Jak zawiadomić podmiot danych o naruszeniu – 5 rad dla ADO

Jeżeli administrator danych osobowych uzyska informacje o naruszeniu ochrony danych w jego organizacji powinien niezwłocznie ocenić ryzyko naruszenia praw i wolności osób fizycznych, które mogło powstać wskutek tego naruszenia. Ocena taka powinna umożliwić administratorowi podjęcie działań w celu opanowania naruszenia i zminimalizowania jego skutków. Poza tym w oparciu o tę ocenę należy podjąć decyzję co do zawiadomienia o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, ale także podmiotu danych.

Gdy administrator stwierdzi wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, wówczas musi on zawiadomić o tym naruszeniu podmiot danych.

Zawiadomienie podmiotu danych nie jest konieczne także wtedy, gdy:

• administrator podjął działania prewencyjne przed zaistnieniem naruszenia,
• administrator podjął działania zaradcze po wystąpieniu naruszenia,
• zawiadomienie wymagałoby niewspółmiernie dużego wysiłku (przy czym w tym ostatnim przypadku konieczny jest publiczny komunikat o zaistniałym naruszeniu).

Kiedy mamy do czynienia z wysokim ryzykiem naruszenia praw i wolności podmiotu danych? Oczywiście wszystko zależy od okoliczności konkretnego przypadku, niemniej jednak w Wytycznych Grupy Roboczej Art. 29 wskazano przykładowe sytuacje, w których jest bardzo prawdopodobne, że naruszenie wygeneruje wysokie ryzyko dla osób fizycznych. W tych przypadkach można przyjąć, że poinformowanie podmiotu danych będzie konieczne.

Z kolei zdaniem Prezesa UODO wysokie ryzyko naruszenia dla podmiotu danych powstanie w sytuacji, w której naruszenie skutkuje:

• dyskryminacją;
• kradzieżą tożsamości;
• oszustwem;
• stratą finansową;
• uszczerbkiem na reputacji;

ewentualnie gdy dotyczy danych wrażliwych.

Jeżeli administrator wskutek oceny ryzyka ustali, że zawiadomienie podmiotu danych jest konieczne, wówczas powinien on bez zbędnej zwłoki poinformować o naruszeniu osobę, której dane dotyczą, aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Innymi słowy zawiadomienia należy dokonać tak szybko, jak jest to możliwe, aby osoba, której dane dotyczą, mogła podjąć działania zmierzające do uchronienia się przed wszelkimi negatywnymi skutkami naruszenia.

Jak ustalić moment, w którym należy dokonać zawiadomienia? Wskazówka znajduje się w motywach 85 i 87 preambuły RODO, zgodnie należy uwzględnić następujące kryteria:

• charakter i wagę naruszenia ochrony danych osobowych,
• konsekwencje naruszenia oraz niekorzystne skutki dla osoby, której dane dotyczą,
• skutki naruszenia ochrony danych, tj. powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych (m.in. utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież, lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową) lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Jak wskazuje Prezes UODO, w niektórych przypadkach, gdy jest to uzasadnione oraz zgodne z zaleceniami organów ścigania, administrator danych osobowych może wstrzymać się z wysłaniem zawiadomienia o naruszeniu do osób fizycznych, na które wywiera ono wpływ, do momentu, w którym takie zawiadomienie nie zaszkodzi takim postępowaniom (np. w sytuacji określonej w art. 45 ust. 6 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).

Informacja o naruszeniu kierowana do podmiotu danych powinna zawierać co najmniej poniższe elementy:

• opis charakteru naruszenia ochrony danych osobowych;
• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opis możliwych konsekwencji naruszenia oraz
• opis środków zastosowanych lub proponowanych przez administratora danych osobowych w celu zaradzenia naruszeniu (w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków).

Co istotne, zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych. Innymi słowy należy je zredagować tak, by podmiot danych zrozumiał charakter naruszenia i wiedział, jakie działania musi podjąć w celu wyeliminowania lub ograniczenia jego negatywnych skutków. Z tego względu administrator powinien:

• stosować krótkie, jasne i spójne komunikaty oraz zalecenia dla podmiotu danych,
• dostosować treść i formę zawiadomienia do okoliczności faktycznych oraz grupy odbiorców, do której zawiadomienie będzie skierowane.

Opis charakteru naruszenia powinien jednak nie tylko spełniać warunek jasności i zwięzłości, ale także na tyle szczegółowy, aby podmiot danych zrozumiał, co stało się z jego danymi, jakie były tego przyczyny oraz jakie to ma dla niego konsekwencje.

Analogiczne warunki powinien spełniać opis możliwych konsekwencji naruszenia.

Zgodnie ze wskazówkami Prezesa UODO wskazanie konsekwencji powinno przybrać formę opisu skierowanego bezpośrednio do osoby, na którą naruszenie ochrony danych wywiera wpływ. Nie wystarcząogólne i lakoniczne sformułowania, takie jak uszczerbek fizyczny, strata finansowa czy kradzież tożsamości.

W zawiadomieniu należy również wymienić konkretne realizowane przez administratora środki zaradcze. Nie wystarczą więc ogólne zapewnienia, deklaracje czy informacje o podjęciu „wszelkich możliwych działań”. Oprócz tego administrator powinien przedstawić podmiotowi danych konkretne wskazówki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych.

Nie zawsze jednak zawiadomienie o naruszeniu ochrony danych musi być kierowane bezpośrednio do osoby, której te dane dotyczą. Jeżeli bowiem dokonanie takiego zawiadomienia wymagałoby niewspółmiernie dużego wysiłku, wówczas administrator może ograniczyć się do wydania publicznego komunikatu lub zastosowania podobnego środka, za pomocą którego podmioty danych zostaną poinformowane w równie skuteczny sposób. Forma tego zawiadomienia nie została jednak sprecyzowana (publiczny komunikat jest tylko jednym z rozwiązań). Niemniej jednak administrator danych powinien być w stanie wykazać, że spełnił ciążący na nim w tym zakresie obowiązek. Tak jak w przypadku zawiadomienia indywidualnego, należy tu uwzględnić sposób komunikacji z podmiotem danych, rodzaj danych kontaktowych, którymi dysponuje administrator, a także czas przekazania podmiotowi danych wymaganych informacji.

Jak zaleca w swoich Wytycznych Grupa Robocza Art. 29 należy zawiadamiać o naruszeniu za pomocą specjalnie do tego przeznaczonych wiadomości. Powinno się także unikać przesyłania zawiadomienia z innymi informacjami takimi jak regularne aktualizacje, biuletyny lub standardowe wiadomości. Odpowiednim rozwiązaniem jest:

• komunikacja bezpośrednia (np. wiadomości e-mail, SMS, wiadomości bezpośrednie),
• rzucające się w oczy bannery lub powiadomienia na stronach internetowych,
• komunikacja pocztowa,
• wyraziste reklamy w mediach drukowanych.