Zauważalny został w ostatnim roku wzrost działań zmierzających do poinformowania organów regulacyjnych o potencjalnych problemach z bezpieczeństwem danych.
Czytaj także: Druga kara za naruszenie RODO: związek sportowy zapłaci za nieskuteczne usunięcie danych sędziów
Jeżeli chodzi o Polskę, to praktyka firm dotkniętych naruszeniem danych osobowych nie różni się niczym od przedsiębiorstw europejskich. W odpowiedzi na rosnącą liczbę zawiadomień o naruszeniu związanym z danymi osobowymi, polski organ nadzoru ochrony danych osobowych – UODO wspomaga administratorów danych, udzielając im wskazówek na temat najbardziej istotnych kwestii związanych z nowymi obowiązkami wynikającymi z Rozporządzenia RODO.
O czym trzeba informować
Zgodnie z RODO naruszenie musi zostać zgłoszone organowi, jeżeli może to spowodować zagrożenie związane z naruszeniem praw lub wolności osób fizycznych. Charakter naruszenia danych osobowych może się różnić. Jednak większość zawiadomień o naruszeniu złożonych do tej pory do UODO obejmuje:
- bezprawne ujawnienie danych osobowych (tj. wysyłanie wiadomości e-mail z danymi lub udostępnianie danych medycznych osobom nieupoważnionym);
- utrata lub kradzież laptopów i smartfonów z danymi osobowymi, gdy urządzenia te nie są prawidłowo zabezpieczone;
- niewłaściwe usuwanie zapisów z danymi osobowymi;
- utrata dokumentacji papierowej z danymi osobowymi przez administratora lub jego pracowników;
- ataki hakerów skutkujące nieautoryzowanym dostępem do elektronicznych rekordów danych.
Nadal nie wiadomo, czy zawiadomienia o naruszeniu (lub jego brak) doprowadzą do nałożenia kar przez polski organ nadzorczy. Jak dotąd UODO był dość łagodny, jeżeli chodzi o zastosowanie nowych metod umożliwionych przez RODO. Po 10 miesiącach od powołania UODO, organ nie nałożył kary finansowej na żadną firmę za niezgodność. Może się to oczywiście zmienić w nadchodzących miesiącach.
Jednak, w marcu 2019 Edyta Bielak-Jomaa, ówczesna prezes Urzędu Ochrony Danych Osobowych ogłosiła informację o nałożeniu pierwszej kary za nieprawidłowe przetwarzanie danych osobowych. Z decyzji wynika, że spółka gromadząca ogólnodostępne w Internecie dane osób prowadzących działalność podane przez nich w CEiDG KRS, GUS, CEPiK, Monitorze Sądowym i Gospodarczym tworzyła z tego bazy danych pozwalające na weryfikację wiarygodności tych podmiotów. Według UODO firma przetwarzająca dane osobowe, nie spełniała obowiązku informacyjnego wynikającego z Rozporządzenia, w wyniku czego została na nią nałożona kara w wysokości ponad 943 tys. zł.
Jaka polityka
Dla większości administratorów danych pytanie nie dotyczy tego, czy naruszenie nastąpi i jak można go uniknąć, ale kiedy to nastąpi i jak można złagodzić jego skutki. Z tego powodu UODO kładzie nacisk na środki przygotowawcze i łagodzące, które powinni podjąć administratorzy. Poza wdrożeniem ogólnych środków technicznych i organizacyjnych w celu zabezpieczenia danych (tj. szyfrowania, pseudonimizacji itp.), administratorzy powinni również kłaść nacisk na politykę ukierunkowaną w szczególności na naruszenia danych, wyznaczanie inspektora ochrony danych i podnoszenie świadomości wśród pracowników.
W przypadku naruszenia danych osobowych, dobrze przemyślana i wdrożona polityka reagowania na naruszenie powinna umożliwić administratorowi przeprowadzenie szybkiej i prawidłowej oceny pod względem ryzyka, jakie stanowi ono dla praw i wolności osób fizycznych. Taka polityka powinna zawierać co najmniej przykłady potencjalnych naruszeń danych (istotnych dla konkretnego administratora), etapów zarządzania w przypadku naruszenia wraz z wyznaczeniem obowiązków dla każdego etapu, jasne instrukcje dotyczące działań, które powinni podjąć pracownicy zaangażowani w naruszenie, ustaloną formę komunikacji (zarówno wewnętrzną, jak i z organem nadzorczym i osobami fizycznymi). Ważne jest nie tylko informowanie pracowników o tym, jak mogą zapobiec naruszeniu danych, ale także o tym, co powinni zrobić w przypadku wystąpienia takiego naruszenia.
Przydatny inspektor
Chociaż zgodnie z RODO, wyznaczenie inspektora ochrony danych (IOD) nie jest obowiązkowe, to posiadanie takiej funkcji w organizacji może przyczynić się do zapobiegania naruszeniom danych i złagodzenia ich negatywnych skutków. Inspektor ochrony danych może wspierać administratora w tworzeniu i utrzymywaniu polityki reagowania na naruszenia danych i innej związanej z tym dokumentacji (tj. Rejestrów naruszeń danych). Rolą inspektora ochrony danych powinno być również monitorowanie zgodności z przyjętymi zasadami i procedurami oraz przedstawianie zaleceń dotyczących analizy ryzyka naruszenia danych i oceny skutków. Po wystąpieniu naruszenia IOD może również pełnić rolę punktu kontaktowego dla organu nadzorczego i osób, których dane dotyczą. Wreszcie dzięki regularnym warsztatom i audytowi wewnętrznemu inspektor ochrony danych może odegrać kluczową rolę w podnoszeniu świadomości wśród pracowników, zmniejszając w ten sposób ryzyko naruszenia danych.
Informowanie urzędu
Jeśli dojdzie do naruszenia danych, administrator bez zbędnej zwłoki powiadamia organ nadzoru o naruszeniu, jednakże powinien to zrobić nie później niż 72 godziny po uzyskaniu informacji o tym naruszeniu, chyba że istnieje prawdopodobieństwo, że naruszenie danych osobowych nie spowoduje zagrożenia dla praw i wolności osób fizycznych. Chociaż przepis ten wydaje się dość prosty, w praktyce pozostawia administratorom pole do interpretacji, bowiem zastanawiają się oni na jakiej podstawie mają ocenić ryzyko w stosunku do osób fizycznych, w jakiej formie należy zgłosić naruszenie lub, w jaki sposób należy liczyć czas 72 godzin.
UODO zakomunikował, że wiele zgłoszonych do tej pory zawiadomień o naruszeniu było obarczonych wadą. Często administratorzy nie oceniają prawidłowo ryzyka wynikającego z naruszenia, a zatem ograniczają się do zgłaszania go organom, bez informowania osób. Przykładem naruszenia często niedoszacowanego, może być wyciek bazy danych z zapisami zawierającymi nazwiska i osobiste numery identyfikacyjne (PESEL), które mogłyby zostać wykorzystane do oszustwa lub identyfikacji kradzieży. Inny rodzaj problemu dotyczy nieprzedłożenia wszystkich informacji wymaganych na mocy art. 33 ust. 3 RODO. Administratorzy zwykle opisują naruszenie w sposób niejasny, co utrudnia ocenę ryzyka dla osób fizycznych. Do takich powiadomień zazwyczaj dołączane są błędne informacje o liczbie dotkniętych osób i kategoriach danych lub niewłaściwym czasie naruszenia.
UODO sugeruje, aby każdemu naruszeniu towarzyszyła ocena ryzyka w celu ustalenia, czy istnieje potrzeba zgłoszenia naruszenia organowi nadzorczemu i zainteresowanym osobom. Ocena powinna być przeprowadzona w sposób obiektywny, z pomocą zainteresowanych stron i inspektora ochrony danych. Przy ocenie ryzyka, takiego jak rodzaj naruszenia i dane osobowe, należy również wziąć pod uwagę pewne czynniki, czy tożsamość osób, których dane dotyczą, można łatwo ustalić, liczbę dotkniętych osób lub możliwe konsekwencje naruszenia dla osób fizycznych.
W opinii UODO – czas powiadomienia jest sprawą najwyższej wagi. Poinformowanie osób, których dane dotyczą tak szybko jak to tylko jest możliwe, nie jest tylko istotne ale także buduje zaufanie do działań administratora. Im poważniejsze naruszenie, tym większa odpowiedzialność administratora co do powiadomienia bez zbędnej zwłoki – zarówno organu nadzoru jak i osób fizycznych. Termin „bez zbędnej zwłoki" będzie zatem interpretowany w różny sposób, w zależności od wielkości naruszenia i ryzyka, jakie stanowi ono dla jednostek. Należy również zauważyć, że 72-godzinny termin rozpoczyna się dopiero wtedy, gdy administrator ma wystarczający stopień pewności, że doszło do zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych.
Formularz i treść powiadomienia podlegają zasadniczo uznaniu administratora, jednakże wiadomo również, że powinny one zawierać przynajmniej informacje wymagane w art. 33 ust. 3 RODO. Urząd Ochrony Danych Osobowych udostępnił przykładowy szablon takiego raportu o naruszeniu, który można przesłać zarówno drogą elektroniczną oraz pocztą. Szablon umożliwia wprowadzenie wszystkich wymaganych informacji, ponadto wskazane są w nim przykłady danych osobowych, a także możliwe konsekwencje dla osób, których dane dotyczą. W rzeczywistości UODO zauważa, że administratorzy używający tego właśnie szablonu wykazują tendencję do składania lepszych zawiadomień, pozbawionych typowych błędów. UODO pozwala również administratorom przesyłać częściowe informacje, jeśli w ciągu 72 godzin nie jesteśmy w stanie podać pełnych informacji. Jednakże, w każdej takiej sytuacji administrator powinien być w stanie uzasadnić powody takiego opóźnienia.
Powiadomienia osób, których dane dotyczą
Zgodnie z RODO, w przypadku gdy naruszenie danych osobowych może prowadzić do wysokiego ryzyka dla praw i wolności osób fizycznych, administrator danych powinien, bez zbędnej zwłoki, poinformować o naruszeniu osobę, której dane dotyczą. Ocena ryzyka przeprowadzona przez administratora, powinna dać odpowiedź na pytanie, czy istnieje potrzeba poinformowania osób, których dane dotyczą. Zazwyczaj konieczność informowania tych osób, pojawia się zawsze, gdy istnieje ryzyko wykorzystania danych osobowych do różnego rodzaju oszustw, kradzieży tożsamości, strat finansowych lub dyskryminacji. W przypadku naruszenia tych szczególnych kategorii danych osobowych administratorzy powinni zawsze stwierdzić, że może to spowodować wysokie ryzyko dla ochrony danych osób fizycznych.
Podobnie jak w przypadku zawiadomienia organu nadzorczego, im szybciej osoby, których dane dotyczą zostaną poinformowane o naruszeniu, tym więcej czasu będą miały na podjęcie pewnych środków ostrożności (np. zmiana haseł na konto bankowe), co powinno również zmniejszyć ryzyko szkody. Samo powiadomienie powinno zawierać informacje wymagane w art. 34 ust. 2 RODO. Ponadto nie powinno to być rozwlekłe, a jasne i zrozumiałe, przede wszystkim zrozumiałe dla przeciętnego przedstawiciela osób, których dane dotyczą. UODO sugeruje również, że szablon zawiadomienia o naruszeniu danych osobowych, zawiera instrukcje, w których wskazane są kroki, które należy podjąć w celu zmniejszenia ryzyka.
Sposób informowania osób, których dane dotyczą, leży po stronie administratora. UODO wskazuje, że poinformowanie osób, powinno do nich dotrzeć tak szybko, jak to możliwe. Dlatego w większości przypadków preferowana powinna być forma elektroniczna, zamiast tradycyjnej. Powiadomienia nie należy również maskować jako zwykłej wysyłki (np. newsletter) i powinny mieć odrębny temat i treść związaną z naruszeniem danych. Zwykle wydawanie oświadczenia publicznego lub opublikowanie powiadomienia na blogu firmowym nie będzie uznawane za ważne, chyba że zastosowanie mają wyjątki wymienione w art. 34 ust.4 RODO.
Karolina Król prawnik w kancelarii APLaw Artur Piechocki
Administratorzy danych w Polsce wciąż podejmują nowy obowiązek dotyczący zawiadomienia o naruszeniu danych osobowych, wynikający z RODO. W związku z tym, pojawia się szereg problemów praktycznych, głównie za sprawą języka, którym napisany jest tekst Rozporządzenia. Jednakże wytyczne Europejskiej Rady Ochrony Danych Osobowych oraz polskiego UODO zapewniają nieocenione wsparcie dla administratorów. Wskazówki wskazane w dokumentach są szczególnie potrzebne w odniesieniu do formy i treści zawiadomień o naruszeniach, które jak dotąd stanowiły największy problem dla administratorów w Polsce. Ostatecznie, administratorzy danych powinni zwrócić uwagę na fakt, że zawiadomienia o naruszeniu danych są ważnym narzędziem do komunikowania się z osobami, których dane dotyczą, i do budowania zaufania, zwłaszcza jeśli są one aktualne i dostarczają cennych instrukcji. Administratorzy danych, nie powinni zatem wstydzić się dostarczać szczegółowych i znaczących informacji o naruszeniu, zarówno organom nadzoru jak i osobom, których dane dotyczą. Taka przejrzystość najprawdopodobniej przełoży się również na łagodniejszą reakcję organu nadzorczego rozpatrującego zawiadomienie o naruszeniu danych osobowych.