawiadomienie podmiotu danych nie jest konieczne także wtedy, gdy:
- administrator podjął działania prewencyjne przed zaistnieniem naruszenia,
- administrator podjął działania zaradcze po wystąpieniu naruszenia,
- zawiadomienie wymagałoby niewspółmiernie dużego wysiłku (przy czym w tym ostatnim przypadku konieczny jest publiczny komunikat o zaistniałym naruszeniu).
Kiedy mamy do czynienia z wysokim ryzykiem naruszenia praw i wolności podmiotu danych? Oczywiście wszystko zależy od okoliczności konkretnego przypadku, niemniej jednak w Wytycznych Grupy Roboczej Art. 29 wskazano przykładowe sytuacje, w których jest bardzo prawdopodobne, że naruszenie wygeneruje wysokie ryzyko dla osób fizycznych. W tych przypadkach można przyjąć, że poinformowanie podmiotu danych będzie konieczne.
- Wiadomość e-mail w ramach marketingu bezpośredniego wysłano do odbiorców w polach „do:” lub „dw:”, tym samym umożliwiając każdemu odbiorcy wgląd w adresy e-mail innych odbiorców.
- Dane osobowe znacznej liczby studentów omyłkowo wysłano do niewłaściwej listy adresowej, na której znajduje się ponad 1000 odbiorców.
- Szpitalna dokumentacja medyczna była niedostępna przez 30 godzin w wyniku cyberataku.
- Administrator prowadzi internetową platformę handlową, a jego klienci znajdują się w wielu państwach członkowskich; platforma pada ofiarą cyberataku i atakujący publikuje w Internecie identyfikatory użytkownika, hasła i historię zakupów.
- Administrator prowadzi usługę internetową, a wyniku cyberataku na tę usługę nastąpił wyciek danych osobowych osób fizycznych.
Z kolei zdaniem Prezesa UODO wysokie ryzyko naruszenia dla podmiotu danych powstanie w sytuacji, w której naruszenie skutkuje:
- dyskryminacją;
- kradzieżą tożsamości;
- oszustwem;
- stratą finansową;
- uszczerbkiem na reputacji;
ewentualnie gdy dotyczy danych wrażliwych.
Bez znaczenia jest to, czy wskutek skutek naruszenia doszło do powstanie uszczerbku fizycznego. Poza tym nie tylko szkoda majątkowa ale także niemajątkowa (krzywda) może wiązać się z koniecznością zawiadomienia o naruszeniu.
Zawiadomienia dokonaj niezwłocznie
Jeżeli administrator wskutek oceny ryzyka ustali, że zawiadomienie podmiotu danych jest konieczne, wówczas powinien on bez zbędnej zwłoki poinformować o naruszeniu osobę, której dane dotyczą, aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Innymi słowy zawiadomienia należy dokonać tak szybko, jak jest to możliwe, aby osoba, której dane dotyczą, mogła podjąć działania zmierzające do uchronienia się przed wszelkimi negatywnymi skutkami naruszenia.
Jak ustalić moment, w którym należy dokonać zawiadomienia? Wskazówka znajduje się w motywach 85 i 87 preambuły RODO, zgodnie należy uwzględnić następujące kryteria:
- charakter i wagę naruszenia ochrony danych osobowych,
- konsekwencje naruszenia oraz niekorzystne skutki dla osoby, której dane dotyczą,
- skutki naruszenia ochrony danych, tj. powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych (m.in. utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież, lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową) lub wszelkie inne znaczne szkody gospodarcze lub społeczne.
Jak wskazuje Prezes UODO, w niektórych przypadkach, gdy jest to uzasadnione oraz zgodne z zaleceniami organów ścigania, administrator danych osobowych może wstrzymać się z wysłaniem zawiadomienia o naruszeniu do osób fizycznych, na które wywiera ono wpływ, do momentu, w którym takie zawiadomienie nie zaszkodzi takim postępowaniom (np. w sytuacji określonej w art. 45 ust. 6 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
W zawiadomieniu ujmij wszystkie wymagane elementy
Informacja o naruszeniu kierowana do podmiotu danych powinna zawierać co najmniej poniższe elementy:
- opis charakteru naruszenia ochrony danych osobowych;
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia oraz
- opis środków zastosowanych lub proponowanych przez administratora danych osobowych w celu zaradzenia naruszeniu (w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków).
Co istotne, zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych. Innymi słowy należy je zredagować tak, by podmiot danych zrozumiał charakter naruszenia i wiedział, jakie działania musi podjąć w celu wyeliminowania lub ograniczenia jego negatywnych skutków. Z tego względu administrator powinien:
- stosować krótkie, jasne i spójne komunikaty oraz zalecenia dla podmiotu danych,
- dostosować treść i formę zawiadomienia do okoliczności faktycznych oraz grupy odbiorców, do której zawiadomienie będzie skierowane.
Opis charakteru naruszenia powinien jednak nie tylko spełniać warunek jasności i zwięzłości, ale także na tyle szczegółowy, aby podmiot danych zrozumiał, co stało się z jego danymi, jakie były tego przyczyny oraz jakie to ma dla niego konsekwencje.
Analogiczne warunki powinien spełniać opis możliwych konsekwencji naruszenia.
Zgodnie ze wskazówkami Prezesa UODO wskazanie konsekwencji powinno przybrać formę opisu skierowanego bezpośrednio do osoby, na którą naruszenie ochrony danych wywiera wpływ. Nie wystarcząogólne i lakoniczne sformułowania, takie jak uszczerbek fizyczny, strata finansowa czy kradzież tożsamości.
Przykładowe opisy konsekwencji naruszenia w zawiadomieniu do podmiotu danych:
- Osoby trzecie mogą podjąć próbę uzyskania na Pani/Pana szkodę, pożyczek w instytucjach pozabankowych np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości.
- Osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o Pani/Pana stanie zdrowia, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL.
- Pani/Pana dane osobowe mogą zostać wykorzystane np. do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego, tym samym skorzystać z Pani/Pana praw obywatelskich;
- Pani/Pana dane osobowe mogą zostać wykorzystane przez osobę trzecią do próby wyłudzenia ubezpieczenia;
- osoby trzecie mogą podjąć próbę zawarcia na Pani/Pana szkodę umów cywilno-prawnych, np. najmu nieruchomości;
- Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu.
Jak wskazuje Prezes UODO, w celu zapewnienia przejrzystości administrator w treści zawiadomienia powinien oddzielić opis i charakter naruszenia od opisu możliwych konsekwencji, środków zaradczych czy danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.
W zawiadomieniu należy również wymienić konkretne realizowane przez administratora środki zaradcze. Nie wystarczą więc ogólne zapewnienia, deklaracje czy informacje o podjęciu „wszelkich możliwych działań”. Oprócz tego administrator powinien przedstawić podmiotowi danych konkretne wskazówki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych.
Administrator może zalecić podmiotowi danych:
- konieczność zmiany haseł dostępu;
- rozważenie zastrzeżenia dokumentu tożsamości;
- rozważenie założenia konta w systemie informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia danych przed nieuprawnionym wykorzystaniem.
Nie zawsze musisz dokonywać bezpośredniego zawiadomienia
Nie zawsze jednak zawiadomienie o naruszeniu ochrony danych musi być kierowane bezpośrednio do osoby, której te dane dotyczą. Jeżeli bowiem dokonanie takiego zawiadomienia wymagałoby niewspółmiernie dużego wysiłku, wówczas administrator może ograniczyć się do wydania publicznego komunikatu lub zastosowania podobnego środka, za pomocą którego podmioty danych zostaną poinformowane w równie skuteczny sposób. Forma tego zawiadomienia nie została jednak sprecyzowana (publiczny komunikat jest tylko jednym z rozwiązań). Niemniej jednak administrator danych powinien być w stanie wykazać, że spełnił ciążący na nim w tym zakresie obowiązek. Tak jak w przypadku zawiadomienia indywidualnego, należy tu uwzględnić sposób komunikacji z podmiotem danych, rodzaj danych kontaktowych, którymi dysponuje administrator, a także czas przekazania podmiotowi danych wymaganych informacji.
Jak zaleca w swoich Wytycznych Grupa Robocza Art. 29 należy zawiadamiać o naruszeniu za pomocą specjalnie do tego przeznaczonych wiadomości. Powinno się także unikać przesyłania zawiadomienia z innymi informacjami takimi jak regularne aktualizacje, biuletyny lub standardowe wiadomości. Odpowiednim rozwiązaniem jest:
- komunikacja bezpośrednia (np. wiadomości e-mail, SMS, wiadomości bezpośrednie),
- rzucające się w oczy bannery lub powiadomienia na stronach internetowych,
- komunikacja pocztowa,
- wyraziste reklamy w mediach drukowanych.
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
- Kody QR a bezpieczeństwo danych osobowych
- Skarga do WSA na decyzję UODO – jak ją złożyć
- RODO a KZP - zasady przetwarzania danych osobowych w kasie zapomogowo-pożyczkowej
- RODO w marketingu - ochrona danych osobowych przetwarzanych w celach marketingowych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
