Opracuj procedurę postępowania w przypadku naruszenia ochrony danych

Naruszenie ochrony danych to zgodnie z ogólnym rozporządzeniem o ochronie danych (ogólne rozporządzenie, RODO) to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ogólne rozporządzenie nakłada na administratorów obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu.

Należy zwrócić uwagę na bardzo krótki czas pozostawiony na zgłoszenie naruszenia organowi nadzorczemu. Zgodnie z RODO administrator danych powinien zgłosić naruszenie organowi nadzorczemu „bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia”. Jeśli nie zgłosi naruszenia w tym terminie, do zgłoszenia naruszenia będzie musiał dołączyć wyjaśnienia dotyczące przyczyny opóźnienia.

Przepisy ogólnego rozporządzenia określają minimum informacji, które powinny znaleźć się w zgłoszeniu naruszenia organowi nadzorczemu. Zgodnie z nimi zgłoszenie musi:

• opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Administratorzy danych będą musieli samodzielnie ocenić, czy wystąpienie naruszenia wiąże się z ryzykiem naruszenia praw lub wolności osób fizycznych i w związku z tym, czy zgłaszać naruszenie, czy nie. Z obowiązku zgłoszenia zostały bowiem zwolnione te naruszenia, wobec których zachodzi małe prawdopodobieństwo, że naruszą te prawa i wolności. Z pomocą przychodzi tutaj motyw 75 RODO, który wylicza dosyć szczegółowo skutki przetwarzania danych, które mogą powodować ryzyko naruszenia praw i wolności osób. Będą nimi skutki przetwarzania danych prowadzące np. do:

• kradzieży tożsamości,
• straty finansowej,
• naruszenia dobrego imienia,
• naruszenia poufności danych chronionych tajemnicą zawodową,
• utraty przysługujących osobom praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi oraz
• ujawnienia danych wrażliwych.

Kolejnym, przewidzianym przez ogólne rozporządzenie, obowiązkiem, który będzie musiał zrealizować administrator danych, będzie obowiązek poinformowania o naruszeniu danych osoby, której dane dotyczą. Obowiązek ten będzie istniał jednak tylko wtedy, kiedy incydent naruszenia ochrony danych będzie mógł powodować wysokie ryzyko naruszenia praw lub wolności tej osoby. Zatem administrator danych po raz kolejny zostanie zmuszony do samodzielnej, niełatwej oceny dotyczącej zachodzącego ryzyka. Zawiadomienia takiego powinien dokonać bez zbędnej zwłoki, opisując jasnym i prostym językiem charakter naruszenia. Musi ono ponadto zawierać treści określone w trzech ostatnich punktach wymaganych dla zgłoszenia naruszenia organowi nadzorczemu.

Nikt nie lubi przyznawać się do błędu. Słowa te nabierają szczególnego znaczenia, gdy naruszenie dotyczy np. sporej liczby klientów przedsiębiorcy. Poinformowanie klientów o naruszeniu może skutkować utratą ich zaufania i w efekcie ich stratą. Jednak ogólne rozporządzenie pozostawia administratorom danych furtkę. Zawiadamianie osób o naruszeniu ich danych nie będzie konieczne w przypadkach, gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zastosował do danych osobowych, których dotyczy naruszenie. W szczególności chodzi o takie środki jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym danych osobowych i dostęp do nich. Warunkiem jest też to, że administrator danych ma zastosować następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

Za niewykonanie każdego z tych obowiązków – zgłoszenie naruszenia organowi nadzorczemu i powiadomienie o nim osoby, której dane dotyczą – będzie groziła ogromna kara pieniężna. Taryfikator z ogólnego rozporządzenia określa ją na kwotę w wysokości do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie będzie miała wyższa kara). Zatem można się spodziewać, że grożąca kara będzie miała istotne znaczenie dla podjęcia decyzji przez wahającego się administratora, czy naruszenie podlega obowiązkowi zgłoszenia oraz powiadomieniu osoby, której dane dotyczą.

Choć procedura zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o naruszeniach osób, których dane dotyczą, powinna być elementem kodeksu postępowania, o którym mowa w art. 40 ogólnego rozporządzenia o ochronie danych, to posiadanie takiego kodeksu nie będzie obowiązkiem administratora danych. Dlatego, jeśli administrator nie będzie miał zatwierdzonego kodeksu postępowania, warto by wprowadził wewnętrzne procedury postępowania w przypadku naruszenia ochrony danych. Jest to istotne również z tego powodu, że ogólne rozporządzenie nakłada na administratora obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym ich okoliczności, skutków oraz podjętych działań zaradczych.