Dokumentowanie naruszeń według RODO – jak zrealizować ten obowiązek

Jedną ze zmian, jakie wprowadza ogólne rozporządzenie o ochronie danych, jest kwestia związana z bezpieczeństwem danych osobowych. Ustawodawca europejski w art. 33 i 34 ogólnego rozporządzenia o ochronie danych przewidział różne obowiązki administratora danych i podmiotu przetwarzającego (tj. procesora) związane z wystąpieniem naruszenia ochrony danych osobowych. Administrator danych, zgodnie z art. 33 ust. 5 ogólnego rozporządzenia o ochronie danych powinien dokumentować wszelkie naruszenia ochrony danych osobowych. W tym celu powinno się prowadzić rejestr naruszeń. Ważne, aby organ nadzorczy mógł zweryfikować, czy administrator danych realizuje ten obowiązek.

Pojęcie „naruszenia ochrony danych osobowych” zostało zdefiniowane jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 ogólnego rozporządzenia o ochronie danych). Pojęcie naruszenia ochrony danych osobowych obejmuje bardzo szeroki katalog zdarzeń, które można podzielić na zdarzenia:

• losowe zewnętrzne (np. pożar prowadzący do utraty dokumentów papierowych zawierających dane osobowe),
• losowe wewnętrzne (takie jak np. zgubienie nośnika pendrive, na którym zapisane były pliki zawierające dane osobowe) oraz
• o charakterze umyślnym (np. atak hakerski, którego skutkiem jest nieuprawniony dostęp do systemów informatycznych, w których przetwarzane są dane osobowe).

Ogólne rozporządzenie o ochronie danych kładzie duży nacisk na zapobieganie skutkom wystąpienia incydentu, w motywie 85 wskazuje, że „brak odpowiedniej i szybkiej reakcji na wystąpienie incydentu może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne”.

Ze względu na ryzyko naruszenia praw lub wolności osób fizycznych i związane z tym dalsze konsekwencje, na gruncie ogólnego rozporządzenia o ochronie danych, można wyodrębnić trzy rodzaje incydentów:

• naruszenie ochrony danych osobowych, które nie podlega zgłoszeniu organowi nadzorczemu (czyli takie, które z małym prawdopodobieństwem skutkować będzie ryzykiem naruszenia praw i wolności osób fizycznych – art. 33 ust. 1 zdanie 1 in fine ogólnego rozporządzenia o ochronie danych).
• incydent, o którym trzeba zawiadomić zarówno organ nadzorczy, jak i osobę, której dane dotyczą (naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – art. 34 ust. 1 ogólnego rozporządzenia o ochronie danych).
• naruszenie podlegające zgłoszeniu jedynie organowi nadzorczemu.

Z naruszeniem, które trzeba zgłosić jedynie organowi nadzorczemu, mamy do czynienia w dwóch przypadkach:

1) nie jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1 zdanie 1 in principio ogólnego rozporządzenia o ochronie danych),

2) naruszenie ma charakter naruszenia drugiego rodzaju (tj. może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych), ale jednak zawiadomienie osoby, której dane dotyczą, nie jest konieczne ze względu na wypełnienie przesłanek z art. 34 ust. 3 ogólnego rozporządzenia o ochronie danych – tj. np. dane są szyfrowane.

Zgodnie z art. 33 ust. 5 zdanie 1 in principio ogólnego rozporządzenia o ochronie danych administrator danych dokumentuje wszelkie naruszenia ochrony danych osobowych. Najlepiej w celu dokumentowania tego rodzaju naruszeń prowadzić rejestr naruszeń, w którym powinny znaleźć się wszystkie trzy wskazane powyżej rodzaje incydentów.

Jak powinien wyglądać rejestr incydentów przewidziany w ogólnym rozporządzeniu o ochronie danych? Zgodnie z art. 33 ust. 5 zdanie 1 ogólnego rozporządzenia o ochronie danych rejestr taki powinien wskazywać:

• okoliczności naruszenia ochrony danych osobowych,
• jego skutki oraz
• podjęte działania zaradcze.

Poziom szczegółowości prowadzonego rejestru incydentów będzie na pewno określony w praktyce kontrolnej organu nadzorczego. Stosownie do art. 33 ust. 5 zdanie 2 ogólnego rozporządzenia o ochronie danych prowadzony rejestr incydentów musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania tego artykułu. Jest to odniesienie do wyrażonej w art. 5 ust. 2 ogólnego rozporządzenia o ochronie danych zasady rozliczalności. Zgodnie z nią administrator danych musi być w stanie wykazać przestrzeganie zasad przetwarzania danych osobowych (m.in. zasadę integralności i poufności).