Naruszenie ochrony danych osobowych to jedno z najbardziej palących zagadnień dla większości administratorów. Wynika to z jednej strony z obawy przed wystąpieniem samego naruszenia, a z drugiej z obawy przed konsekwencjami, które mogą się z nim wiązać – zarówno wizerunkowymi, jak też prawnymi i finansowymi. Warto więc przybliżyć ten temat i wyjaśnić najważniejsze zagadnienia z nim związane – począwszy od zdefiniowania naruszenia, przez zasady wykrywania i stwierdzania oraz postępowania po stwierdzeniu naruszenia.
Naruszenie ochrony danych – czyli co?
W pierwszej kolejności trzeba podkreślić, iż nie każde naruszenie przepisów o ochronie danych osobowych stanowi jednocześnie naruszenie ochrony danych. To ostatnie zostało bowiem wprost zdefiniowane przez prawodawcę unijnego w art. 4 pkt 12 RODO jako:
naruszenie zasad bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W pewnym uproszczeniu można więc przyjąć, iż z naruszeniem ochrony danych mamy do czynienia, gdy naruszone zostały zasady bezpieczeństwa w wyniku czego doszło do utraty co najmniej jednego z następujących atrybutów informacji (danych): poufności (nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych), dostępności (przypadkowego lub niezgodnego z prawem zniszczenia lub utracenia danych) i integralności (przypadkowego lub niezgodnego z prawem zmodyfikowania danych). o ile zatem będziemy mieli do czynienia ze zdarzeniem, które co prawda można rozpatrywać, jako naruszenie przepisów o ochronie danych osobowych (np. niespełnienie obowiązku informacyjnego wobec podmiotu danych, niezrealizowanie żądania podmiotu danych), ale nie będzie ono wiązało się z naruszeniem zasad bezpieczeństwa i z utratą któregoś z ww. atrybutów, nie będziemy mówić o naruszeniu ochrony danych.
Wskazana definicja choć z pozoru jest jasna, to odwołuje się do bliżej niezdefiniowanych przesłanek, np. naruszenia zasad bezpieczeństwa. Pojęcie to utożsamia się zasadniczo ze środkami technicznymi i organizacyjnymi, które służą zabezpieczeniu przetwarzanych danych osobowych (por. W. Chomiczewski, w: RODO. Ogólne rozporządzenie o ochronie danych, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, s. 264). Należy jednak podkreślić, iż chodzi nie tylko o te środki, które administrator w chwili naruszenia faktycznie stosował, ale też o takie, które powinien zastosować realizując obowiązek wynikający z art. 32 ust. 1 RODO, tj. z uwzględnieniem stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze.
Zapamiętaj! Nie każde naruszenie przepisów RODO stanowi naruszenie ochrony danych osobowych.
Przykład naruszenia ochrony danych: przesłanie e-maila zawierającego załącznik z danymi osobowymi pracowników administratora (imieniem, nazwiskiem, numerem telefonu i adresem e-mail oraz stanowiskiem pracy i stawką wynagrodzenia) do niewłaściwego odbiorcy.
Przykład naruszenia ochrony danych: zagubienie niezaszyfrowanego laptopa, na którym przechowywane były pliki zawierające dane osobowe klientów i kontrahentów firmy.
Przykład naruszenia ochrony danych: pracownik kadr odchodząc z pracy postanowił zemścić się na pracodawcy i spalić akta osobowe, do których miał dostęp.
Przykład naruszenia przepisów o ochronie danych, które nie jest naruszeniem ochrony danych: firma XYZ Sp. z o.o. pozyskała bezpośrednio od Pana Jana Nowaka jego dane osobowe w zakresie imienia, nazwiska, adresu zamieszkania, numeru telefonu, adresu e-mail, rodzaju i czasu świadczenia usługi. Nie spełniono jednak wobec niego obowiązku informacyjnego, czym naruszono art. 13 RODO.
Przykład naruszenia przepisów o ochronie danych, które nie jest naruszeniem ochrony danych: firma ABC s.j. otrzymała wniosek swojego klienta o usunięcie danych osobowych. Wniosek trafił do Pani Beaty, która akurat wyjeżdżała na urlop. Po powrocie Pani Beata zapomniałą o otrzymanym wniosku, przez co nie firma ABC s.j. nie udzieliła odpowiedzi klientowi, w ten sposób naruszyła ona art. 12 ust. 3 RODO.
Wystarczające ryzyko negatywnych konsekwencji
Należy pamiętać, iż do zaistnienia naruszenia ochrony danych osobowych nie jest konieczne uzyskanie przez administratora pewności, iż doszło do utraty poufności, dostępności lub integralności danych osobowych. Wystarczające jest bowiem, iż w konkretnych okolicznościach występuje ryzyko utraty któregoś z tych atrybutów, na co zwrócił uwagę m.in. Wojewódzki Sąd Administracyjny w Warszawie w wyroku
z 22.09.2021 r. w sprawie o sygnaturze akt: II SA/Wa 791/21 wskazując:
(…) nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, ale to, iż wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych. (…) możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować.
Ważne! Dla zaistnienia naruszenia ochrony danych nie ma znaczenia, czy na pewno doszło do utraty poufności, dostępności lub integralności danych, a jedynie to czy wystąpiło takie ryzyko. o ile zatem nie możesz z całą pewnością stwierdzić, iż do takiego ryzyka nie doszło, należy przyjąć, iż mamy do czynienia z naruszeniem. Nie ma też znaczenia czy naruszenie wywołało u podmiotu danych negatywne konsekwencje, ale jedynie to, iż może je wywołać.
Stopnie naruszenia ochrony danych
Chociaż RODO nie wskazuje wprost na możliwość podziału naruszeń, to podział taki wynika naturalnie z art. 33-34 RODO. Wskazane przepisy nakładają na administratora danych określone obowiązki w zależności od tego, jaki jest stopień ryzyka naruszenia praw lub wolności osób fizycznych na skutek stwierdzonego naruszenia. Stanowisko różnicujące „stopnie” naruszenia znajduje też potwierdzenie w rozstrzygnięciach organu nadzorczego – przykładowo w decyzji z 18.10.2023 r. w sprawie DKN.5131.55.2022 Prezes Urzędu Ochrony Danych Osobowych wskazał, że:
pomiędzy sytuacjami, w których istnieje małe prawdopodobieństwo by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (…) a sytuacjami, gdy istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych (…), pozostają przypadku „pośrednie” (…).
W oparciu o powyższe możemy wskazać na swoiste trzy poziomy ryzyka naruszenia praw lub wolności osób fizycznych na skutek naruszenia, tj. ryzyko niskie, średnie lub wysokie (determinowane zasadniczo przez prawdopodobieństwo wystąpienia takiego ryzyka). Ustalenie z jakim poziomem ryzyka mamy do czynienia jest obowiązkiem administratora. Powinien on kierować się przy tym wewnętrznymi procedurami oceny ryzyka, które pozwalają na trzeźwą i obiektywną analizę zdarzenia i oszacowanie poziomu ryzyka. Warto jednak podkreślić, iż procedura taka może być oparta na różnej metodyce, bowiem nie istnieje jeden, ogólnie przyjęty i zaakceptowany schemat takiej analizy. Przydatne mogą być w tym zakresie, np. metoda oceny wagi naruszeń wg. Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) (https://www.enisa.europa.eu/publications/dbn-severity, dostęp na 17.04.2024 r.), czy też wytyczne Europejskiej Rady Ochrony Danych w sprawie zgłaszania naruszeń ochrony danych v. 2.0. (https://uodo.gov.pl/pl/537/2902, dostęp na 17.04.2024 r.). Istotnym narzędziem, które ułatwia ocenę naruszenia są też wytyczne EROD w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych (https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_pl, dostęp na 17.04.2024 r.), w którym EROD na konkretnych przykładach wskazuje, w jaki sposób należy dokonywać oceny poszczególnych naruszeń.
Niezależnie od przyjętej metodyki oceny ryzyka naruszenia praw lub wolności osób fizycznych na skutek naruszenia ochrony danych, należy pamiętać, aby ocena ta była oparta na obiektywnych kryteriach i aby nie była ona skażona dowolną oceną osoby, która dokonuje analizy. Często w praktyce zdarza się, iż dokonując oceny naruszenia administratorzy pomijają pewne niekorzystne dla siebie okoliczności – np. zakres danych objętych naruszenie, okoliczności naruszenia, kontekst organizacji. Spotkać można się też z bagatelizowaniem zdarzenia i nieuwzględnianiem wszystkich faktycznych zagrożeń, które mogą spotkać osobę, której dane zostały objęte naruszeniem.
Podstawowe obowiązki związane z naruszeniem ochrony danych
Każde naruszenie ochrony danych osobowych powinno stanowić impuls do aktywnego działania ze strony administratora. Nie można dopuszczać do sytuacji, w których pozostajemy bierni wobec zachodzących w organizacji naruszeń, choćby o ile po ich przeanalizowaniu uznajemy, iż jest mało prawdopodobne, aby stwarzały one ryzyko naruszenia praw lub wolności osób fizycznych.
Ze wskazanego powodu obowiązki administratora podzielić można na takie, które występują przy każdym naruszeniu ochrony danych i takie, które aktywują się tylko wówczas, gdy występuje ryzyko naruszenia praw lub wolności podmiotu danych.
Przed nawias należy wyciągnąć obowiązek wdrożenia przez administratora mechanizmów wykrywania naruszeń ochrony danych, bowiem bez tego w organizacji wiele naruszeń może być niedostrzeżonych. Nie jest przedmiotem tego artykułu analiza dostępnych środków wspierających wykrywanie takich zdarzeń. Trzeba jednak podkreślić, iż jednym z najskuteczniejszych sposobów identyfikacji naruszeń jest odpowiednia relacja i wiedza personelu. W praktyce często można spotkać sytuacje, w których personel administratora nie wie, iż powinien zgłaszać określone zdarzenia, bądź boi się konsekwencji takiego działania. Rolą administratora jest budowanie takiej kultury organizacyjnej, w której pracownicy będą wyczuleni na przypadki nieprawidłowości w procesie przetwarzania danych i nie będą bali się tego komunikować.
o ile jednak naruszenie zostało wykryte, to niezależnie od dokonanej oceny prawdopodobieństwa naruszenia praw lub wolności podmiotu danych, administrator powinien przeprowadzić postępowanie wyjaśniające, które pozwoli mu ustalić, na czym polega naruszenie, jakie są jego okoliczności, jakich kategorii danych i podmiotów danych naruszenie dotyczy, co jest jego źródłem oraz jakie mogą być jego konsekwencje dla osób, których dane dotyczą. Powinien on też ustalić, jakie środki zaradcze mogą zostać podjęte, aby zminimalizować skutki naruszenia i zapobiec takim zdarzeniom w przyszłości. Wszelkie z tych działań powinny być przez administratora odpowiednio udokumentowane, co wynika bezpośrednio z art. 33 ust. 5 RODO. Chociaż RODO nie wskazuje wprost na formę udokumentowania, to w praktyce najczęściej dokonuje się tego dzięki rejestru naruszeń.
Każde zidentyfikowane naruszenie, powinno też być impulsem dla administratora, do oceny skuteczności wdrożonych środków technicznych i organizacyjnych oraz aktualizacji analizy ryzyka.
Ważne! W każdym przypadku stwierdzenia naruszenia ochrony danych należy dokonać analizy zdarzenia, a także odpowiednio je udokumentować. Należy również przeprowadzić aktualizację/weryfikację analizy ryzyka, aby dobrać takie środki techniczne i organizacyjne, które pomogą nam zaradzić podobnym naruszeniom w przyszłości.
Zawiadomienie organu nadzorczego
Niezależnie od obowiązku dokumentowania każdego naruszenia i uwzględnienia jego wystąpienia w analizie ryzyka, administrator ma obowiązek dokonania zgłoszenia takiego naruszenia, bez zbędnej zwłoki, do Prezesa Urzędu Ochrony Danych Osobowych w każdym przypadku, gdy występuje ryzyko naruszenia praw lub wolności osób fizycznych. Chociaż z perspektywy administratora obowiązek ten często rozumiany jest jako niekorzystne dla niego działanie, warto pamiętać, iż celem RODO jest ochrona osób fizycznych. Dostarczenie organowi nadzorczemu informacji o naruszeniu pozwala mu na odpowiednią reakcję, która ma ograniczyć skutki naruszenia, np. poprzez zobowiązanie administratora do określonego działania, czy też dokonanie oceny skuteczności wdrożonych przez administratora środków zabezpieczających dane osobowe.
Częstokroć spotkać można się z tezą, iż naruszeń ochrony danych osobowych lepiej jest nie zgłaszać, bo z pewnością nikt się o nich nie dowie. Chociaż faktycznie na pewno o wielu naruszeniach ochrony danych osobowych nie wiemy – często zresztą nie wiedzą o nich sami administratorzy, podejście takie nie zasługuje na aprobatę. Przede wszystkim należy zbić obawy wielu administratorów, iż zgłoszenie naruszenia równa się kontroli ze strony Prezesa UODO i wymierzeniem przez niego administracyjnej kary pieniężnej. Obawy takie nie znajdują potwierdzenia w liczbach. Warto zwrócić uwagę, iż w 2022 roku do Urzędu Ochrony Danych Osobowych zgłoszono 12.772 naruszeń ochrony danych. Jednocześnie we wskazanym okresie zgłoszone przez administratorów danych naruszenia ochrony danych stanowiły podstawę do wszczęcia zaledwie 8 postępowań kontrolnych, zaś z uprawnienia do zastosowania administracyjnej kary pieniężnej Prezes UODO skorzystał w 19 sprawach (sprawozdanie z działalności Prezesa UODO w roku 2022; https://uodo.gov.pl/pl/p/o-nas, dostęp na 17.04.2024 r.).
Warto jednak podkreślić, iż o ile w przypadku zgłoszenia naruszenia ochrony danych osobowych ryzyko nałożenia na administratora kary pieniężnej, czy wszczęcia wobec niego kontroli, jest niewielkie. O tyle zwiększa się ono, gdy informacja o naruszeniu ochrony danych osobowych dotrze do Prezesa UODO z innych źródeł. Najczęściej do sytuacji takich dochodzi, gdy administrator uznał, iż ryzyko naruszenia praw lub wolności osób fizycznych na skutek danego naruszenia nie występuje, a w konsekwencji nie musi on zawiadamiać organu nadzorczego. Przykładów takich sytuacji dostarczają nam decyzje Prezesa UODO, który już tylko w 2024 roku nałożył na administratorów danych trzy administracyjne kary pieniężne za niezgłoszenie naruszenia ochrony danych:
W sprawie DKN.5131.28.2023 – administrator zgłosił naruszenie ochrony danych po upływie prawie 1,5 roku od jego stwierdzenia. Wcześniej nie dostrzegał potrzeby dokonania takiego zgłoszenia, opierając swoją ocenę ryzyka na „przekonaniu, iż osoba, która weszła w posiadanie umowy, charakteryzuje się tzw. <<dobrą wiarą>> (…)”. Administrator uzasadniał też wcześniejszy brak zgłoszenia brakiem „jednoznacznej praktyki Prezesa UODO, dotyczącej zgłaszania naruszeń ochrony danych osobowych”. Prezes UODO nałożył na administratora administracyjną karę pieniężną w wysokości 78.575,40 zł.
W sprawie DKN.5131.59.2022 – administrator nie zgłosił naruszenia ochrony danych. Prezes UODO dowiedział się o naruszeniu z artykułu internetowego, po czym zwrócił się o wyjaśnienia do administratora. Administrator uzasadniał brak zgłoszenia naruszenia tym, iż sprawa dotyczyła danych zawartych w jednej przesyłce, która została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera. Zweryfikowano też, iż nie brakuje żadnych dokumentów, a osoba, która błędnie otrzymała przesyłkę przyznała, iż nie kopiowała dokumentów. Okoliczności te doprowadziły administratora do wniosku, iż mało prawdopodobne jest, aby zdarzenie stwarzało ryzyko naruszenia praw lub wolności. Prezes UODO nałożył na administratora administracyjną karę pieniężną w wysokości 1.440.549 zł.
W sprawie DKN.5131.53.2021 – administrator nie zgłosił naruszenia ochrony danych. Informacja o naruszeniu wpłynęła do Prezesa UODO od podmiotu trzeciego. W związku z tym Prezes UODO zażądał wyjaśnień od administratora. Administrator nie zawiadomił Prezesa UODO tłumacząc to m.in. tym, iż z przeprowadzonej przez niego analizy wynika, iż mało prawdopodobne by zdarzenie będące przedmiotem sprawy skutkowało ryzykiem naruszenia praw lub wolności. Prezes UODO nałożył na administratora administracyjną karę pieniężną w wysokości 9.903,60 zł.
Ważne! Z powyższego płynie prosty wniosek. o ile doszło do naruszenia ochrony danych osobowych i administrator nie ma pewności, czy powinien zawiadomić o nim organ nadzorczy, bezpieczniejszym rozwiązaniem jest dokonanie takiego zgłoszenia.
Jeżeli chodzi o samą treść zgłoszenia to jego minimalny zakres wyznacza art. 33 ust. 3 RODO. W praktyce jednak najprostszym, najszybszym i pozwalającym zaoszczędzić wielu dalszych pytań ze strony Prezesa UODO sposobem zgłoszenia naruszenia ochrony danych jest skorzystanie z formularza udostępnionego przez UODO na stronie internetowej (https://www.biznes.gov.pl/pl/opisy-procedur/-/proc/889, dostęp na 17.04.2024 r.). Zgłoszenie to może być złożone do organu w formie tradycyjnej (listem na adres Prezesa UODO) lub w formie elektronicznej (za pośrednictwem biznes.gov.pl lub ePUAP).
Jak już wcześniej wspominano, naruszenie należy zgłosić organowi nadzorczemu bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od momentu stwierdzenia naruszenia. Trzeba pamiętać, iż moment stwierdzenia naruszenia nie musi być i zwykle nie jest tożsamy z momentem wystąpienia samego naruszenia. Częstokroć administrator dowiaduje się o naruszeniu po kilku godzinach, tygodniach, miesiącach, a choćby latach. Można więc w ślad za Grupą Robocza Art. 29, przyjąć iż „stwierdzenie” następuje, gdy administrator ma wystarczający stopień pewności co do tego, iż miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych (wytyczne GR Art. 29 WP 250 dot. zgłaszania naruszeń ochrony danych osobowych na mocy rozporządzenia 2016/679, https://archiwum.uodo.gov.pl/pl/3/1345, dostęp na 17.04.2024 r., zob. też: Poradnik UODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Urząd Ochrony Danych Osobowych, 2019, https://archiwum.uodo.gov.pl/pl/134/1029, dostęp na 17.04.2024 r.).
Warto pamiętać, iż przekroczenie wskazanego terminu na dokonanie zgłoszenia stanowi naruszenie przepisów RODO i może spotkać się z ujemną oceną Prezesa UODO. Oczywiście naturalne jest, iż w sytuacji stwierdzenia naruszenia, administrator w pierwszej kolejności angażuje siły i środki w celu wyeliminowania tego zdarzenia i zminimalizowania jego skutków. Odpowiedniego czasu wymaga też ustalenie wszystkich okoliczności związanych z naruszeniem, które powinny być przekazane organowi nadzorczemu wraz ze zgłoszeniem. Rozwiązań tej sytuacji dostarcza nam już samo RODO, które przewiduje możliwość:
- dokonania zgłoszenia wstępnego, w którym administrator wskaże jedynie część z wymaganych przepisami RODO informacji, a następnie bez zbędnej zwłoki sukcesywnie będzie je uzupełniał (art. 33 ust. 4 RODO),
- dołączenia wyjaśnień przyczyn opóźnienia, o ile dokonanie zgłoszenia
w terminie nie było możliwe (art. 33 ust. 1 RODO).
Ważne! Pamiętaj, aby nie bagatelizować obowiązku powiadomienia Prezesa UODO o naruszeniu. Czas na dokonanie zgłoszenia to co do zasady maksymalnie 72 godziny od stwierdzenia naruszenia. o ile w tym czasie nie możesz przekazać kompletnego zgłoszenia, dokonaj zgłoszenia wstępnego, a następnie sukcesywnie je uzupełniaj.
Administrator powinien mieć też świadomość, iż jego kontakt z organem nadzorczym zwykle nie skończy się na zgłoszeniu naruszenia ochrony danych. Prezes UODO wielokrotnie po otrzymaniu zgłoszenia żąda od administratora dodatkowych wyjaśnień. Zadaniem administratora jest sprawna kooperacja z organem i udzielanie mu niezbędnych informacji. Ma to najważniejsze znaczenie dla sprawnego i szybkiego zakończenia postępowania, a jednocześnie pozwala uniknąć przykrych konsekwencji. Trzeba bowiem podkreślić, iż brak współpracy z organem nadzorczym – które może polegać, np. na nieodpisywaniu na korespondencję, odmowie przekazania dokumentacji lub wyjaśnień – stanowi odrębny przejaw naruszenia przepisów RODO, które może skutkować podjęciem przez organ nadzorczy środków nadzorczych (np. udzieleniem upomnienia), a także nałożeniem administracyjnej kary pieniężnej.
Zawiadomienie osób, których dane dotyczą
Jeżeli z przeprowadzonej przez administratora danych oceny naruszenia wynika, iż może ono stwarzać wysokie ryzyko naruszenia praw lub wolności, poza opisanymi wyżej obowiązkami, ma on też zawiadomić o naruszeniu osoby fizyczne, których dane osobowe dotyczą i zostały dotknięte naruszeniem. Celem tego zawiadomienia jest umożliwienie osobom, których dane dotyczą oceny czy administrator daje rękojmie należytego przetwarzania ich danych osobowych w sposób zapewniający bezpieczeństwo (por. decyzja Prezesa UODO z 12.03.2024 r. DKN.5131.59.2022, https://uodo.gov.pl/decyzje/DKN.5131.59.2022, dostęp na 17.04.2024 r.), a także umożliwienie przedsięwzięcia czynności, które zminimalizują zidentyfikowane ryzyko naruszenia praw lub wolności, np. przez wymożenie czujności takich osób, zastrzeżenie numeru PESEL czy skorzystanie z alertów BIK.
Prawidłowe skonstruowanie treści zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych, często sprawia administratorom trudności. Chociaż pozornie elementy takiego zawiadomienia zostały wskazane w art. 34 ust. 2 RODO, to ich wyłożenie podmiotom danych nie jest prostą sprawą. W ramach zawiadomienia do podmiotu danych, administrator powinien wskazać co najmniej:
- opis charakteru naruszenia ochrony danych,
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
- opis możliwych konsekwencji naruszenia ochrony danych osobowych,
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania ewentualnych negatywnych skutków dla podmiotu danych.
Należy pamiętać, iż wszystkie z ww. informacji mają być podane podmiotom danych prostym, jasnym i zrozumiałym językiem.
Opisując charakter naruszenia należy wskazać z jakim naruszeniem mamy do czynienia, czyli opisać, czy mamy do czynienia z nieuprawnionym ujawnieniem danych, utraceniem do nich dostępu przez administratora, czy może z nieautoryzowaną zmianą danych. Opis powinien też obejmować czas powstania, trwania i wykrycia naruszenia oraz nakreślać jego przyczyny. Częstym błędem, który występuje przy zawiadomieniach jest podanie jedynie adresu e-mail inspektora ochrony danych, podczas gdy wskazany wyżej przepis wprost zobowiązuje do podania w treści zgłoszenia również imienia i nazwiska inspektora.
Najwięcej trudności sprawia jednak ustalenie możliwych konsekwencji naruszenia ochrony danych oraz dopasowania do nich środków proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych. Z pomocą w tym zakresie mogą przyjść nam wspomniane już wcześniej wytyczne EROD 9/2022 w sprawie zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO. Wskazano w nich bowiem jakie w poszczególnych przykładach omówionych w wytycznych, można podjąć środki zapobiegawcze i łagodzące skutki naruszenia ochrony danych. Pomocą są również rozstrzygnięcia Prezesa UODO, a także publikowane przez organ nadzorczy sprawozdania z działalności, w których wskazuje on na najczęściej występujące naruszenia ze wskazaniem jakie działania podejmowane były przez administratorów celem eliminacji takich naruszeń w przyszłości.
Należy też pamiętać, iż chociaż pierwszym wyborem administratora powinno być indywidualne zawiadomienie osób, których dane dotyczą o stwierdzeniu naruszenia ich danych osobowych, to w praktyce często taka postać zawiadomienia może nie być możliwa. RODO przewiduje rozwiązanie takiej sytuacji, wskazując, iż gdyby indywidualne zawiadomienie wymagało niewspółmiernie dużego wysiłku, administrator powinien wydać w zamian za takie zawiadomienie publiczny komunikat lub zastosować podobny środek, który pozwoli na skuteczne poinformowanie osób, których dane dotyczą.
Z sytuacją taką możemy mieć do czynienia, gdy naruszeniu uległy dane osobowe znacznej liczby osób, lub też, gdy administrator utracił dostęp do danych. RODO wyłącza również obowiązek zawiadomienia podmiotów danych o naruszeniu, gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których naruszenie dotyczy, w szczególności takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.
Administrator powinien być też świadom, iż treść zawiadomienia skierowanego do osób, których dane dotyczą, podlega kontroli Prezesa UODO. Zawiadomienie to powinno bowiem stanowić element zgłoszenia naruszenia do organu nadzorczego, a o ile na etapie zgłaszania naruszenia takie zawiadomienie nie zostało jeszcze dokonane – zgłoszenie powinno być o nie uzupełnione. Prezes UODO może zasygnalizować administratorowi błędy w dokonanym zgłoszeniu zobowiązując go do dokonania stosownej korekty i ponownego powiadomienia podmiotów danych. Może on również zobowiązać administratora do dokonania zawiadomienia, o ile administrator wcześniej sam nie podjął decyzji w tym zakresie.
Podsumowanie
Poczynione wyżej rozważania nie wyczerpują w pełni tematyki naruszeń ochrony danych osobowych i związanych z nimi obowiązków administratora. Naruszenia są tematem bardzo rozległym. Nie budzi jednak wątpliwości, iż mogą one wystąpić w każdej organizacji, a brak takich zdarzeń wskazywać może na nieskuteczność systemu ich wykrywania. Administratorzy powinni zadbać o odpowiednią swoją świadomość, ale też swoich pracowników co do identyfikowania i reagowania na naruszenia.
Pomocą w skutecznym wykrywaniu i reagowaniu na naruszenia jest nie tylko opracowanie stosownych procedur i instrukcji postępowania z takimi zdarzeniami, ale też regularne szkolenia dla personelu. Nieocenioną pomocą dla administratora w radzeniu sobie z występującymi w organizacji naruszeniami będzie też niewątpliwie wiedza i doświadczenie inspektora ochrony danych lub eksperta, który będzie wspierał administratora w tym obszarze.