Kiedy mamy do czynienia z naruszeniem ochrony danych osobowych?
Naruszenie ochrony danych osobowych to incydent, za który przedsiębiorstwo może ponieść konsekwencje na trzech płaszczyznach. Pierwszą z nich jest płaszczyzna administracyjna, wiążąca się z koniecznością zapłacenia administracyjnych kar pieniężnych. Drugi rodzaj odpowiedzialności, to odpowiedzialność cywilna – przede wszystkim odpowiedzialność administratora za szkody spowodowane przetwarzaniem naruszającym RODO, ale również często odpowiedzialność za naruszenie dóbr osobistych osoby fizycznej. Naruszenie ochrony danych osobowych może mieć także konsekwencje na gruncie karnym – rozporządzenie przewiduje kary zarówno za przetwarzanie danych osobowych bezprawnie, jak i udaremnienie prowadzenia kontroli.
Naruszenie ochrony danych osobowych- od czego zacząć jako administrator?
Aby mówić o naruszeniu ochrony danych osobowych administrator musi stwierdzić:
- naruszenie bezpieczeństwa
- które dotyczy przesłanych, przechowywanych lub w inny sposób przetwarzanych danych osobowych osoby fizycznej,
- wystąpienie skutków naruszenia w postaci np. zniszczenia, utraty, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzania danych osobowych.
Najczęściej administrator danych osobowych wykrywa lub zostaje powiadomiony o tzw. incydencie RODO. Po takiej informacji administrator analizuje ryzyko naruszenia ochrony danych osobowych osób fizycznych. Zbadać należy, czy naruszenie może powodować ryzyko naruszenia praw i wolności. W przypadku uzyskania odpowiedzi twierdzącej należy zgłosić naruszenie właściwemu organowi nadzorczemu. Jeżeli naruszenie może dodatkowo powodować ryzyko naruszenia praw i wolności osób fizycznych, to należy powiadomić osoby fizyczne, na które naruszenie wywiera wpływ i w stosownych przypadkach przekazać informacje dotyczące czynności, które mogą podjąć, aby uchronić się przed skutkami naruszenia.
Ważne! Wszystkie naruszenia administrator musi udokumentować i zarejestrować!
Jak ocenić naruszenie ochrony danych osobowych?
Kolejnym krokiem po zidentyfikowaniu naruszenia ochrony danych osobowych powinno być dokonanie oceny naruszenia. RODO nie wskazuje na konkretny sposób przeprowadzenia naruszenia. Często do oceny wykorzystywane są dostępne w internecie kalkulatory wagi naruszeń, jednak należy pamiętać, że mają one charakter pomocniczy i dla PUODO nie zastępują podstawy dokonania oceny ryzyka naruszeń praw lub wolności.
Spośród stosowanych mechanizmów wyróżnić można na przykład tzw. Mechanizm Grupy Roboczej Art. 29 (Obecnie Europejska Rada Ochrony Danych), który zachęca do sięgnięcia po wzór Bernoulliego, który jest narzędziem matematycznym umożliwiającym wyliczenie rachunku prawdopodobieństwa wystąpienia ryzyka dla naruszenia praw i wolności osób fizycznych. Możliwe jest także posłużenie się algorytmem polecanym przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA), z tym że ta metoda bada wagę naruszenia ochrony danych osobowych, a nie możliwość jego wystąpienia. W związku z tym uzupełnia proces oceny naruszenia. Jedno jest pewne- z już wydanych decyzji PUODO wynika, że bada on metodykę, którą zastosował administrator i przy braku zachowania należytej staranności może uznać ją za niewystarczającą.
Kiedy i gdzie zgłosić zgłosić naruszenie?
Każdy administrator ma obowiązek zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Ważne! Czas liczy się od momentu stwierdzenia naruszenia, a nie faktycznego jego popełnienia. Może zdarzyć się, że od naruszenia ochrony danych osobowych np. poprzez elektroniczne umieszczenie ich w miejscu do którego mają dostęp osoby nieuprawnione, do momentu jego stwierdzenia przez administratora, może upłynąć wiele dni, a nawet miesięcy.
Wyjątkiem od powyższego obowiązku są okoliczności, kiedy mimo naruszenia ochrony danych osobowych nie ma skutku w postaci ryzyka dla naruszenia praw lub wolności człowieka. W takiej sytuacji nie ma konieczności zgłoszenia naruszenia.
Pomoc w ocenie naruszenia danych osobowych w Twojej firmie
Jeżeli potrzebujesz doradztwa w zakresie przeprowadzenia postępowania wyjaśniającego w przypadku naruszenia danych osobowych- skontaktuj się z nami niezwłocznie.
Autor:
Katarzyna Klonowska, Certfikowany Compliance Manager
k.klonowska@complianceexperts.pl