Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych

  • 09.08.2023

  • Autor: Szymon Wróbel

  • News

Naruszenie bezpieczeństwa danych osobowych

Jednym z obowiązków jakie RODO nakłada na administratorów jest stosowanie odpowiednich środków technicznych i organizacyjnych, gwarantujących odpowiedni poziom ochrony danych osobowych, w szczególności chroniący przed nieuprawnionym lub bezprawnym dostępem do danych, a także przed przypadkową ich utratą, zniszczeniem lub uszkodzeniem.

Powyższy obowiązek dotyczy także procesorów, którzy stosownie do zakresu powierzenia – a więc charakteru przetwarzania, rodzaju danych i kategorii podmiotów, których te dane dotyczą – powinni zgodnie z art. 32 RODO wdrożyć środki zapewniające odpowiedni poziom ochrony. Jest to jeden z podstawowych obowiązków procesora wynikający także z umowy powierzenia przetwarzania.

Wytyczne 01/2021 Europejskiej Radych Ochrony Danych (EROD) w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych zawierają szereg wskazówek i kryteriów postępowania jakimi powinny się kierować podmioty przetwarzające dane w sytuacji wystąpienia naruszenia ochrony danych osobowych.

Analiza ryzyk

Ocena czy zastosowano odpowiednie środki techniczne i organizacyjne jest elementem analizy ryzyka, która powinna zostać przeprowadzona przez każdy podmiot przetwarzający dane. Ochrona danych osobowych nie ma jednak charakteru absolutnego – podmiot prowadzący taką analizę powinien uwzględnić również stan wiedzy technicznej i koszty wdrażania środków ochrony, a nie tylko same okoliczności dotyczące przetwarzania, jak zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Środki techniczne powinny zapewniać nie tylko ochronę danych, ale umożliwiać stwierdzenie czy doszło do jej naruszenia i zapewnić możliwość reakcji na naruszenie ochrony danych osobowych, tak aby podmiot mógł spełnić nałożone na niego obowiązki w zakresie np. notyfikacji incydentu w ciągu 72 godzin. Zasady przeciwdziałania naruszeniom I postępowanie w przypadku ich wystąpienia powinno być elementem procedury obowiązującej w podmiocie, która określi zasady postępowania, analizę samego naruszenia, jak i kroki jakie należy podjąć.

Definicja naruszenia ochrony danych osobowych

Naruszeniem ochrony danych osobowych jest każde naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych.

 

Jak wskazuje EROD, przez zniszczenie należy rozumieć utratę danych lub taką zmianę ich formy, iż nie są one już dla administratora zdatne do wykorzystania (odczytania). W odróżnieniu od zniszczenia, w przypadku utracenia dane nadal istnieją, ale administrator straciło do nich dostęp – czy to przez utratę danych dostępowych, czy zagubienie nośnika. Modyfikacja polega na nieodwracalnej i niezamierzonej zmianie danych przez co nie są prawidłowe. Wreszcie, przez nieuprawniony dostęp lub nieuprawnione ujawnienie danych należy rozumieć okoliczność, w której przetwarzania danych (jakiejkolwiek czynności na danych) dokonuje osoba, która nie ma do tego upoważnienia.

 

W związku z wystąpieniem naruszenia administrator lub procesor, stosownie do swojej roli i obowiązków wynikających z RODO muszą niezwłocznie podjąć działania zmierzające do przeciwdziałania skutkom naruszenia, do ustalenia jego przyczyn i okoliczności wystąpienia, a w przypadku administratora – przeprowadzić analizę spełnienia przesłanek kwalifikujących naruszenie ochrony danych osobowych do zgłoszenie PUODO oraz zawiadomienia osób, których dotyczyło.

Podmiot przetwarzający zgodnie z umową powierzenia przetwarzania danych osobowych i art. 28 ust. 3 RODO powinien niezwłocznie zawiadomić administratora o stwierdzonym naruszeniu i w miarę możliwości wesprzeć go w ustaleniu okoliczności i przeprowadzaniu analizy skutków naruszenia.

 

Jeżeli administrator nie zrealizuje obowiązków związanych z notyfikacją naruszenia, organ nadzorczy ma prawo do zastosowania jednego ze środków wskazanych w art. 58 RODO, z nałożeniem kary administracyjnej włącznie. Prezes Urzędu Ochrony Danych Osobowych może m.in. nałożyć administracyjną karę pieniężną w wysokości do 10 milionów euro lub 2% całkowitego światowego obrotu. Należy jednak zwrócić uwagę, iż fakt wystąpienia naruszenia ochrony danych lub jego przeoczenie wiąże się często z naruszeniem również innych obowiązków administratora, w szczególności w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych pozwalających na zapobieganie naruszeniom i ich sprawne wykrywanie. Organ nadzorczy w przypadku gdy administrator narusza szereg obowiązków nałożonych na niego w RODO odpowiednio zwiększy wysokość kary administracyjnej stosownie do wagi i liczby naruszonych obowiązków.

 

Termin

 

Jak zostało wskazane wcześniej, administrator ma stosunkowo krótki termin na analizę naruszenia i dokonanie zgłoszenia – zgodnie z art. 33 RODO jest to termin 72 godzin. Sposób liczenia terminów w prawie europejskim określa Rozporządzenie 1182/71, zgodnie z którym termin liczony w godzinach rozpoczyna się od kolejnej pełnej godziny i kończy się z upływem ostatniej. Jeśli więc naruszenie zostało stwierdzone w poniedziałek o 15:14 to termin na jego zgłoszenie upłynie w środę o 17:00 – zgłoszenia można dokonać do 16:59 włącznie. Jeśli natomiast naruszenie zostało stwierdzone w czwartek o 14:59, to zgłoszenia należy dokonać najpóźniej do godziny 15:59 w niedzielę.

 

Wspomniane rozporządzenie nie pozwala na przedłużenie terminu do kolejnego dnia roboczego jak ma to miejsce w polskich procedurach. Nawet w przypadku gdy całe 72 godziny będzie przypadać na dni wolne od pracy, formalnie administrator zobowiązany jest do dokonania zgłoszenia najpóźniej w ciągu tego terminu.

 

Termin jest liczony z uwzględnieniem nie tyle faktu wystąpienia naruszenia, ale momentu stwierdzenia naruszenia przez administratora, Przyjmuje się, że administrator stwierdza naruszenie w sytuacji, gdy ma uzasadnione podstawy (potwierdził), iż doszło do naruszenia bezpieczeństwa i że dotyczyło ono danych osobowych. Takie same zasady dotyczą procesora. Co jeśli to procesor zawiadamia administratora o stwierdzonym naruszeniu? Od kiedy biegnie termin na zgłoszenie? Europejska Rada Ochrony Danych wyraziła pogląd, iż przekazanie administratorowi przez procesora zawiadomienia o stwierdzonym naruszeniu powoduje, że od momentu otrzymania tej informacji administrator wie o naruszeniu i rozpoczyna bieg siedemdziesięciodwugodzinny termin na zgłoszenie naruszenia.

 

Podsumowanie

 

Naruszenia ochrony danych osobowych są jedną z najczęstszych przyczyn nakładania kar administracyjnych na administratorów danych i procesorów. Dzieje się tak dlatego, iż w postępowaniu związanym ze zgłoszeniem organ nadzorczy bada czy podmiot dostosował przetwarzanie do przepisów RODO, spełniając szereg wymogów mających m.in. przeciwdziałać naruszeniu, a fakt wystąpienia naruszenia często jest związany właśnie z tym, iż administrator nie dołożył należytej staranności przy przetwarzaniu danych.

Autor

Szymon Wróbel

Radca prawny, specjalista z zakresu ochrony danych z wieloletnią praktyką.
Ukończył prawo na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Doświadczenie zawodowe zdobywał we własnej kancelarii, świadcząc usługi na rzecz przedsiębiorców m.in. z branży nieruchomości, e-commerce, nowych technologii oraz podmiotów leczniczych. Autor artykułów branżowych oraz prelegent licznych szkoleń m.in. z zakresu danych osobowych.