Naruszenie przepisów o ochronie danych osobowych

• Rafał Stępniewski
• /
• 8 maja 2019

Jaka jest różnica pomiędzy naruszeniem przepisów o ochronie danych osobowych a naruszeniem ochrony danych osobowych? Jakie wyróżniamy rodzaje naruszeń? Jak dokumentować naruszenia ochrony danych osobowych?  W jaki sposób zgłaszać takie incydenty? Na te wszystkie pytania odpowiadamy w naszym tekście.

Mówiąc o przepisach o ochronie danych osobowych w pierwszym momencie pomyślimy zapewne o RODO. Jak się jednak okazuje, RODO to nie jedyny akt prawny zawierający przepisy dotyczące ochrony danych osobowych. Już w 1997 roku w  Konstytucji RP w art. 47 wskazano, że każdy ma prawo do ochrony prawnej życia prywatnego, dodatkowo w art. 51 wskazanych zostało 5 przesłanek dotyczących zbierania informacji.

Kolejnym zbiorem aktów, które wprowadzają zapisy dotyczące danych osobowych będą również przepisy sektorowe, które upoważniają różne organy do przetwarzania różnych typów danych osobowych. Przykładami mogą tu być: prawo bankowe, prawo pocztowe, prawo telekomunikacyjne lub kodeks pracy.

Dopiero najmłodszym aktem w tym zestawieniu jest RODO, które w szerokim zakresie opisuje, jakie działania powinien spełnić podmiot, który przetwarza dane osobowe. Obecnie trwa również dostosowywanie innych ustaw do zapisów RODO. Mówiąc więc o naruszeniu przepisów o ochronie danych osobowych mamy do czynienia z wieloma aktami prawa, a nie tylko z RODO.

Czy naruszenie przepisów o ochronie danych osobowych jest tym samym, co naruszenie ochrony danych osobowych?

Te dwa pojęcia mogą być mylone ze sobą zwłaszcza, że róznią się zaledwie jednym wyrazem. Różnice pomiędzy naruszeniem przepisów o ochronie danych osobowych a naruszeniem ochrony danych osobowych są jednak znaczące.

• Naruszenie przepisów o ochronie danych to zachowanie naruszające RODO, akty delegowane i wytyczne do tych aktów oraz prawa uchwalone wewnętrznie przez kraje członkowskie takie jak Konstytucja, ustawy czy rozporządzenia.
• Naruszenie ochrony danych to natomiast naruszenie bezpieczeństwa opisane w art. 4 pkt 12 RODO, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Możliwy jest przypadek, w którym naruszone zostaną przepisy o ochronie danych osobowych, ale nie nastąpi naruszenie ochrony danych osobowych. Natomiast każde naruszenie ochrony danych osobowych będzie naruszeniem przepisów o ochronie danych osobowych. Doskonałym przypadkiem może być np. sytuacja, w której administrator zbiera dane zgodnie z prawem, posiada odpowiednie ich zabezpieczenia, ma określony cel przetwarzania danych i podstawę prawną, która jest udokumentowana, ale przy zbieraniu danych osobowych nie spełnił wobec osoby obowiązku informacyjnego. W takim przypadku dochodzi do naruszenia przepisów o ochronie danych osobowych, ale nie dochodzi do naruszenia danych osobowych, gdyż te są należycie zabezpieczone przez administratora.

Klasyfikowanie naruszeń

Naruszenie może być przypadkowe lub celowe (niezgodne z prawem), może polegać na zniszczeniu, utracie lub zmodyfikowaniu danych, jak również ich nieuprawnionym ujawnieniu lub nieuprawnionym dostępie do danych, które są przechowywane, przesyłane lub w inny sposób przetwarzane.

Korzystając z definicji powiązanych z Normą ISO 27001 dotyczącą bezpieczeństwa informacji, możemy przywołać trzy kategorie, które od dawna są używane w bezpieczeństwie informacji:

• integralność danych,

• poufność danych,

• dostępność danych.

Opierając się na tych kategoriach można uznać, że naruszenie poufności danych nastąpi w momencie, gdy dojdzie do nieuprawnionego ujawnienia lub udostępnienia danych. Z naruszeniem integralności danych będziemy mieć do czynienia w momencie, gdy nastąpi nieuprawniona lub przypadkowa ich modyfikacja, a z naruszeniem dostępności — w sytuacji przypadkowego lub nieuprawnionego dostępu lub ich zniszczenia. Biorąc pod uwagę okoliczności, z jakimi można się spotkać w życiu codziennym możemy mieć do czynienia z dowolną kombinacją kategorii naruszenia danych.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Jak dokumentować naruszenia?

Kolejną kwestią związaną z naruszeniem ochrony danych osobowych jest dokumentowanie naruszenia. Skąd pracownicy mają wiedzieć o tym, że w ogóle powinni kogokolwiek informować? Najlepszym rozwiązaniem takiego problemu będzie stworzenie procedury, która opisze dokładne działanie każdego pracownika, który bierze udział w przetwarzaniu danych. Procedura powinna określać, co ma zrobić każdy pracownik w przypadku wykrycia innego stanu niż ten uznany za prawidłowy. Procedura powinna wymagać zgłoszenia każdej sytuacji, która odbiega od codzienności. Nawet jeśli to będzie zgłoszenie, które w efekcie nie będzie oznaczało naruszenia.

W swojej praktyce wielokrotnie spotkałem się z używaniem pojęć zdarzenia i incydentu, gdzie wszystkie zgłoszenia dotyczące odmiennych od normalności stanów traktowane były jako zdarzenia i po przeanalizowania powodów ich wystąpienia mogły zostać zakwalifikowane jako incydenty, z którymi związane było odpowiednie postępowanie. Jest to jeden z wielu sposobów rozdziału analizowanych zgłoszeń pozwalający na zmniejszenie powagi zgłoszenia, co może przełożyć się na łatwiejsze zgłoszenie go przez pracownika.

Nazwanie każdego zgłoszenia incydentem może upowszechnić to stwierdzenie i negatywnie wpłynąć na zgłaszających, którzy mogą nie rozpoznać powagi sytuacji, ale stwierdzą, że to kolejny incydent, z którym nikt nic nie zrobi. Procedura powinna w prosty i jasny sposób opisać zasady zgłaszania, wskazać, kogo i w jaki sposób powiadomić oraz wskazywać, jakie informacje mają zostać przekazane w zgłoszeniu. Wszystkie takie zgłoszenia powinny być rejestrowane przez osobę odpowiedzialną, co pozwoli na udokumentowanie postępowania zgodnego z RODO.

Każde zgłoszenie dokonane przez pracowników powinno być dokładnie analizowane. Może się zdarzyć, że podobny opis zdarzenia dotyczyć będzie zgłoszenia uznanego za naruszenie o małym ryzyku naruszenia praw i wolności, jak i naruszeniem, które w żadnym przypadku nie będzie mogło być pominięte.

Przykład takiego zdarzenia niech stanowi wysłanie wiadomości e-mail do klientów z informacją o zmianie numeru telefonu do umawiania. Osoba wysyłająca wiadomość przez pomyłkę wpisała wszystkie adresy pole “do wiadomości”.

Z jednej strony jest to ujawnienie danych w postaci adresów e-mail, które mogą zawierać np. imię i nazwisko, a z drugiej strony nie stanowi to aż tak ciężkiego naruszenia.

Oczywiście inne znaczenie będzie miało takie naruszenie dla salonu fryzjerskiego, a inne dla gabinetu psychiatry. Z pozoru jest to takie samo zdarzenie, ale w pierwszym przypadku ujawniamy dane klientów salonu fryzjerskiego, a w drugim dane klientów gabinetu psychiatrycznego, co łatwo powiązać z informacjami o stanie zdrowia. A takie informacje należą już do kategorii danych szczególnych podlegających szczególnej ochronie.

Ile czasu ma administrator na zgłoszenie naruszenia?

Wprowadzenie procedury to pierwsza czynność. Kolejną powinno być szkolenie personelu i upowszechnienie procedury. W przypadku wystąpienia naruszenia danych osobowych administrator danych ma 72 godziny na zgłoszenie naruszenia do organu nadzorczego, czyli Urzędu Ochrony Danych Osobowych. Warto w takim przypadku mieć już gotową procedurę, a nie dopiero sprawdzać, co należy zrobić. W przypadku wykrycia naruszenia, 72 godziny to bardzo krótki czas, zwłaszcza, jeśli wykrycie nastąpi pod koniec dnia pracy w piątek.

Administrator danych często korzysta z podmiotów przetwarzających, którym powierza dane do przetwarzania. W przypadku wystąpienia naruszenia w podmiocie przetwarzającym 72 godziny liczone są od momentu wykrycia naruszenia w tym podmiocie, a nie od momentu, kiedy administrator dowiedział się o naruszeniu.

Administrator musi więc posiadać dodatkowy czas na dokonanie zgłoszenia. Jednym z punktów umowy powierzenia powinno być określenie czasu, jaki podmiot przetwarzający ma na zgłoszenie ewentualnego naruszenia do administratora, gdyż to administrator powiadamia organ nadzorczy. Jeśli więc administrator zapomni o tej kwesti może okazać się, że po otrzymaniu informacji z podmiotu przetwarzającego nie będzie już miał czasu na powiadomienie, ponieważ czas został wykorzystany przez podmiot przetwarzający.

Każdy administrator powinien prowadzić rejestr naruszeń, w którym odnotowuje informacje o każdym naruszeniu ochrony danych osobowych wraz ze szczegółami dotyczącymi naruszenia. Nie ma tu znaczenia, czy ostatecznie naruszenie zostało zgłoszone do Urzędu czy też nie. Nic nie stoi również na przeszkodzie, aby w rejestrze zapisywać wszystkie zdarzenia zgłoszone przez pracowników, a w odpowiednim miejscu zaznaczać, czy zgłoszenie uznano za incydent będący naruszeniem ochrony danych czy też nie. 

W jaki sposób zgłaszać naruszenia?

Zgłoszeniu podlega naruszenie ochrony danych osobowych, a nie naruszenie przepisów ochrony danych. Każde naruszenie ochrony danych osobowych wiąże się z naruszeniem przepisów o ochronie danych osobowych, ale nie odwrotnie — nie każde naruszenie przepisów o ochronie danych osobowych wiąże się z naruszeniem ochrony danych osobowych.

Warto podczas wewnętrznego wyjaśnienia wykrytego naruszenia zbierać informacje, które będą potrzebne w dalszym postępowaniu. Szczegółowy zakres informacji, jakie potrzebne są do zgłoszenia naruszenia zawarty został w art. 33 RODO, a w przypadku konieczności powiadomienia osób, których danych dotyczy naruszenie — w art. 34 RODO. Informacje te powinny znaleźć się w prowadzonym rejestrze. Zbieranie tych informacji na etapie wyjaśnień wewnętrznych pozwoli na oszczędność czasu i sprawne wypełnienie formularza zgłoszenia przygotowanego przez Urząd Ochrony Danych Osobowych. Warto wcześniej zapoznać się ze stroną uodo.gov.pl, aby w razie potrzeby nie szukać formularza zgłoszenia.

Zgłoszenie naruszenia ochrony danych osobowych można dokonać na 4 sposoby:

1. elektronicznie poprzez wysłanie wypełnionego formularza  za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl

2. elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP

3. elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego na platformie biznes.gov.pl

4. tradycyjnie pocztą poprzez wysłanie wypełnionego formularza na adres Urzędu Ochrony Danych Osobowych.

Co robić — zgłaszać czy nie zgłaszać?

RODO przewiduje sytuacje, kiedy zgłoszenie nie musi być dokonane. Mowa o tym w art. 33 RODO. Dotyczy to sytuacji, kiedy jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeśli nie jesteśmy w stanie określić tego prawdopodobieństwa to zgłoszenie powinno nastąpić.

W ostatecznym rozliczeniu lepiej, jest Urząd dowie się o naruszeniu od administratora, który dokładnie opisze sytuację niż na przykład od niezadowolonego klienta, który zgłosi skargę. Należy pamiętać, że dokonanie zgłoszenia nie jest jednoznaczne z kontrolą Urzędu ani z karą administracyjną.

Sposób karania opisany został w art. 83 RODO. Znajdziemy w nim opis 11 czynników, które powinny być wzięte przy nakładaniu ewentualnych kar administracyjnych. Kara w każdym indywidualnym przypadku ma być skuteczna, proporcjonalna i dotkliwa. Przy odpowiednim zbiegu okoliczności może wynieść do 20 mln euro lub 4% rocznego światowego obrotu karanego przedsiębiorstwa w zależności, która z tych kwot będzie wyższa. Kary administracyjne nakłada się za naruszenie rozporządzenia RODO.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.