Naruszenie ochrony danych osobowych – co muszę zrobić jako administrator?

By /

Naruszenie danych osobowych może przytrafić się każdej organizacji – niezależnie od jej wielkości czy branży. Błędy ludzkie, problemy techniczne czy nieuprawniony dostęp osób trzecich zdarzają się nawet przy najbardziej rozbudowanych procedurach bezpieczeństwa. Najważniejsze jest jednak to, jak zareagujemy na incydent, aby zminimalizować jego skutki oraz wywiązać się z obowiązków wynikających z RODO.

Poniżej przedstawiamy praktyczny poradnik, który krok po kroku wyjaśnia, jak postępować w przypadku naruszenia ochrony danych osobowych.

Czym jest naruszenie danych osobowych? Porady prawne Banino

Zgodnie z art. 4 pkt 12 RODO, naruszeniem ochrony danych osobowych jest każde naruszenie bezpieczeństwa prowadzące do:

  • przypadkowego lub niezgodnego z prawem ujawnienia danych,
  • nieuprawnionego dostępu,
  • utraty danych,
  • ich zniszczenia lub zmiany.

W praktyce naruszeniem będzie zarówno wysłanie pliku z danymi do niewłaściwego odbiorcy, zgubienie dokumentacji, jak i cyberatak, który umożliwi osobom trzecim dostęp do danych.

Krok 1 – Ustalenie, co się wydarzyło

Pierwszym działaniem administratora powinno być szybkie ustalenie okoliczności incydentu, w szczególności:

  • kiedy doszło do naruszenia,
  • czego dotyczyło (jakie dane i w jakim zakresie),
  • jak zostało wykryte,
  • czy dane trafiły do osoby nieuprawnionej,
  • jakie mogą być potencjalne konsekwencje dla osób, których dane dotyczą.

Krok 2 – Ocena ryzyka dla osób, których dane dotyczą

RODO wymaga, aby każdy incydent został poddany ocenie ryzyka naruszenia praw lub wolności osób fizycznych.

W szczególności należy określić:

  • czy ujawniono dane zwykłe, czy szczególne (np. dane o zdrowiu),
  • czy osoba nieuprawniona mogła zapoznać się z treścią,
  • czy naruszenie może prowadzić do szkód (np. ujawnienia tajemnicy medycznej, wycieku finansowych informacji, ryzyka kradzieży tożsamości).

Ocena ryzyka wpływa na kolejne obowiązki administratora.

Krok 3 – Zawiadomienie Prezesa UODO (jeżeli wymagane)

Jeżeli incydent może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, administrator musi – zgodnie z art. 33 ust. 1 RODO – zgłosić go do Prezesa UODO w ciągu 72 godzin od stwierdzenia naruszenia.

Wedle art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Zgłoszenie powinno zawierać m.in.:

  • opis naruszenia,
  • liczbę osób objętych naruszeniem,
  • kategorię danych,
  • możliwe konsekwencje,
  • podjęte środki zaradcze.

Jeżeli zgłoszenie następuje po terminie, konieczne jest wyjaśnienie przyczyn opóźnienia.

Krok 4 – Poinformowanie osoby, której dane dotyczą

Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności, administrator musi – zgodnie z art. 34 RODO – poinformować osoby, których dane dotyczą.

Wedle bowiem art. 34 ust. 1 i 2 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).

Takie zawiadomienie powinno:

  • być napisane prostym językiem,
  • wyjaśniać, co się stało,
  • wskazywać, jakie dane zostały naruszone,
  • informować, jakie działania zostały podjęte,
  • zawierać sugestie, jak osoba może chronić swoje dane (np. zmiana hasła, kontakt z bankiem).

Krok 5 – Podjęcie działań naprawczych i zapobiegawczych

Po incydencie administrator powinien usunąć przyczynę naruszenia oraz wprowadzić środki zapobiegające podobnym sytuacjom. Mogą to być m.in.:

  • weryfikacja procedur wewnętrznych,
  • wprowadzenie dodatkowych zabezpieczeń technicznych (np. szyfrowanie, podwójna kontrola adresów e-mail),
  • szkolenie pracowników,
  • zmiana sposobu przesyłania dokumentów (np. korzystanie z zaszyfrowanych kanałów komunikacji).

Krok 6 – Obowiązek dokumentowania incydentu

Nawet jeśli incydent nie podlega zgłoszeniu do UODO, administrator ma obowiązek go udokumentować (art. 33 ust. 5 RODO). Jak wskazuje ten przepis, administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Dokumentacja powinna zawierać:

  • opis naruszenia i jego okoliczności,
  • kategorie danych,
  • ocenę ryzyka,
  • podjęte działania,
  • wnioski dotyczące poprawy bezpieczeństwa.

Takie dokumenty są istotne m.in. w razie kontroli UODO.

Krok 7 – Analiza środków bezpieczeństwa i DPIA

Po poważniejszym incydencie warto ocenić, czy:

  • aktualne środki techniczne i organizacyjne są adekwatne (art. 32 RODO),
  • konieczna jest aktualizacja oceny skutków dla ochrony danych (DPIA), jeżeli przetwarzanie wiąże się z wysokim ryzykiem.

Przykładowo: jeżeli organizacja regularnie przesyła dokumentację zawierającą dane wrażliwe e-mailem, może być konieczne wdrożenie bezpieczniejszego systemu wymiany informacji.

Zgodnie bowiem z art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

To oznacza, że administrator ma obowiązek zapewnić odpowiedni poziom bezpieczeństwa danych. Po incydencie należy przeanalizować i ewentualnie wdrożyć bezpieczniejsze metody przekazywania dokumentacji medycznej (np. zaszyfrowane załączniki, system ePUAP), zabezpieczenie poczty e-mail – szyfrowanie wiadomości, włączenie ostrzeżeń przy wysyłce do nowych adresatów, szkolenie własne i/lub personelu w zakresie zasad RODO i minimalizacji błędów ludzkich.

Podsumowanie. Kancelaria Banino

Naruszenie danych osobowych to incydent, który wymaga szybkiej i profesjonalnej reakcji. Kluczowe jest:

  1. Ustalenie, co dokładnie się stało.
  2. Ocena ryzyka dla osób, których dane dotyczą.
  3. Zgłoszenie naruszenia do UODO, jeśli jest taka potrzeba.
  4. Poinformowanie osób, których dane zostały ujawnione, o ile ryzyko jest wysokie.
  5. Wdrożenie działań naprawczych i zapobiegawczych.
  6. Sporządzenie pełnej dokumentacji incydentu.

Prawidłowe działanie nie tylko ogranicza skutki naruszenia, ale też świadczy o profesjonalizmie administratora i jego odpowiedzialnym podejściu do ochrony danych osobowych.

Jesteśmy, aby pomóc Ci rozwiązać Twój problem

Nasz zespół specjalizuje się w szerokim zakresie wielu dziedzin prawnych i podatkowych, co pozwala nam skutecznie i wszechstronnie reprezentować naszych Klientów.

UMÓW SPOTKANIE