Dane osobowe – jak i kiedy zgłosić naruszenie do Prezesa UODO?

Czym jest incydent?

RODO nie wprowadza definicji. Można jednak w oparciu o SJP i normę PN-ISO/ IEC 27000 wskazać, iż jest to pojedyncze zdarzenie lub seria niepożądanych lub nieoczekiwanych zdarzeń powiązanych z bezpieczeństwem informacji, które ze znaczącym prawdopodobieństwem mogą powodować zagrożenie dla działalności biznesowej i stanowią potencjalne zagrożenie dla bezpieczeństwa danych, w tym również danych osobowych.

Trzy grupy incydentów

• incydenty umyślne, czyli przekazanie lub ujawnienie danych osobom do tego nieupoważnionym, umyślne zniszczenie danych, przypadek kradzieży (na przykład nośników danych lub sprzętu), czy włamanie do systemu informatycznego
• losowe incydenty wewnętrzne, a więc wszelkie awarie sprzętów IT, nośników danych, serwerów, oprogramowania, również błąd ludzki
• losowe incydenty zewnętrzne, a mianowicie zanik, czy utrata zasilania, także zanik/utrata łączności, zalanie oraz pożar.

Czym jest naruszenie ochrony danych osobowych?

Zgodnie z art. 4 pkt 12 RODO, jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych Reasumując, to nieodwracalne naruszenie bezpieczeństwa informacji, które odnoszą się do danych osobowych.

Trzy formy naruszeń

• zniszczenie danych osobowych –  m.in. w efekcie zalania archiwum zawierającego dokumenty, spalenia się archiwum ze zgodami na przetwarzanie danych osobowych, bądź usunięcia z pamięci komputera plików, przy równoczesnym zniszczeniu kopii zapasowych,
• zmiana danych osobowych – dokonanie modyfikacji w bazach danych przez nieuprawnioną osobę, w skutek czego dane stały się błędne np. przemieszanie numerów telefonów, imion oraz nazwisk poszczególnych osób,
• utrata danych osobowych – kradzież służbowego laptopa, który nie był zabezpieczony hasłem, zgubienie teczki zawierającej CV kandydatów.

Każdy incydent dotyczący danych osobowych jest tożsamy z naruszeniem. Co istotne, nie każde naruszenie powinno zostać zgłoszone do GUODO. To administrator danych osobowych (ADO) powinien ocenić, czy wystąpienie danego incydentu jest jednocześnie tak poważnym naruszeniem, że wiąże się z czyjąś krzywdą. W tym celu ADO powinien dokonać prognozy potencjalnych skutków danego naruszenia.

Zgłoszenie naruszenia ochrony danych osobowych a obowiązki ADO

ADO jest zobowiązany dokonać zgłoszenia naruszenia do organu nadzorczego, a mianowicie do Prezesa Urzędu Ochrony Danych Osobowych. Musi to nastąpić za pośrednictwem dedykowanego systemu informatycznego umieszczonego na platformie biznes.gov.pl. Konieczne jest uprzednie uzupełnienie formularza, który dostępny jest do pobrania na stronie uodo.gov.pl. Możliwe jest też wypełnienie formularza za pomocą E-PUAP’u I skierowanie na adres elektronicznej skrzynki podawczej: /GIODO/SkrytkaESP.

Zgłaszając naruszenie ochrony danych osobowych, koniecznie przekaż wszystkie informacje, które wskazane zostały w treści art.33. ust. 3 RODO.

Minimum informacji, które powinno zawierać zgłoszenie to:

• opis charakteru naruszenia ochrony danych osobowych, w tym (w miarę możliwości) wskazanie:
• kategorii i przybliżonej liczby osób, których dane dotyczą,
• kategorii i przybliżonej liczbę wpisów danych osobowych, których dotyczy naruszenie,
• imienia I nazwiska, a także danych kontaktowych Inspektora Ochrony Danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać niezbędne informacje;
• opis możliwych konsekwencji naruszenia ochrony danych osobowych;
• opis środków zastosowanych lub proponowanych przez  ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków, które mają służyć zminimalizowaniu jego ewentualnych negatywnych skutków.;
• wskazanie przyczyn opóźnienia, w gdy do zgłoszenia organowi nadzorczemu naruszenia doszło po upływie 72 godzin od momentu jego stwierdzenia (art. 33 ust 1 zd. 2 RODO);

Dozwolone formy zgłoszenia naruszenia

• kompletne/jednorazowe – kiedy w czasie dokonywania zgłaszania naruszenia posiadasz wszystkie informacje o zaistniałym wydarzeniu
• wstępne – kiedy istnieje ryzyko przekroczenia limitu 72 godzin, podczas których powinno zostać dokonane zgłoszenie, a kiedy nie posiadasz jeszcze wszystkich informacji o zaistaniałym wydarzeniu,
• uzupełniające/zmieniające –  jest traktowane jako uzupełnienie zgłoszenia wstępnego, ale także jako zaktualizowanie zgłoszenia kompletnego/jednorazowego jeśli wskazane wcześniej informacje okażą się niepoprawne.

Uwaga! Obowiązek zgłoszenia bez zbędnej zwłoki naruszenia danych osobowych spoczywa także na procesorze, a więc podmiocie przetwarzającym dane. Z tą różnicą, iż processor zgłoszenia dokonuje do ADO, w czasie, jaki wskazuje treść umowy powierzenia.

Co w sytuacji, gdy ADO nie jest w stanie dokonać zgłoszenia?

Gdy ADO nie ma możliwości dokonania zgłoszenia do organu nadzorczego, pomocne może okazać się pełnomocnictwo. Warto je ustanowić np. dla któregoś z pracowników. Osoba składająca wniosek, która nie jest ADO, zawiadamia wówczas organ nadzorczy dołączając dokument elektroniczny (opatrzony kwalifikowanym podpisem elektronicznym osoby, która pełnomocnictwa udzieliła) oraz dowód zapłaty za pełnomocnictwo.

Choć formę, jak i strukturę dokumentacji  dotyczących naruszeń dobiera ADO, warto wskazać, iż istnieją główne zasady rejestrowania informacji, które dyktują co powinno zostać każdorazowo zawarte w dokumentacji naruszeń. Określa to art. 33 ust. 5 RODO, wskazując na:

• okoliczności naruszenia ochrony danych osobowych,
• skutki naruszenia ochrony danych osobowych,
• podjęte działania zaradcze.

Pamiętaj – prowadź dokumentację zgodnie z RODO. Dane osobowe muszą być chronione w sposób, jaki określają przepisy. Wszelka dokumentacja dotycząca danych osobowych musi być prowadzona tak, by była łatwa do weryfikacji przez organ nadzorczy. Szczególnie zwróć uwagę na obowiązki dyktowane treścią art. 33 ust. 5 RODO! W razie potrzeby, skorzystaj z pomocy eksperta!