Od momentu wejścia w życie RODO (tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; Dz.U.UE.L.2016.119.1 z dnia 2016.05.04), obowiązują szczególne regulacje dotyczące zgłaszania incydentów bezpieczeństwa danych osobowych do Urzędu Ochrony Danych Osobowych (dalej jako: UODO). Niemalże w każdym podmiocie, który przetwarza dane swoich klientów i kontrahentów dochodzi, co jakiś czas, do mniej lub bardziej poważnych zdarzeń powodujących naruszenie ochrony danych osobowych. Incydentów bezpieczeństwa może być w najbliższym czasie jeszcze więcej niż dotychczas, a uwagi na oddelegowanie pracowników do świadczenia pracy zdalnej. Praca poza obszarem organizacji sprzyja nieuwadze, co z kolei przekłada się na występowanie błędów różnych konsekwencjach.
Mając wiedzę o naruszeniu bezpieczeństwa danych osobowych za każdym razem należy dokonać indywidualnej oceny, czy w związku z zaistnieniem takiego zdarzenia doszło do naruszenia praw lub wolności osób fizycznych oraz czy taki incydent powinien być zgłoszony do UODO. Brak podjęcia interwencji w określonym w przepisach czasie stanowi podstawę nałożenia kary finansowej na administratora danych, czyli pracodawcę.
Jednym z wielu przykładów naruszeń bezpieczeństwa i poufności danych osobowych jest wysłanie wiadomości mailowej zawierającej dane osobowe do niewłaściwego odbiorcy. Jak w takiej sytuacji powinna postąpić osoba, która omyłkowo przekazała korespondencję do nieuprawnionego podmiotu? Co zrobić, aby należycie zadbać o interes organizacji i osób, których dane dotyczą przy jednoczesnym spełnieniu wszystkich wymogów wynikających z RODO?
Naruszenia ochrony danych osobowych
W pierwszej kolejności należy zbadać, czy zdarzenie z którym mamy do czynienia podlega pod definicję naruszanie ochrony danych osobowych wedle przepisów RODO. Art. 4 pkt 12 stanowi, że naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Natomiast przepis art. 33 RODO wprowadza obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu – czyli do UODO.
Według wytycznych UODO, aby zakwalifikować zdarzenie jako naruszenie ochrony danych, należy zbadać czy spełnione zostały łącznie trzy przesłanki:
- naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
- skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
- naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
W sytuacji, gdy zostanie wysłana wiadomość e-mail zawierająca dane osobowe innego podmiotu, mamy do czynienia z tak zwanym naruszeniem poufności danych.
Klasyfikacja danych
To, czy doszło do naruszenia bezpieczeństwa danych osobowych, będzie zależeć także od rodzaju danych osobowych, które zostały przesłane do nieuprawnionego podmiotu. Dla przypomnienia, dane osobowe według RODO oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (…) w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Zgłoszenia do właściwego organu należy dokonać w przypadku, w którym udostępnione dane osobowe mogą spowodować ryzyko naruszenia praw lub wolności danej osoby/osób fizycznych. Opierając się na opublikowanym przez UODO dokumencie dotyczącym zgłaszania naruszeń[1], z takim ryzykiem mamy do czynienia w sytuacji gdy, naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Przez szkodę należy rozumieć np. dyskryminację, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utratę poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Dla przykładu w literaturze wskazuje się, że ujawnienie numeru PESEL naraża osobę, której ta dana dotyczy, na stratę finansową, zatem przyjmuje się, że co do zasady wszystkie takie przypadki należy zgłaszać UODO.
Co więcej, jeżeli naruszenie dotyczy udostępnienia danych osobowych wymienionych w art. 9 RODO, tj. danych wrażliwych typu pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub dane genetyczne, dotyczące zdrowia lub życia seksualnego, należy automatycznie uznać, że występuje duże prawdopodobieństwo wystąpienia takiej szkody.
Zatem jeśli w treści wiadomości e-mali lub w załączniku do wiadomości, zawarte były dane osobowe, które mogłyby być wykorzystane przez nieuprawnioną osobę i spowodować jej szkodę, należy takie zdarzenie zakwalifikować jako incydent naruszenia bezpieczeństwa i jak najszybciej podjąć kolejne kroki.
[1] https://uodo.gov.pl/pl/file/2210
Zgłoszenie naruszenia Inspektorowi Ochrony Danych Osobowych
Jeśli w organizacji został wyznaczony Inspektor Ochrony Danych Osobowych (dalej równieżjako IOD), należy bezzwłocznie poinformować go o takim zdarzeniu, podając jak najbardziej szczegółowy opis zdarzenia. Ponadto, informacja powinna zostać przekazana do bezpośredniego przełożonego pracownika, który dopuścił się naruszenia. W odniesieniu do przekazania informacji do UODO o zdarzeniu, kluczowy jest czas, bowiem zgodnie z art. 33 ust. 1 RODO podmiot ma maksymalnie 72 godziny na zgłoszenie incydentu do UODO, od momentu jego stwierdzenia.
W świetle wystąpienia zdarzenia z obszaru ochrony danych osobowych Inspektor Ochrony Danych odpowiedzialny jest przygotować tzw. ocenę skutków wystąpienia incydentu naruszenia bezpieczeństwa danych osobowych. Jeśli w jej następstwie dojdzie do wniosku, że ryzyko naruszenia bezpieczeństwa danych jest istotne, podejmuje decyzję o zgłoszeniu naruszenia do UODO. W tym czasie, podmiot który dokonał naruszenia nie powinien podejmować żadnych działań, bez wcześniejszej konsultacji z IOD.
Zgłoszenie naruszenia UODO
Jeśli IOD podejmie decyzję, że incydent narusza bezpieczeństwo danych osobowych, należy zgłosić go do UODO.
Zgłoszenia można dokonać na 4 sposoby:
- Elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl,
- Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP,
- Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
- Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.
Zgłoszenie powinno zawierać:
- opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;
- wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- wskazanie środków, jakie zostały zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Ponadto, zgodnie z art. 34 pkt 1 RODO jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Podsumowanie
W każdej organizacji wysyła się codziennie szereg wiadomości mailowych, z których przyjemniej część zawiera dane osobowe. Jeśli wiadomość zostanie omyłkowo skierowana do podmiotu postronnego, należy niezwłocznie podjąć kroki zmierzające do ustalenia, czy wystąpiło naruszenie danych osobowych. W tym miejscu warto podkreślić, że przed takimi sytuacjami można się uchronić, wdrażając i stosując procedury szyfrowania wiadomości zawierających dane osobowe lub inne istotne dla organizacji informacje. W każdym przypadku kluczowa jest szybka reakcja na takie zdarzenie, dokonanie jego indywidualnej oceny oraz w razie potrzeby, podjęcie działań mających na celu zgłoszenie incydentu do UODO.
Kancelaria TURCZA wyposaża przedsiębiorców w odpowiednie narzędzia ukierunkowane na zwiększanie świadomości pracowników w zakresie ochrony danych osobowych w formie regulaminów, procedur i przystępnych interaktywnych webinarów.
Dodatkowo, w razie zaistnienia incydentów bezpieczeństwa nasi specjaliści sporządzają ocenę skutków wystąpienia incydentu naruszenia bezpieczeństwa danych osobowych i dokonują jego weryfikacji pod katem obowiązku zgłoszenia zdarzenia do UODO.
W razie pytań, zachęcamy do kontaktu.
Marta Rabe-Kozłowska
Radca Prawny
Email: biznesprawnik@turcza.com.pl
Telefon: +48 61 666 37 60
Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz Legal English.
Magdalena Wietrak-Smura
Prawnik
Email: biznesprawnik@turcza.com.pl
Telefon: +48 61 666 37 60
Magdalena Wietrak-Smura specjalizuje się w prawie cywilnym oraz prawie gospodarczym z uwzględnieniem zagadnień ekonomicznych.