Zawiadomienie osoby o naruszeniu ochrony danych
Przepisy RODO w powszechnym przekonaniu oznaczają wprowadzenie surowego reżimu w zakresie ochrony danych osobowych, który obciąża przedsiębiorców szeregiem nowych obowiązków. Jednym z takich nowych obowiązków jest zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.
Czy rzeczywiście surowe przepisy nakazują teraz zgłaszanie każdego naruszenia organowi nadzorczemu? Otóż nie, obowiązek ten aktualizuje się tylko w określonych sytuacjach. Po pierwsze nie każdy incydent – np. niespełnienie obowiązków informacyjnych z art. 13 RODO – będzie naruszeniem w rozumieniu RODO. Tylko niektóre z naruszeń wymagających zgłoszenia do PUODO będzie wymagało dodatkowo zawiadomienia osoby, której dotyczą. Jakie to sytuacje i co powinien zrobić wtedy administrator?
Kiedy administrator nie musi zawiadamiać osoby o naruszeniu?
Jak już zostało wyżej wskazane, zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, na podstawie art. 34 RODO będzie miało miejsce tylko w określonych przypadkach. Kiedy zatem można odstąpić od zawiadomienia osoby?
- Jeżeli administrator stwierdził, że naruszenie nie stanowi tzw. incydentu bezpieczeństwa, a więc naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Zgodnie z definicją naruszeniem będą wyłącznie sytuacje prowadzące do:
- przypadkowego lub niezgodnego z prawem zniszczenia danych,
- utracenia, zmodyfikowania danych,
- nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Wszystkie inne incydenty, które nie spełniają wskazanych w przepisie warunków nie będą obciążały administratora obowiązkiem – ani z art. 33 (zgłoszenie naruszenia organowi nadzorczemu), ani z art. 34 RODO (zawiadomienie o naruszeniu osoby, której dane dotyczą).
Przykład: Pracownik nie zastosował się do wytycznych pracodawcy co do wprowadzenia automatycznego włączania blokowania ekranu po 2 minutach nieaktywności przy komputerze. Jednak zawsze opuszczając stanowisko pracy włączał ręcznie blokadę ekranu oraz zamykał na klucz pokój.
- Jeżeli administrator stwierdził, że doszło do incydentu bezpieczeństwa, ale z dokonanej przez niego oceny ryzyka naruszenia praw lub wolności osób fizycznych wynika, że nie jest ono wysokie (art. 34 ust. 1 RODO).
Przykład: Sekretarka wysłała przez pomyłkę wykaz pracowników biorących udział w wyjeździe służbowym na skrzynkę mailową pracownika ochrony, który nie powinien mieć dostępu do danych przetwarzanych w tym konkretnym celu, ale w ramach wykonywania swoich obowiązków ma i tak dostęp do danych pracowników. W tym wypadku nieuprawniony dostęp do wykazu pracowników, których nazwiska ochroniarz i tak znał nie będzie prowadził do wysokiego ryzyka naruszenia praw lub wolności osób, których dane zostały ujawnione.
- Jeżeli administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych (art. 34 ust. 2 lit. a RODO).
Przykład: Pracownik pozostawił przy stanowisku odbioru przesyłek listę odbiorców i wyszedł na zaplecze. W tym czasie do sklepu weszła klientka, która aby zaoszczędzić czas zaczęła szukać na liście swojego numeru zamówienia. Mimo że doszło do nieuprawnionego dostępu do danych osobowych, to klientka nie była w stanie zidentyfikować danych zawartych na liście, ponieważ znajdowały się na niej wyłącznie numery zamówienia oraz pierwsze litery – imion i nazwisk innych klientów. Tak zaszyfrowane na liście informacje stanowiły dane osobowe wyłącznie dla pracownika sklepu, który pełne dane mógł sprawdzić w systemie informatycznym sklepu internetowego.
- Jeżeli administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą (art. 34 ust. 2 lit. b RODO).
Przykład: Informatyk wykrył wyciek danych osobowych – jedna z pracownic zaimportowała do systemu wysyłki newslettera listę klientów, którzy posiadają konto w sklepie internetowym, ale nie wyrazili zgody na otrzymywanie treści handlowych drogą elektroniczną. Jednocześnie podmiot udostępniający narzędzie do wysyłki newslettera (procesor) znalazł się w posiadaniu danych, do których nie powinien mieć dostępu. Informatyk niezwłocznie powiadomił administratora o zaistniałym incydencie oraz zawiadomił, że zaimportowany wykaz został już przez niego usunięty. Dodatkowo administrator zwrócił się do procesora z zawiadomieniem o incydencie i prośbą o usunięcie wszystkich kopii przesłanych danych. Procesor w odpowiedzi zawiadomił, że wykaz został usunięty tak szybko, że nie zostały wykonane żadne kopie zapasowe. Administrator ocenił, że w zaistniałej sytuacji ryzyko naruszenia praw lub wolności osób nie jest wysokie.
- Jeżeli zawiadomienie wymagałoby niewspółmiernie dużego wysiłku – wówczas administrator wydaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób (art. 34 ust. 2 lit. c RODO).
- Jeżeli istnieje przepis szczególny – w prawie UE lub prawie krajowym, który w warunkach określonych w art. 23 ust. 1 lit. a-j RODO, zwalnia z obowiązku zawiadomienia o naruszeniu osoby, której dane dotyczą. Na chwilę obecną taki przepis nie istnieje. Wciąż trwają jednak prace legislacyjne nad ustawą o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO) więc nadal krajowy prawodawca może z skorzystać z przewidzianej w RODO możliwości.
Jak usunąć dane osobowe z wyszukiwarki Google? Rafał Stępniewski
Zgłoszenie naruszenia organowi nadzorczemu a zawiadomienie osoby
Biorąc pod uwagę powyższe warunki, nie każde naruszenie będzie wymagało zgłoszenia organowi nadzorczemu. Tylko te ze zgłoszonych naruszeń powodujące wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, będą wymagały dodatkowo zawiadomienia tych osób o zaistniałym zdarzeniu.
Zgodnie z art. 34 ust. 4, jeżeli administrator jeszcze nie zawiadomił osób o incydencie, po zgłoszeniu go do organu nadzorczego, organ może:
zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniomJeżeli szukasz wsparcia prawnego swojego e-biznesu
- zażądać zawiadomienia osób – z uwagi na prawdopodobieństwo, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko,
- stwierdzić, że został spełniony jeden z warunków z art. 34 ust. 3 (wyżej opisane sytuacje z punktów 3-5, kiedy administrator może odstąpić od zawiadamiania osób o naruszeniu).
Czas na zawiadomienie o naruszeniu
Obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu powinien być wykonany bez zbędnej zwłoki (art. 34 ust. 1 RODO). Przy obowiązku zgłoszenia naruszenia organowi nadzorczemu okres bezzwłocznej reakcji administratora prawodawca określił – w standardowych wypadkach – jako nie więcej niż 72 godziny.
W przypadku zawiadomienia osoby, okres bezzwłocznego działania nie został dookreślony. Można przypuszczać, że często w praktyce administratorzy w pierwszej kolejności skupią się na zgłoszeniu incydentu organowi nadzorczemu i dochowaniu terminu 72 godzin. Obowiązkiem administratorów powinno być jednak również bezzwłoczne dokonanie oceny ryzyka naruszenia praw lub wolności osób i działanie w sytuacji stwierdzenia naruszenia dwutorowo w zakresie realizacji wymogów RODO.
Jak powiadomić osobę o naruszeniu?
RODO kładzie szczególny nacisk na komunikatywność przekazów kierowanych do osób, których dane dotyczą. Również art. 34 ust. 2 RODO wskazuje, aby w zawiadomieniu osoby administrator jasnym i prostym językiem opisał charakter naruszenia ochrony danych osobowych. Dodatkowo zawiadomienie powinno zawierać co najmniej następując informacje:
zobacz dlaczego i jak możemy pomócPolityka prywatności to ważny dokument
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
- możliwe konsekwencje naruszenia ochrony danych osobowych,
- środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Obowiązek dokumentowania naruszeń
Obowiązki związane z dokumentowaniem naruszeń w kontekście zawiadomień osób, których dane dotyczą należy rozumieć dwojako:
Po pierwsze – administrator powinien być w stanie wykazać, że dochował obowiązku wynikającego z art. 34 ust. 1 RODO. W tym celu powinien w sposób adekwatny do formy zawiadomienia udokumentować je. Jeśli zaś odstąpił od zawiadamiania oceniając, że nie zachodzi wysokie ryzyko naruszenia praw lub wolności osoby, powinien na wypadek kontroli przechowywać udokumentowaną ocenę ryzyka.
Po drugie – zgodnie z art. 33 ust. 5 RODO, administrator powinien dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
Konsekwencje niedopełnienia obowiązku
Obowiązek zawiadomienia osób o naruszeniu ochrony danych osobowych nie ma charakteru powszechnego. Oznacza to, że administrator musi powiadomić osoby o incydencie tylko wtedy, gdy może powodować wysokie ryzyko naruszenia praw lub wolności osób. Przepis określa wymogi dotyczące czasu i treści zawiadomienia oraz wyjątki od obowiązku. Dodatkowo przyznaje organowi nadzorczemu uprawnienie do nakazania administratorowi spełnienia obowiązku zawiadomienia.
Niezawiadomienie osoby, której dana dotyczą, o incydencie powodującym dla niej wysokie ryzyko naruszenia praw lub wolności może być podstawą do nałożenia na administratora kary pieniężnej w wysokości do 10 mln euro lub do 2% całkowitego rocznego obrotu światowego – w przypadku przedsiębiorstwa (art. 83 ust. 4 RODO).
Czy ten artykuł był przydatny?
