NARUSZENIE. KIEDY KONIECZNE POWIADOMIENIE. WAŻNY WYROK NSA

Jak podaje UODO „Naczelny Sąd Administracyjny potwierdził zarzuty Prezesa UODO do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie związanego z karą w wysokości 159 176 zł, jaką Prezes UODO nałożył na sopockie Towarzystwo Ubezpieczeniowe Ergo Hestia SA za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej. Sprawa trafi więc ponownie do rozpatrzenia przez WSA. Naruszenie dotyczyło wysyłki maila z niezaszyfrowanym załącznikiem z ofertą ubezpieczeniową, zawierającą dane osobowe (m.in. imię, nazwisko oraz numer PESEL) i informacje finansowe do niewłaściwej osoby.”

Grafika „uodo kara wyrok” Źródło: Designed by Freepik

NSA wskazał, jak należy interpretować obowiązek notyfikacji naruszenia wskazany w RODO (art. 34 ust. 1 w związku z art. 33 ust. 1):

• Pomimo zaistnienia naruszenia ochrony danych osobowych administrator nie musi dokonywać zgłoszenia, jeżeli jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Prawa i wolności należy rozumieć podobnie jak na gruncie przepisu art. 6 ust. 1 lit. f RODO. W konsekwencji obowiązek notyfikacyjny nie ma charakteru bezwzględnego.
• Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych.
• Żeby nie trzeba było zgłaszać naruszenia do PUODO, musimy mówić o małym prawdopodobieństwie, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności.
• Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczy samo pojawienie się wysokiego ryzyka naruszenia.

Definicje i dobre praktyki.

Naruszenie ochrony danych osobowych to sytuacja, w której dochodzi do przypadkowego lub bezprawnego :

• zniszczenia, utraty, zmodyfikowania albo ujawnienia danych osobowych;
• dostępu do danych osobowych przez osobę nieuprawnioną.

Definicję znajdziesz w Rozporządzeniu (UE) 2016/679 – RODO (art. 4 pkt 12).

Podejmij działania bez zbędniej zwłoki.

Gdy nastąpi naruszenie, może to oznaczać ryzyko dla praw lub wolności osób, których dane dotyczą – np. kradzież tożsamości, utrata poufności, szkoda finansowa lub naruszenie dobrego imienia.
Reagując szybko:

• ograniczasz szkody dla tych osób;
• realizujesz obowiązki prawne jako administrator danych;
• pokazujesz, że administrujesz danymi odpowiedzialnie – co w administracji ma duże znaczenie wizerunkowe.

Jeśli zwlekasz, narażasz jednostkę na karę lub utratę zaufania.

Kiedy musisz zgłosić naruszenie do organu nadzorczego

Jeśli jako administrator danych stwierdzisz naruszenie, to:

• musisz podjąć analizę okoliczności zdarzenia – co się stało, jakie dane, ile osób, jakie mogą być skutki;
• jeśli z tej analizy wynika, że naruszenie „może skutkować ryzykiem dla praw lub wolności osób fizycznych”, to musisz zgłosić je do Urząd Ochrony Danych Osobowych (UODO) „bez zbędnej zwłoki” – w praktyce nie dłużej niż 72 godziny od momentu stwierdzenia naruszenia.
• jeśli uznasz, że po tej analizie ryzyko jest mało prawdopodobne, to zgłoszenie do UODO nie jest obowiązkowe, ale musisz wpisać zdarzenie do wewnętrznego rejestru naruszeń.

Przykład: W Twojej jednostce doszło do wycieku danych zdrowotnych pracownika (np. wrażliwe dane – „dane dotyczące zdrowia”). Taki typ danych sam w sobie wskazuje na wysokie ryzyko, więc musisz zgłosić naruszenie do UODO.

Inny przykład: Utrata dysku służbowego zawierającego dane pracowników, ale dane były w pełni zaszyfrowane i nie było możliwości odszyfrowania – po analizie stwierdziłeś, że ryzyko jest bardzo niskie. W takim przypadku zgłoszenia do UODO możesz nie dokonać, ale wpisujesz incydent do rejestru.

Co musi zawierać zgłoszenie do UODO

W zgłoszeniu musisz podać:

• charakter naruszenia – co się stało; jeśli możliwe, kategorie danych, przybliżoną liczbę osób, których dane dotyczą;
• dane kontaktowe – np. imię i nazwisko IOD-a lub innego punktu kontaktowego;
• przewidywane skutki naruszenia dla osób;
• opis działań podjętych lub planowanych przez Ciebie – co zrobiłeś, żeby zminimalizować szkody.

Jeśli nie masz wszystkich informacji w momencie zgłoszenia – możesz przesłać zgłoszenie wstępne, a resztę uzupełnić później, ale w terminie do 72 godzin.

Praktyczna wskazówka: Zadbaj, by Twoje procedury obsługi incydentu przewidywały szybkie zebranie tych danych – kto zgłosił, kiedy, jakie dane dotknięte, jakie osoby mogły mieć dostęp, jakie środki ochrony były zastosowane.

Kiedy trzeba zawiadomić osoby, których dane dotyczą

Osoby (np. uczniowie, pracownicy, klienci), których dane zostały naruszone, muszą być zawiadomione wtedy, gdy naruszenie „może powodować wysokie ryzyko dla praw lub wolności tych osób”.
Zawiadomienie powinno być napisane prostym językiem. W treści wskaż:

• co się stało;
• jakie dane zostały naruszone;
• jakie mogą być skutki;
• co robisz, by ograniczyć szkody;
• dane kontaktowe, gdzie można uzyskać więcej informacji.
  Jeśli natomiast dane zostały np. zaszyfrowane i ryzyko jest bardzo małe – zawiadomienie osób może nie być wymagane.

Przykład: W Twojej organizacji e-mailem wysłano listę z nr PESEL i adresami domowymi 50 pracowników do nieuprawnionej osoby. To jest wysokie ryzyko – należy zawiadomić te osoby.

Przykładowa procedura obsługi incydentu.

1. Natychmiast po wykryciu incydentu:

• zbierz początkowe informacje: co się stało, kiedy, jakie dane, ile osób;
• odizoluj źródło naruszenia (np. wyłącz dostęp, zmień hasła, zabezpiecz system).

2. Przeprowadź analizę ryzyka:

• jakie dane naruszono (np. wrażliwe dane, dane zwykłe);
• jaka jest liczba osób poszkodowanych;
• czy dane są zaszyfrowane lub w jakiś sposób zabezpieczone;
• czy możliwe są konsekwencje (kradzież tożsamości, szkoda finansowa, naruszenie dobrego imienia).
• złóż zgłoszenie do UODO za pomocą formularza elektronicznego.
• jeśli potrzebujesz więcej czasu na szczegółowe dane, wyślij zgłoszenie wstępne.
• ułóż prostą wiadomość (lub listę) z wyjaśnieniem;
• podaj informacje kontaktowe;
• doradź, co te osoby mogą zrobić same (np. zmiana hasła, czujność na podejrzane e-mail).

3. W ciągu maksymalnie 72 godzin od stwierdzenia naruszenia (jeśli ryzyko nie zostało wykluczone):

4. Zdecyduj i jeśli trzeba – zawiadom osoby, których dane dotyczą:

5. Prowadź rejestr naruszeń: wpisz każdy przypadek – nawet jeśli nie musiałeś zgłaszać. Rejestr powinien zawierać okoliczności zdarzenia, ocenę ryzyka i podjęte działania.
6. Zrewiduj procedury: po incydencie zweryfikuj, czy Twoje mechanizmy ochrony były wystarczające. Upewnij się, że masz plan wykrywania naruszeń i reagowania na nie.

Typowe błędy, które widuję i których Ty możesz uniknąć

• Brak lub opóźnione zgłoszenie do UODO – termin 72 godzin jest kluczowy.
• Ocena „ryzyko = niskie” bez uzasadnienia – jeżeli nie udokumentujesz decyzji, organ może uznać to za naruszenie przepisów.
• Zawiadomienie osób w sposób niewłaściwy – użycie trudnego języka, pominięcie informacji o tym, co mogą zrobić sami.
• Brak odizolowania incydentu – przysłowiowe „zasypanie sprawy” bez działań naprawczych.
• Nieprowadzenie rejestru naruszeń – co utrudnia wykazanie, że działasz zgodnie z zasadą rozliczalności.

Zastanów się teraz – czy Twoja jednostka ma procedurę zgłaszania naruszeń? Czy masz wzór rejestru incydentów? Czy każda osoba odpowiedzialna wie, co robić, gdy wykryje wyciek danych? Jeżeli nie – koniecznie to uzupełnij. Jeśli już masz – sprawdź, czy uwzględnia wszystkie powyższe kroki i wskazówki.

Źródła:

• uodo.gov.pl; Kiedy, przy naruszeniu, należy zawiadamiać osoby, których dane dotyczą? Ważny wyrok NSA
• uodo.gov.pl; Jakie naruszenia trzeba zgłosić Prezesowi UODO, a jakie nie wymagają zgłoszenia?

---