Naruszenie ochrony danych osobowych, wcześniej czy później, zdarzy się w każdej organizacji. RODO narzuciło na administratorów surowe wymogi dotyczące monitorowania naruszeń i w niektórych przypadkach ich zgłaszania. Warto wiedzieć kiedy i jak reagować na naruszenie.

Naruszenie danych to nie tylko teoria

W większości przypadków dane osobowe są jednym z ważniejszych elementów prowadzonej przez organizację działalności, a praca z danymi wiąże się z realnym zagrożeniem ich bezpieczeństwa. W działalności każdej organizacji może dojść do naruszenia ochrony danych osobowych, a wręcz mało prawdopodobne, aby nigdy do takiego naruszenia nie doszło. Oczywiście żaden administrator nie chce, aby w jego organizacji miały miejsca naruszenia. Jednak brak stwierdzonych naruszeń często nie wynika z tego, że realnie nie wystąpiły, a raczej z faktu, że nikt w organizacji nie wiedział, że dane zdarzenie należy tak zakwalifikować i podjąć odpowiednie działania.

Kiedy mamy do czynienia z naruszeniem ochrony danych?

Jeśli jesteś administratorem danych osobowych lub kierujesz podmiotem, który ma status administratora danych osobowych pamiętaj o tym, że zodnie z RODO naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przykłady praktyczne:

• przeslanie wiadomości e-mail z danymi osobowymi do błędnego adresata,
• utrata nośników danych,
• zagubienie dokumentów,
• ataki hakerskie,
• utrata hasła do zaszyfrowanych danych,
• niedozwolona lub przypadkowa zmiana danych.

Co robić, gdy dojdzie do naruszenia?

Każda osoba w organizacji powinna wiedzieć jak postąpić w przypadku podejrzenia wystąpienia naruszenia ochrony danych osobowych. Takim działaniem najczęściej powinno być niezwłoczne powiadomienie odpowiedniej, wskazanej osoby odpowiedzialnej w organizacji za podjęcie dalszych kroków.

Po otrzymaniu informacji o incydencie, administrator powinien podjąć czynności mające na celu ustalenie, czy doszło do naruszenia bezpieczeństwa danych osobowych. Aministrator musi ocenić czy doszło do przypadkowego lub niezgodnego z prawem:

• zniszczenia, utracenia (naruszenia dostępności),
• zmodyfikowania (naruszenia integralności),
• nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych  (naruszenia poufności) przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Po ustaleniu, że doszło do naruszenia ochrony danych osobowych, administrator powinien niezwłocznie podjąć czynności mające na celu, między innymi:

• uniemożliwienie dalszego naruszania bezpieczeństwa danych osobowych;
• przywrócenie prawidłowego działania zabezpieczeń;
• ustalenie, w jaki sposób doszło do naruszenia bezpieczeństwa;
• ustalenie przyczyn naruszeń oraz wyeliminowanie naruszeń w przyszłości;
• dokonanie oceny ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe zostały objete zidentyfikowanym naruszeniem.

Od dokonanej oceny ryzyka zależy, to czy:

• naruszenie wymaga zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych
• naruszenie wymaga zawiadomienia o naruszeniu osób, których dane zostały tym naruszeniem objęte.

Zgodnie z RODO administrator ma obowiązek:

1. bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;
2. bez zbędnej zwłoki, zawiadomić osobę, której dane dotyczą o naruszeniu jej danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności tych osób (z wyjątkami określonymi w art. 34 ust. 3 RODO).

Dokumentacja – tarcza w razie kontroli

Administrator musi również dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja musi być kompletowana w taki sposób, aby organ nadzorczy mógł zweryfikować przestrzeganie obowiązków związanych z naruszeniami.

Obowiązkowa lektura dla każdego administratora

Naruszenia ochrony danych osobowych to aktualnie gorący temat, zwłaszcza po publikacji poradnika wydanego ostatnio przez Prezesa Urzędu Ochrony Danych Osobowych. Niewątpliwie dokument ten powinien być obowiązkową lekturą każdego administratora danych osobowych. Z poradnikiem można zapoznać się na stronie Urzędu Ochrony Danych Osobowych.

radca prawny Patrycja Wasilewska