Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Czym jest naruszenie bezpieczeństwa ochrony danych?

Przez naruszenie ochrony danych osobowych, zgodnie z art. 4 pkt. 12 RODO, należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Naruszenie ochrony danych osobowych jest tematem, który wzbudza niepokój wśród administratorów danych osobowych. RODO, w art. 33 i 34 określa trzy typy naruszeń – takie, które wymagają jedynie odnotowania w wewnętrznym rejestrze naruszeń, takie które dodatkowo wymagają zgłoszenia do Prezesa Urzędu Ochrony Danych osobowych oraz takie, które wymagają nie tylko dokonania zgłoszenia do organu, ale nadto poinformowania osoby, której dane dotyczą o incydencie dotyczącym jej danych osobowych.

Kiedy administrator powinien zawiadomić osobę, której dane dotyczą o zaistniałym naruszeniu?

Obowiązek poinformowania podmiotu danych o zaistniałym incydencie powstanie w przypadku, gdy może on skutkować wysokim ryzykiem naruszenia jego praw lub wolności.

Możliwy skutek naruszenia ochrony danych jest uzależniony od typu incydentu, do którego doszło – inaczej należy określić skutki dla utraty danych, a inaczej dla ujawnienia danych osobie lub osobom niepowołanym. Tak samo ważny dla dokonanej oceny jest zakres oraz charakter przetwarzanych danych – im szerszy zakres przetwarzania danych, tym większe może być ryzyko naruszenia praw i wolności. Podobnie z charakterem przetwarzanych danych osobowych – niezamierzone ujawnienie danych osobowych szczególnej kategorii prawdopodobnie będzie niosło za sobą poważniejsze konsekwencje niż ujawnienie danych zwykłych. Istotny jest także stopień zapewnionego bezpieczeństwa przetwarzania danych przez administratora. Wprowadzenie takich środków jak szyfrowanie, czy pseudonimizacja znacznie obniży ryzyko. Niemniej, administrator powinien każdorazowo zbadać i ocenić możliwe konsekwencje naruszenia ochrony danych.

W praktyce problematyczne jest określenie, co tak naprawdę należy rozumieć poprzez prawa i wolności, osób których dane dotyczą. Przede wszystkim, zgodnie z motywem 75 RODO administrator powinien wziąć pod uwagę takie zdarzenia jak możliwość uszczerbku fizycznego, szkód majątkowych lub niemajątkowych oraz utraty kontroli nad swoimi danymi. W praktyce mogą to być takie zdarzenia jak: utrata reputacji, zaciągnięcie kredytu przez osobę trzecią, dyskryminacja w zatrudnieniu, wyłudzanie ubezpieczenia co może spowodować negatywne konsekwencje w postaci problemów związanych z próbą przypisania odpowiedzialności za dokonanie oszustwa, dostęp osoby niepowołanej do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia osoby, dostęp do rachunku bankowego osoby trzeciej.

Co powinno zawierać zawiadomienie?

Zawiadomienie, powinno zostać przekazana niezwłocznie, powinno być sporządzone jasnym i prostym językiem oraz, zgodnie z art. 33 ust. 3 lit. b, c, d, w zw. z art. 34 RODO zawierać przynajmniej następujące elementy:

imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

opis możliwych konsekwencji naruszenia ochrony danych osobowych;

opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Na kim spoczywa obowiązek?

Obowiązek dokonania oceny oraz zawiadomienia osoby, której dane dotyczą spoczywa na administratorze. Natomiast obowiązek taki nie obejmuje podmiotu przetwarzającego dane osobowe. Procesor ma natomiast obowiązek, zgodnie z art. 33 ust. 2 RODO, bez zbędnej zwłoki zawiadomić administratora o naruszeniu ochrony danych.

Stanowisko Urzędu Ochrony Danych Osobowych

W najnowszym orzecznictwie PUODO wskazuje, iż administrator powinien wskazać, osobie której dane dotyczą opis możliwych konsekwencji, a samo sformułowanie, iż: „osoba trzecia może posłużyć się Pana danymi” nie wyczerpuje obowiązku z art. 34 RODO (Decyzja Prezesa Urzędu Danych Osobowych z dnia 20 listopada 2018 r. sygn. ZWAD.405.9.2018).

Co więcej, administrator w zawiadomieniu powinien wskazać opis proponowanych środków w celu zaradzenia naruszeniu ochrony danych, w tym środków, które osoba samodzielnie może podjąć w celu zminimalizowania ewentualnych negatywnych skutków naruszenia. Takimi środkami może być np. zastrzeżenie dowodu osobistego w banku.

Podsumowanie

Nie każde naruszenie rodzi obowiązek informowania osób, których dane są przetwarzane przez administratora;

Obowiązek dokonania oceny wpływu naruszenia na prawa i wolności osób, których dane dotyczą spoczywa na administratorze;

Zawiadomienie powinno być sformułowane w jasny sposób i zawierać informacje o konkretnych zagrożeniach związanych z naruszeniem oraz sposobach uniknięcia ryzyka.

Natalia Benderska
Konsultant ds. ochrony danych osobowych

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.