Coraz częściej stykamy się z informacjami o bardzo wysokich karach nakładanych na firmy, w których doszło do naruszenia ochrony danych osobowych. Przedsiębiorcy zwykle przymykają oko na takie wiadomości, gdyż przecież „tak potężna afera nam się nie przytrafi”. Trochę większy niepokój budzi to, gdy do incydentu dochodzi w bliskiej lub wręcz tożsamej im branży.
„Będziemy martwić się, kiedy do tego w ogóle dojdzie” – takie podejście wydaje się najprostsze i najlepsze, kiedy dla przedsiębiorca musi zmagać się z wieloma problemami, które są o wiele bardziej istotne dla niego w danej chwili. Problem w tym, że w wypadku naruszenia ochrony danych osobowych nie liczy się jedynie reakcja po zdarzeniu, ale również, w stopniu nie mniej istotnym, jakie były działania administratora danych przed takim potencjalnym incydentem.
Jak więc należy postąpić w przypadku zajścia naruszenia ochrony danych osobowych w przedsiębiorstwie oraz jakie działania powinien podjąć każdy administrator, który przetwarza jakiekolwiek dane osobowe?
W kwestii danych osobowych wszystkim reguluje RODO, czyli obowiązujące już szósty rok rozporządzenie o ochronie danych na terenie całej Unii Europejskiej. Według niego, naruszenie ochrony danych osobowych stanowi naruszenie bezpieczeństwa danych, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO).
Grupa Robocza Art. 29 rozróżniła trzy kategorie takiego naruszenia:
Administrator danych ma obowiązek zgłoszenia incydentu do organu nadzorczego (Urzędu ochrony danych osobowych) oraz do wszystkich osób, których dane dotyczą, jeśli naruszenie, do którego doszło, skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych.
Co to znaczy?
RODO w motywie 85 dość jasno precyzuje, że dzieje się tak w wypadku, gdy naruszenie ochrony danych osobowych może powodować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych – takich, jak:
Administrator jest osobą odpowiedzialną prawnie za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. Zgodnie z RODO, administrator to osoba fizyczna lub prawna, organ publiczny lub jednostka lub inny podmiot, który ustala samodzielnie (lub wspólnie z innymi) cele i sposoby przetwarzania danych osobowych.
Jako pomoc może on wyznaczyć:
Nikt nie może zdjąć jednak odpowiedzialności z administratora i to zawsze on pozostanie osobą decyzyjną. Ma on obowiązek wdrożyć (samodzielnie lub w wyznaczyć kogoś, kto uczyni to w jego imieniu) odpowiednie i skuteczne środki zapobiegawcze oraz musi być w stanie wykazać, że przetwarzanie danych, za które jest odpowiedzialny, pozostaje zgodne z przepisami RODO. Wreszcie to administrator ponosi odpowiedzialność za powiadomienie organu nadzorczego i osób, których dane dotyczą, w wypadku zajścia naruszenia ochrony danych osobowych. Ma też obowiązek podjęcia wszystkim niezbędnych działań po zajściu takiego incydentu. On też jest odpowiedzialny za podjęcie ewentualnej decyzji o braku konieczności powiadomienia organu nadzorczego czy osób, których dane dotyczą.
1. W momencie, kiedy dochodzi do stwierdzenia naruszenia bezpieczeństwa w związku z przetwarzaniem danych osobowych, administrator ma obowiązek nie później niż w terminie 72 godzin zgłosić incydent do organu nadzorczego – chyba że jest małe prawdopodobieństwo, żeby skutkowało wystąpieniem ryzyka naruszenia praw lub wolności osób fizycznych (art. 33 RODO).
2. Administrator danych bez zbędnej zwłoki zawiadamia osoby, których dane dotyczą, o naruszeniu ochrony ich danych (jest kilka wyjątków – w kolejnym punkcie).
3. Administrator w zawiadomieniu:
4. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, okoliczności ich naruszenia, ich skutki, a także podjęte działania zaradcze. Pomoże to weryfikacji przestrzegania przepisów przez administratora.
5. Jeśli zawiadomienie o naruszeniu zostało zgłoszone do organu nadzorczego po terminie 72 godzin, administrator powinien uzasadnić i udokumentować opóźnienie.
Nie ma takiej konieczność w przypadkach, gdy:
W takich wypadkach bardzo przydaje się osoba inspektora danych osobowych, który może posłużyć wiedzą oraz poradą – tym bardziej że często IOD-em jest prawnik.
Naruszenie przepisów art. 33 i 34 RODO, czyli obowiązku zgłaszania naruszenia ochrony organowi nadzorczemu oraz osobom, których dane dotyczą, skutkuje w wysokości do 10 mln zł, a w wypadku przedsiębiorstwa karą w wysokości 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Co jednak istotne i warte ponownego podkreślenia – w samym zajściu incydentu naruszenia ochrony danych osobowych nie chodzi tylko o prawidłowe działania po samym naruszeniu. Kluczowe jest zastosowanie wcześniej odpowiednich środki ochrony – technicznych i organizacyjnych, które w odpowiedni sposób zabezpieczą przetwarzane dane. Ponieważ to właśnie o bezpieczeństwo tych danych chodzi. W razie gdy dojdzie do naruszenia, stosowne środki ochrony mogą zapobiec skutkom naruszenia praw lub wolności osób fizycznych, a więc sytuacji, do której żaden administrator danych osobowych nie chce dopuścić.
Świadczy o tym niedawna kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na spółkę medyczną w wysokości 1,5 mln zł. W spółce doszło do olbrzymiego wycieku danych, w tym wrażliwych danych klientów, o którym spółka dowiedziała się od samych hakerów, którzy zażądali pieniędzy. Dopiero wtedy spółka zgłosiła sprawę do organu nadzorczego. Kara wynikła przede wszystkim z olbrzymiego zaniedbania ochrony danych osobowych, jakiego dopuściła się spółka:
W wypadku działań związanych z ochroną danych osobowych równie ważne są odpowiednie czynności podejmowane w wypadku zajścia naruszenia bezpieczeństwa, co wszelkie środki i działania zapobiegawcze, które podejmuje i przestrzega przedsiębiorstwo.