Zgłoszenie naruszenia ochrony danych – czy znaczenie ma liczba poszkodowanych

Z art. 4 pkt 12 RODO wynika, że naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Definicja ta stanowi punkt wyjścia do oceny, czy w danej sytuacji doszło do naruszenia ochrony danych.

W niektórych przypadkach naruszenie ochrony danych osobowych powinno zostać zgłoszone:

• Prezesowi Urzędu Ochrony Danych Osobowych, ale także
• osobom fizycznym, których przetwarzane dane osobowe dotyczą.

Na podstawie art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator danych osobowych bez zbędnej zwłoki (w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) powinien zgłosić je Prezesowi UODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Poza tym, zgodnie z ust. 5 administrator powinien dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić Prezesowi UODO na weryfikowanie przestrzegania art. 33 RODO.

Z powyższego wynika, że naruszenie powinniśmy zgłosić, jeżeli:

• dany incydent wpisuje się w opisaną w RODO definicję naruszenia oraz
• wystąpiło prawdopodobieństwo naruszenia praw i wolności jakiejkolwiek osoby.

Nie ma w tym wypadku znaczenia liczba osób poszkodowanych.

Stąd też, obowiązkiem zgłoszenia naruszenia Prezesowi UODO będzie np. objęta sytuacja, w której z winy pracowników przychodni wyniki badań choćby jednego pacjenta dostaną się w ręce niepowołanej do ich odbioru osoby.

Na podstawie art. 34 ust. 1 RODO naruszenie ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zobowiązuje ADO do powiadomienia osoby, której takie naruszenie dotyczy. Zawiadomienie takie nie będzie jednak wymagane, gdy:

• administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie (w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych);
• administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
• wymagałoby ono niewspółmiernie dużego wysiłku - w takim przypadku administrator powinien wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób.

Dlatego też trudno jest mówić o niewspółmiernie dużym wysiłku w przypadku jednej poszkodowanej osoby (chyba że z jakichkolwiek przyczyn ustalenie jej danych kontaktowych sprawia istotne trudności).