Jak ocenić ryzyko naruszenia praw lub wolności osób fizycznych na wypadek stwierdzenia naruszenia?

Administrator, który dostał informację o incydencie naruszenia ochrony danych osobowych ma obowiązek przeprowadzenia analizy w celu stwierdzenia, czy doszło do naruszenia praw i wolności osób których dane dotyczą. Jak prawidłowo przeprowadzić taką analizę, aby trafnie ocenić ryzyko? 

Jak ocenić ryzyko naruszenia praw lub wolności osób fizycznych na wypadek stwierdzenia naruszenia?

-

9 października 2019

Administrator, który dostał informację o incydencie naruszenia ochrony danych osobowych ma obowiązek przeprowadzenia analizy w celu stwierdzenia, czy doszło do naruszenia praw i wolności osób których dane dotyczą. Jak prawidłowo przeprowadzić taką analizę, aby trafnie ocenić ryzyko?

Administrator może stwierdzić, że doszło do naruszenia, kiedy ma wystarczający stopień pewności co do tego, że zdarzenie zagrażające bezpieczeństwu doprowadziło do naruszenia ochrony danych osobowych — według Grupy Roboczej Art. 29 w Wytycznych dotyczących zgłaszania naruszeń.

Kiedy dochodzi do naruszenia?

Przyjmijmy, że administrator stwierdził naruszenie — więc kolejnym krokiem jest przeprowadzenie analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Jest to istotne, ponieważ dzięki tej analizie administrator dowie się, czy konieczne będzie zgłaszanie naruszenia organowi nadzorczemu oraz zawiadomienie osób, których dane dotyczą.  

Należy pamiętać, że realizacja procedur umożliwiających stwierdzenie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych jest obowiązkiem administratora niezależnie od zaistnienia naruszenia ochrony danych osobowych. 

Przy badaniu możliwego naruszenia, analizuje się prawdopodobieństwo jego wystąpienia oraz szkody dla osób, których dane dotyczą. Prościej mówiąc, jest to rozpatrywanie wydarzenia hipotetycznego. W sytuacji faktycznego wystąpienia naruszenia nacisk kładzie się już w całości na powstałe ryzyko, że naruszenie będzie skutkować wpływem na osoby fizyczne.

Jak przeprowadzić ocenę ryzyka naruszenia?

Według motywu 76 RODO przy ocenie ryzyka naruszenia praw i wolności osób fizycznych należy wziąć pod uwagę:

  • powagę zdarzenia, czyli wielkość szkody, jaką zdarzenie może spowodować względem osoby, której dane dotyczą,

  • prawdopodobieństwa wystąpienia zdarzenia będącego skutkiem naruszenia.

Stwierdzone zagrożenie w rzeczywistości może nie spowodować skutków dla praw i wolności osób, których dane są przetwarzane, może spowodować skutki znikome lub nawet katastrofalne. Skrajne przypadki mogą dotyczyć np. przetwarzania danych w systemach informacji medycznej. Jeżeli dojdzie do nieuprawnionej modyfikacji danych lub dane będą niedostępne w wyniku ich złego zabezpieczenia, to takie działania mogą skutkować utratą zdrowia, a nawet życia. Osoby odpowiedzialne za ocenę ryzyka naruszenia powinny przyjąć perspektywę osób, których dane są przetwarzane i dopiero z takiej perspektywy dokonywać oceny stopnia dotkliwości w przypadku faktycznego wystąpienia zagrożenia.

Aby prawidłowo ocenić skutki naruszenia wystarczy, że administrator oceni wielkość potencjalnej szkody, biorąc pod uwagę kontekst i okoliczności całego zdarzenia.

Może się zdarzyć tak, że przeprowadzona analiza wykaże, że nie istnieje żadne ryzyko naruszenia praw lub wolności osób fizycznych. W takiej sytuacji administrator jest zwolniony z obowiązku powiadamiania organu nadzorczego o naruszeniu. Jednocześnie należy pamiętać, że organ nadzorczy może poprosić administratora o uzasadnienie decyzji o niezgłoszeniu naruszenia — dlatego wnioski z przeprowadzonej analizy powinno się zapisywać w wewnętrznej ewidencji naruszeń.

Skutki naruszenia praw lub wolności osób fizycznych

Ryzyko naruszenia powstaje wtedy, gdy naruszenie może mieć skutek materialny, niematerialny i fizyczny dla osób, których dane dotyczą. Takimi szkodami są m.in.:

  • dyskryminacja,

  • kradzież tożsamości lub oszustwo dotyczące tożsamości, 

  • nadużycia finansowe,

  • straty finansowe,

  • nieuprawnione cofnięcie pseudonimizacji, 

  • utrata poufności danych osobowych chronionych tajemnicą zawodową,

  • naruszenie dobrego imienia

  • lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

A jeżeli naruszenie dotyczy danych osobowych ujawniających:

  • pochodzenie etniczne,

  • poglądy polityczne,

  • przekonania religijne lub światopoglądowe,

  • przynależność do związków zawodowych,

  • dane genetyczne,

  • dane dotyczące zdrowia,

  • dane dotyczące życia seksualnego

to w takim przypadku administrator powinien uznać, że występuje wysokie prawdopodobieństwo szkody. 

W razie jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeżeli okaże się, że taka ostrożność jest przesadzona.  

Dodatkowo przy ocenie ryzyka naruszenia praw i wolności osób fizycznych administrator powinien pamiętać, że każde naruszenie należy analizować i badać indywidualnie oraz że należy rejestrować wszelkie działania z tym naruszeniem związane.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2020
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!