Skradziono Ci laptopa? Pracownik wysłał newsletter bez ukrycia adresów email? A może komputery w firmie zostały zainfekowane złośliwym oprogramowaniem? Wszystkie te sytuacje to naruszenia ochrony danych osobowych, wobec których przedsiębiorca musi podjąć odpowiednie działania. Bez tego naraża się na konsekwencje prawne – w tym możliwość otrzymania kary z Urzędu Ochrony Danych Osobowych.

Z tego artykułu dowiesz się:

  • Czym jest i kiedy dochodzi do naruszenia ochrony danych osobowych?
  • Co musisz zrobić w przypadku naruszenia ochrony danych osobowych w Twojej firmie?
  • Jakie działania podjąć aby ograniczyć możliwość otrzymania kary za złamanie RODO?
  • Jak prawidłowo ocenić incydent bezpieczeństwa i kiedy stanie się on naruszeniem?
  • Gdzie i w jaki sposób dokonać zgłoszenia naruszenia?
  • Kogo poinformować o naruszeniu?

Jednym z wielu istotnych obowiązków, jakie wprowadziło RODO jest odpowiednie postępowanie z naruszeniami ochrony danych osobowych. Zgodnie z art. 33 RODO Administrator danych musi zgłosić takie naruszenie do Prezesa Urzędy Ochrony Danych Osobowych (PUODO) w ciągu 72 godzin od jego stwierdzenia, chyba że jest mało prawdopodobne aby niosło ze sobą negatywne konsekwencje dla osób, których dane dotyczą. Na początek warto więc zastanowić się czym jest naruszenie ochrony danych osobowych?

 

Czym jest naruszenie ochrony danych osobowych

 

Naruszenia bezpieczeństwa danych to sytuacje częste. Zdarzały się zarówno w czasach przed internetowych, jak i współcześnie, w naszym życiu prywatnym i zawodowym, przed RODO i po jego wejściu w życie. Mogło to być zgubienie pendriva, utrata danych z dysku po zainfekowaniu złośliwym oprogramowaniem, kradzież komputera czy usunięcie danych, które okazały się potrzebne. Każdy kto chociaż raz doświadczył takiej sytuacji będzie w przyszłości uczulony na odpowiednie zabezpieczenie swoich danych – wykona dodatkową kopię, zapisze je w chmurze, czy zainstaluje alarm w biurze.

Na takiej właśnie zasadzie działa ”podejście oparte na ryzyku”, jakie wprowadziło RODO. Wymaga ono przeprowadzenia analizy zagrożeń, jakie mogą wystąpić w naszej firmie i podjęcia odpowiednich kroków w celu ich ograniczenia lub uniknięcia. Nikt nie jest jednak doskonały, a każde zabezpieczenie prędzej czy później może zostać złamane. Dlatego należy analizować zagrożenia, które faktycznie wystąpiły i podejmować odpowiednie działania.

Incydent bezpieczeństwa – każde niepożądane zdarzenie związane z bezpieczeństwem informacji, które w przypadku wystąpienia odpowiednich okoliczności może stać się naruszeniem ochrony danych osobowych. Naruszenie ochrony danych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych.

 

Incydent a naruszenie ochrony danych – czym się różnią?

 

Sytuacje związane ze złamaniem zasad bezpieczeństwa w firmie dzielimy na dwa rodzaje. Pierwszym z nich jest incydent bezpieczeństwa, czyli sytuacja, która nie jest jeszcze naruszeniem, ale może do niego prowadzić. Przykładowo jeśli pracownik pozostawi niezabezpieczony komputer z danymi w miejscu powszechnie dostępnym, gdzie mogą przebywać osoby postronne będziemy mieli do czynienia z incydentem. Jeśli jednak komputer ten zostanie ukradziony lub ktoś skopiuje zawarte na nim dane będziemy mieli do czynienia z naruszeniem poufności danych – czyli naruszeniem.

Innym incydentem bezpieczeństwa może być utrata kopii zapasowej danych (np. poprzez awarię dysku, na którym była przechowywana). Samo w sobie nie będzie to naruszeniem, jednak jeśli taka sytuacja wystąpiłaby w połączeniu z awarią serwera i utratą zamieszczonych na nim danych będziemy mieli do czynienia z utratą dostępności danych – nie będziemy mogli z nich skorzystać wtedy, kiedy będzie to potrzebne.

Trzecim typem naruszenia może być nieuprawniona zmiana danych. Taka sytuacja zachodzi, jeśli dane zostaną zmodyfikowane w sposób nieautoryzowany. Może do tego doprowadzić np. infekcja złośliwym oprogramowaniem, błędy oprogramowania, czy celowe lub nieświadome działanie pracownika. W takim przypadku mówimy o naruszeniu integralności danych.

Trzy aspekty bezpieczeństwa danych, o które należy zadbać:

Poufność danych – musimy zapewnić, że dostęp do danych będą miały tylko osoby uprawnione i nie dostaną się one w niepowołane ręce.

Dostępność danych – musimy mieć możliwość skorzystania z danych wtedy, kiedy będzie to konieczne. Ten aspekt obejmuje np. tworzenie kopii zapasowych czy uzyskanie dostępu awaryjnego.

Integralność – należy weryfikować poprawność danych i kontrolować zmiany, jakie mogą być do nich wprowadzane. Cecha ta jest szczególnie ważna w przypadku danych medycznych, których modyfikacja może mieć konsekwencje dla zdrowia i życia.

 

Naruszenie danych – co robić żeby być w zgodzie z RODO?

 

Jeśli w naszej firmie dojdzie do naruszenia – czyli stwierdzimy złamanie poufności, dostępności lub integralności danych osobowych, musimy zacząć działać. Pierwszym krokiem powinno być zawsze przeprowadzenie działań ratunkowych – ograniczamy bezpośrednie skutki naruszenia, np. przez przywrócenie kopii zapasowej, zgłoszenie sprawy na policję, zmianę haseł etc. Należy tutaj oczywiście mieć na uwadze charakter samego naruszenia – jeśli serwer został zaszyfrowany oprogramowaniem typu ransomware nie przystępujemy do odzyskiwania kopii zapasowej, póki nie będziemy mieli pewności, że również ona nie zostanie zaszyfrowana.

Razem z działaniami naprawczymi należy przeprowadzić analizę potencjalnych konsekwencji naruszenia w kontekście praw i wolności osób, których dane dotyczą – czyli potencjalnych szkód materialnych i niematerialnych, jakie może ono wywołać.

Taką szkodą może być np. niemożność zrealizowania gwarancji (z powodu utraty danych dotyczących zamówienia), czy narażenie klienta na kradzież tożsamości (w wyniku wycieku jego danych).

Innymi naruszeniami praw i wolności osób, których dane dotyczą mogą być:

  • ujawnienie danych mających wpływ na wizerunek osoby (np. informacji o wstydliwej chorobie pracownika),
  • narażenie osoby na negatywne opinie i komentarze (np. poprzez opublikowanie poufnej korespondencji),
  • uniemożliwienie osobie dochodzenia swoich praw i roszczeń (np. w sytuacji usunięcia zgłoszenia reklamacyjnego),
  • naruszenie konstytucyjnego prawa do poufności (np. poprzez ujawnienie informacji o zajęciu komorniczym).

Zgodnie z RODO przedsiębiorca powinien posiadać opracowane procedury przeprowadzania takiej analizy i postępowania z samym naruszeniem. W takich procedurach należy zawrzeć między innymi: osoby odpowiedzialne za podjęcie działań, lokalizacje zasobów (np. kopii zapasowych), działania jakie są niezbędne w przypadku naruszenia, zasady podstępowania personelu czy klasyfikację możliwych konsekwencji.

Jeśli w ramach analizy uznamy, że występuje ryzyko naruszenia praw i wolności musimy bez zbędnej zwłoki– jednak nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia poinformować o nim Prezesa Urzędu Ochrony Danych Osobowych oraz osoby, których dane dotyczą. W przypadku przekroczenia tego terminu należy dodatkowo uzasadnić powód takiego opóźnienia.

 

Zgłoszenie naruszenia do Urzędu

 

Jeśli w ramach analizy naruszenia uznaliśmy, że może ono powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą należy przejść do opracowania zgłoszenia do urzędu. Zgłoszenie dokonywane jest przy pomocy formularza urzędowego i może odbyć się na 4 sposoby:

  1. Elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl
  2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP
  3. Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
  4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Pierwsza strona formularza zgłoszeniowego dostępnego na stronie: https://uodo.gov.pl/pl/134/233

 

W formularzu zgłoszeniowym podajemy między innymi nasze dane, dane Inspektora Ochrony Danych (jeśli został powołany), okoliczności samego naruszenia i możliwe konsekwencje. Na tej podstawie Urząd może podjąć dodatkowe kroki w celu wyjaśnienia zajścia i oceny, czy dołożyliśmy należytej staranności (w tym działania kontrolne).

W przypadku naruszenia praw i wolności administrator często podlega pokusie nieinformowania Urzędu o zaistniałem sytuacji. W końcu dlaczego mielibyśmy sami ściągać sobie na głowę kontrolę, która może nałożyć karę finansową? Takie przekonanie jest błędne i może prowadzić do dużo poważniejszych konsekwencji. Obowiązek zgłoszenia naruszenia wynika z art. 33 RODO, którego złamanie może prowadzić do nałożenia kary finansowej (do 20 mln euro). W sytuacji kiedy naruszenie objęło dużą grupę osób (np. użytkowników sklepu internetowego) możemy spodziewać się, że informacja o zdarzeniu dotrze do Urzędu z innego źródła (chociażby od osób, który dane dotyczą). Brak zgłoszenia dokonanego przez administratora jest wtedy poważną przesłanką do podjęcia czynności wyjaśniających lub kontrolnych.

 

Informowanie osób, których dane dotyczą

Równocześnie z opracowywaniem zgłoszenia dla Urzędy administrator danych powinien przystąpić do poinformowania osób, których dane dotyczą o naruszeniu ich danych osobowych. Taka informacja powinna być udostępniona bez zbędnej zwłoki, czyli najszybciej, jak będzie to możliwe i powinna zawierać co najmniej:

  • opis charakteru naruszenia w prostej i zrozumiałej formie,
  • imię i nazwisko Inspektora Ochrony Danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • możliwe konsekwencje naruszenia,
  • środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych i minimalizacji jego negatywnych konsekwencji.

Celem takiego komunikatu jest umożliwienie osobie, której dane dotyczą podjęcie kroków w celu zabezpieczenia jej danych (np. zmiana haseł, zastrzeżenie dokumentów etc.). Jeśli chodzi o formę przesłania takiej informacji, to powinna być ona adekwatna do rodzaju posiadanych danych i komunikacji (najczęściej jest to wiadomość email, ale może to być również SMS, komunikat publiczny czy radiowy).

Przykład informacji o naruszeniu przesłanej przez jeden z dużych sklepów internetowych

 

Na koniec – wpis do rejestru i plan działania

 

Po przeprowadzeniu analizy, dokonania zgłoszenia do Urzędu i poinformowaniu osób, których dane dotyczą o naruszeniu pozostaje uzupełnienie Rejestru incydentów i naruszeń, który musi być prowadzony na podstawie art. 33 ust. 5 RODO, i który stanowi dowód podjętych działań (do rejestru wpisujemy również incydenty, które nie powodują wysokiego ryzyka naruszenia praw i wolności osób których dane dotyczą).

Wymienione powyżej działania to oczywiście nie wszystko – w zależności od rodzaju naruszenia należy wdrożyć odpowiedni plan naprawczy, który obejmie np. dodatkowe zabezpieczenia czy szkolenia. Działania te mogą być rozłożone w czasie, należy jednak je zaplanować i odpowiednio opisać.

 

Przydatne linki i materiały:

  1. Jak powiadomić Prezesa UODO o naruszeniu? Komunikat UODO: https://uodo.gov.pl/pl/134/233
  2. Zgłoszenie naruszenia ochrony danych w bieznes.gov.pl: https://www.biznes.gov.pl/pl/firma/sprzedaz-i-marketing/chce-sprzedawac-przez-internet/proc_889-naruszenie-danych-osobowych
  3. Poradnik UODO – Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, do pobrania z: https://uodo.gov.pl/pl/134/1029
  4. Interaktywny formularz zgłoszenia naruszenia ochrony danych osobowych: https://uodo.gov.pl/pl/file/2152

 

Nie wiesz czy doszło u Ciebie do naruszeni? Skorzystaj z naszego wsparcia

 

Ocena naruszeń ochrony danych osobowych nie jest łatwa. To czy dane zdarzenie może prowadzić do naruszenia praw i wolności osób, których dane dotyczą wymaga interdyscyplinarnej wiedzy z zakresu prawa, cyberbezpieczeństwa, informatyki i innych dziedzin. Jeśli nie wiesz, czy incydent w Twojej firmie wymaga podjęcia opisanych powyżej kroków – napisz do nas. Gwarantujemy pełną poufność i bezpłatne wstępne doradztwo celem przygotowania wyceny pełnej pomocy. Dzięki temu uzyskasz za darmo informację, jakie działania powinny zostać podjęte w związku z naruszeniem lub incydentem i jak najlepiej zabezpieczyć się przed dalszymi konsekwencjami niechcianego zdarzenia.

 

5.00 avg. rating (97% score) - 2 votes

Zapisz się na nasz bezpłatny newsletter prawny dla Sprzedawców i otrzymaj poradnik

Przygotuj się do zmian przepisów od 2023 - ponad 35 stron treści od doświadczonych prawników dla Ciebie!

SUKCES - zapisałeś się!