Co zrobić w przypadku naruszenia ochrony danych osobowych? Omówienie obowiązku informacyjnego względem UODO

Od wprowadzenia w Polsce RODO minęło już sześć lat, a mimo to przepisy te wciąż spędzają sen z powiek wielu administratorom danych. W tym artykule omawiam jeden z obowiązków, jakie ogólne Rozporządzenie 2016/679 z dnia 27 kwietnia 2016 r., (znane jako RODO) nakłada na podmioty zarządzające danymi – tj. wymóg notyfikowania organu nadzoru w przypadkach naruszenia bezpieczeństwa przetwarzanych danych osobowych. W momencie zaniechania notyfikacji może Cię spotkać dotkliwa kara finansowa!

Czym jest naruszenie bezpieczeństwa?

Na potrzeby tego artykułu przytoczę kilka faktów, w tym definicję danych osobowych.

Następnie należy zaznaczyć, że obowiązki w zakresie naruszeń można znaleźć nie tylko w RODO, lecz również w innych aktach. Przykładem jest Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości czy Ustawa Prawo telekomunikacyjne z 16 lipca 2004 r. Przepisy te nakładają na administratorów pewne obowiązki w zakresie zgłaszania naruszeń do organów nadzorczych czy powiadamiania osób, których te dane dotyczą. Dalszą część wywodu poświęcę natomiast omówieniu pierwszego z nich, opierając się na wytycznych co do zgłaszania naruszeń wynikających z art. 33 RODO.

W związku z powyższym rodzi się pytanie, jak na gruncie przepisów rozumieć kluczowe pojęcie, jakim jest naruszanie bezpieczeństwa. Odpowiedź znajduje się w art. 4 pkt 12 RODO, który stanowi, że naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Właśnie w tych przypadkach administrator jest zobowiązany ujawnić takie zdarzenie w odpowiednim zgłoszeniu do Prezesa Urzędu Ochrony Danych Osobowych, bez zbędnej zwłoki, nie później niż w terminie 72 godzin od powzięcia informacji o tym, że doszło do nieprawidłowości. 

Warto jednak zauważyć, że nie każde zdarzenie, które uznane zostanie za incydent bezpieczeństwa informacji, będzie przewinieniem wymagającym notyfikacji. Obowiązek ten nie powstanie bowiem w takich przypadkach, gdy jest mało prawdopodobne, by niepoprawne postępowanie skutkowało ryzykiem naruszenia praw lub wolności osób, których danych dotyczy zdarzenie. Przykładowo więc zgubienie służbowego smartfona, na którym pracownik obsługiwał korespondencję mailową oraz miał książkę adresową z nazwiskami i numerami klientów, będzie zawsze incydentem naruszenia bezpieczeństwa danych. Natomiast jeżeli administrator wdrożył rozwiązania umożliwiające zdalne wyczyszczenie i zablokowanie telefonu niezwłocznie po wykryciu zdarzenia, to nie będzie ono skutkowało ryzykiem naruszenia praw lub wolności osób, których dane znajdowały się na telefonie. 

Procedura zgłoszeniowa

Co więcej, administrator jest zobowiązany do wdrożenia procedury zarządzania naruszeniami ochrony danych osobowych oraz prowadzenia rejestru naruszeń, abstrahując od opisywanego tutaj obowiązku zgłoszenia. Do przestrzegania przymusu notyfikacji jest zobowiązany jedynie administrator danych, zaś podmiot przetwarzający zobligowany jest w takich sytuacjach do zawiadomienia właściwego administratora, którego dane przetwarza na podstawie umowy powierzenia, wraz z podaniem informacji o okolicznościach naruszenia. Zgłoszenia do UODO dokonuje już jednak właściwy administrator.

Dotychczasowa praktyka Prezesa UODO

Ogólny zarys procedury informacyjnej przedstawiony – mogę zatem przejść do omówienia równie ważnej analizy dotychczasowych rozstrzygnięć Prezesa UODO dotyczących przypadków naruszenia ochrony danych. Warto znać wydane przez niego decyzje, aby uchronić się przed ewentualnymi konsekwencjami w przyszłości – tym bardziej że w samym tylko 2023 r. organ ten nałożył kilkanaście kar pieniężnych za naruszenie przepisów! 

Po pierwsze pamiętaj, że opisując przypadek naruszenia bezpieczeństwa danych w zgłoszeniu, musisz wykazać się dokładnością i precyzją. Nie przekazuj niekompletnych informacji i unikaj tych zbyt lakonicznych i ogólnych. W swoich wytycznych Urząd Ochrony Danych często zwraca uwagę na te aspekty. Pamiętaj również o wymogu współpracy z Prezesem Urzędu w toku prowadzonej kontroli mającej swój bieg już po dokonaniu zgłoszenia, ponieważ jego brak może Cię słono kosztować. Oprócz tego bezwzględnie przestrzegaj terminów. Zgłoszeń dokonuj w wymaganym przepisami czasie 72 godzin. Dlaczego to takie ważne?

Niech te przypadki będą lekcją dla administratorów odpowiadających za przetwarzanie danych, by nie lekceważyli tego obowiązku.

Kary finansowe

Jeżeli podmiot uchyli się w sposób bezprawny od obowiązku złożenia notyfikacji do Urzędu, musi liczyć się z ryzykiem nałożenia przez organ nadzorczy wysokiej kary pieniężnej. W myśl art. 83 ust. 4 pkt RODO wysokość sankcji może wynieść nawet do 10 milionów euro, a w przypadku przedsiębiorstwa – do 2% całkowitego rocznego światowego obrotu. Ponadto niezależnie od obciążeń finansowych nakładanych w trybie administracyjnym, RODO przyznaje uprawnienie do dochodzenia odszkodowania za szkodę majątkową oraz niemajątkową poniesioną wskutek naruszenia przepisów.