Artykuł ukazał się w Magazynie ODO
Autor: Piotr Kalina
Rozliczalność w przypadku naruszeń ochrony danych osobowych to kluczowy obowiązek administratora. Tylko zapewniając zgodność podejmowanych działań z przepisami RODO i możliwość wykazania wykonania wszystkich obowiązków zgodnie z wymogami, administrator może nie narazić się na zarzut naruszenia przepisów ze strony regulatora.
OBOWIĄZKI DOTYCZĄCE NARUSZEŃ
W obszarze związanym z naruszeniami ochrony danych osobowych administrator ma kilka rodzajów obowiązków. Przede wszystkim musi przeciwdziałać występowaniu takich naruszeń, co należy realizować poprzez analizę ryzyka i dobór odpowiednich środków zabezpieczających. Ponadto, musi być w stanie niezwłocznie wykrywać naruszenia oraz podejmować środki zapobiegające wystąpieniu ryzyka naruszenia praw i wolności osób, których dane dotyczą, lub środki minimalizujące ryzyko, które już wystąpiło. Administrator jest zobowiązany także wdrożyć dodatkowe środki w celu zapobiegania występowaniu podobnych naruszeń w przyszłości. Niezależnie od powyższego, na administratorze ciążą obowiązki związane ze zgłoszeniem naruszenia do Prezesa Urzędu Ochrony Danych Osobowych lub zawiadomieniem podmiotów danych o naruszeniu – o ile są one w danym przypadku wymagane. Co więcej, administrator musi być w stanie wykazać, że wykonał wszystkie te obowiązki w sposób prawidłowy. Do tego należy dodać obowiązek prowadzenia dokumentacji naruszeń ochrony danych osobowych, weryfikacji skuteczności wdrożonych rozwiązań i ich aktualizowania w zależności od okoliczności wymienionych w art. 24 oraz 32 RODO.
Naruszenie ochrony danych osobowych może zatem prowadzić do naruszenia przepisów o ochronie danych osobowych, jeżeli administrator nie wykona swoich obowiązków lub nie udokumentuje ich we właściwy sposób.
Choćby nawet administrator postąpił właściwie w przypadku wystąpienia naruszenia ochrony danych osobowych, to brak udokumentowania podjętych działań może prowadzić do uznania przez Prezesa UODO, że administrator nie wykonał obowiązków RODO, skoro brak dowodu ich właściwego wykonania.[1] Na tym właśnie polega zasada rozliczalności, ustanowiona w art. 5 ust. 2 RODO, składająca się z dwóch elementów – po pierwsze, należy wykonać obowiązki wynikające z RODO w sposób prawidłowy, a po drugie, należy udokumentować ich wykonanie w prawidłowy sposób.
ZAPOBIEGANIE I REAGOWANIE NA NARUSZENIA
W przypadku naruszeń zapewnienie zgodności będzie sprowadzało się w pierwszej kolejności do uświadomienia personelu, czym w ogóle jest naruszenie ochrony danych osobowych. W tym celu niezbędne jest prowadzenie szkoleń dla pracowników, z wykorzystaniem praktycznych przykładów naruszeń, jakie miały miejsce w organizacji lub jest najbardziej prawdopodobne, że mogą wystąpić w danej organizacji. W branży transportowej kierowcy mogą zostawiać faktury u niewłaściwych klientów, w branży kurierskiej mogą to być zagubione paczki, a w centrach typu „call center” może dochodzić do ujawniania danych nieuprawnionym osobom, itp. Lista przykładowych naruszeń powinna być też załącznikiem do procedury naruszeń, dostępnym dla pracowników np. jako element instrukcji postępowania na wypadek naruszenia. Również w poradniku Urzędu Ochrony Danych Osobowych wydanym w 2019 roku autorzy zwrócili uwagę na potrzebę uwzględnienia w procedurze „katalogu ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora”[2].
Pracownik musi znać obowiązki, jakie na nim ciążą w związku z wystąpieniem naruszenia. W szczególności pracownik powinien wiedzieć, jak ma się zachować (np. w sytuacjach nagłych zabezpieczyć dane osobowe), kogo zawiadomić o naruszeniu w ramach organizacji (np. przełożony, inspektor ochrony danych) oraz zapewnić niezbędne informacje osobie koordynującej prace związane z obsługą naruszenia ochrony danych osobowych.
Dobrze napisana procedura naruszeń pozwoli wykazać, że administrator tak zorganizował proces postępowania na wypadek naruszenia, że niezbędne informacje są pracownikom znane oraz przypominane w ramach regularnych szkoleń. Ze szkolenia należy sporządzić listę obecności i przechowywać ja w celu zapewnienia rozliczalności.
W przypadku wystąpienia naruszenia kluczowym krokiem (oprócz wspomnianego zabezpieczenia danych osobowych, jeśli jest konieczne) jest zebranie informacji o naruszeniu pozwalających na ocenę jego powagi. Informacje te powinny pochodzić od pracownika lub osoby trzeciej, która zgłosiła naruszenie lub od podmiotu przetwarzającego, gdy naruszenie miało miejsce u procesora lub od współadministratora. Informacje należy zebrać niezwłocznie, albowiem w przypadku naruszeń ochrony danych osobowych upływ czasu może wpływać na naruszenie praw i wolności osób, których dane dotyczą. Z tego powodu, naruszenia powinny być zgłaszane niezwłocznie do Prezesa UODO, nie później niż w terminie 72 godzin. Tak samo, bez zbędnej zwłoki, należy zawiadomić podmioty danych o naruszeniu ich danych osobowych. Oczywiście wspomniane obowiązki notyfikacyjne aktualizują się wyłącznie w określonych przypadkach – tj. gdy występuje prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych (zgłoszenie do Prezesa UODO) lub gdy ryzyko to jest wysokie (zawiadomienie podmiotów danych). W każdym przypadku trzeba natomiast wpisać naruszenie do rejestru naruszeń lub udokumentować je w inny sposób zgodnie z wymogami art. 33 ust. 5 RODO.
Naruszenia, które nie wiążą się z prawdopodobieństwem wystąpienia wysokiego ryzyka naruszenia praw i wolności pozostają wpisane do rejestru naruszeń. Jeśli jednak administrator nie zgłasza naruszenia do Prezesa UODO ani nie zawiadamia podmiotów danych o naruszeniu, to powinien być w stanie wykazać, że nie ciążyły na nim takie obowiązki. W każdym przypadku należy zatem uzasadnić w rejestrze naruszeń powody braku zgłoszenia naruszenia lub zawiadomienia o naruszeniu.
Ocena poziomu ryzyka naruszenia praw i wolności osób, których dane dotyczą nie powinna odbywać się ekspercko, na tzw. wyczucie. W ramach procedury naruszeń należy opisać metodologię, jaką administrator stosuje do oceny powagi naruszenia i wykorzystywać ją w praktyce. Najbardziej popularną oraz skuteczną metodą jest metodologia oceny powagi naruszenia ENISA.[3] Warto wykorzystywać również wytyczne Europejskiej Rady Ochrony Danych dotyczące przykładów naruszeń ochrony danych osobowych[4] oraz wcześniejsze wytyczne Grupy Roboczej Artykułu 29 ds. ochrony danych dotyczące zgłaszania naruszenia ochrony danych osobowych na mocy rozporządzenia 2016/679[5].
Niezależnie od tego, jaką metodologię oceny naruszeń wybierze administrator, należy ją stosować wprost. Zdarzały się przypadki, w których organ nadzorczy kwestionował ocenę dokonaną przez administratora – mimo, że ten opierał się na określonej metodologii – gdyż administrator zamiast stosować ją wprost, interpretował ją w sposób korzystny dla swojej sytuacji, bez stosownego poparcia w postanowieniach metodologii.
DOKUMENTOWANIE PODEJMOWANYCH DZIAŁAŃ
Zasada rozliczalności wymaga wykazania przez administratora wykonania nałożonych na niego przez RODO obowiązków. W związku z tym każde naruszenie (niezależnie od poziomu ryzyka) musi zostać udokumentowane zgodnie z art. 33 ust. 5 RODO, najlepiej w formie rejestru naruszeń. Rejestr ten powinien zawierać elementy wskazane w treści wspomnianego przepisu, tj. w szczególności okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, a nadto dowody zgłoszenia naruszenia do Prezesa UODO i zawiadomienia podmiotów danych lub uzasadnienie braku konieczności wykonania tych obowiązków notyfikacyjnych. W rejestrze (lub ewentualnie poza nim) powinny się znaleźć dowody wdrożenia dodatkowych środków zabezpieczających po wystąpieniu naruszenia. Rejestr należy regularnie przeglądać oraz monitorować stopień wdrożenia rekomendacji przez działy merytoryczne w organizacji, w których miało miejsce naruszenie, a także egzekwować skuteczne wdrożenie rekomendowanych środków.
Przepisy RODO wyznaczają również minimalną treść zgłoszenia naruszenia do Prezesa UODO. Co prawda art. 33 ust. 3 RODO wskazuje, jakie elementy musi obowiązkowo zawierać zgłoszenie, a korzystanie z formularza udostępnionego na stronie internetowej UODO nie jest obowiązkowe, to jednak warto z tego formularza korzystać. Takie podejście umożliwia przekazanie organowi wszystkich informacji, jakich wymaga on od administratorów i minimalizuje ryzyko dodatkowej korespondencji oraz potrzeby składania wyjaśnień. Brak uwzględnienia w treści zgłoszenia jednego z elementów wymaganych przez art. 33 ust. 3 RODO stanowi naruszenie przepisów RODO i może skończyć się wezwaniem do uzupełnienia braków formalnych, a w określonych przypadkach, np. braku współpracy z organem, nawet wszczęciem postępowania o naruszenie przepisów o ochronie danych osobowych.
Częstą praktyką Prezesa UODO jest kwestionowanie kompletności treści zawiadomienia podmiotów danych o naruszeniu. W wielu decyzjach administracyjnych polski organ nadzorczy nakazał administratorom ponowne zawiadomienie podmiotów danych w sposób zgodny z wymogami art. 34 RODO. Zdarzały się również przypadki, w których organ nie zgadzał się z oceną administratora, jakoby zawiadomienie podmiotów danych w danym przypadku nie było konieczne, i nakazywał zawiadomić o naruszeniu osoby, których dane dotyczą. W związku z tym administratorzy, na potrzeby zapewnienia rozliczalności, powinni rzetelnie uzasadnić brak obowiązku zawiadomienia podmiotów danych w rejestrze naruszeń, w treści zgłoszenia naruszenia do Prezesa UODO (jeśli konieczne) oraz bazując na ocenie ryzyka dla praw i wolności podmiotów danych. Należy w tym celu przyjąć perspektywę osoby, której dane dotyczą i wpływu naruszenia na jej sytuację prawną.
W przypadkach, w których administrator zgłasza naruszenie do Prezesa UODO lub zawiadamia podmioty danych o naruszeniu, powinien zadbać o udokumentowanie treści zgłoszenia lub zawiadomienia, dowód ich nadania oraz dowód dochowania terminu notyfikacji naruszenia ochrony danych osobowych.
TRZEBA BYĆ CZUJNYM
Prezes UODO nawet po kilku lub kilkunastu miesiącach od wysłania zgłoszenia naruszenia potrafi wrócić do administratora z żądaniem dodatkowych wyjaśnień. Często w takich przypadkach organ wyznacza krótki termin na odpowiedź i żąda przekazania informacji oraz dowodów. Zazwyczaj trudno jest administratorowi w tak krótkim czasie zorganizować wszystkie niezbędne materiały, szczególnie jeśli musi w tym celu zaangażować podmiot przetwarzający lub dalszych podprocesorów. W związku z tym po każdym naruszeniu należy monitorować skuteczne wdrożenie środków rekomendowanych w związku z wystąpieniem naruszenia (np. przeprowadzenie szkolenia, przeprowadzenie audytu procesora, u którego doszło do naruszenia, lub aktywowanie funkcjonalności oznaczania adresatów wewnętrznych w skrzynce poczty elektronicznej) oraz regularnie dokonywać przeglądu rejestru naruszeń i sporządzać raporty w celu wykazania wykonywania obowiązków inspektora ochrony danych i administratora.
[1] Zob. per analogiam decyzja Prezesa Urzędu Ochrony Danych Osobowych ZSPR.421.2.2019 z dnia 10 września 2019 r., https://uodo.gov.pl/decyzje/ZSPR.421.2.2019
[2] Urząd Ochrony Danych Osobowych, Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, wersja 1.0, czerwiec 2019, https://uodo.gov.pl/pl/134/1029
[3] European Union Agency for Network and Information Security ENISA, Recommendations for a methodology of the assessment of severity of personal data breaches Working Document, v1.0, December 2013, https://www.enisa.europa.eu/publications/dbn-severity.
[4] Wytyczne EROD 01/2021 z 14.12.2021, ver. 2.0, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_pl
[5] Wytyczne GR29 Przyjęte w dniu 3 października 2017 r., ostatnio zmienione i przyjęte w dniu 6 lutego 2018 r., WP 250 rev. 01, https://ec.europa.eu/newsroom/article29/items/612052/en
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>