Właściwe postępowanie w przypadku naruszenia ochrony danych

Administrator i podmiot przetwarzający – partnerzy w działaniach na rzecz RODO

Jedną z kluczowych ról, jakie pełni administrator danych jest analiza
i ocena, czy dany przypadek naruszenia ochrony danych przez podmiot przetwarzający podlega obowiązkowi oficjalnego zgłoszenia do UODO.
By móc rzetelnie wypełniać obowiązki z tym związane, kluczowa jest prawidłowa współpraca między podmiotem przetwarzającym dane i administratorem.
To podmiot przetwarzający ma bowiem komunikować o wszelkich incydentach i przekazywać informacje o okolicznościach zdarzenia,
a także umieć identyfikować sytuacje, w których doszło do naruszenia ochrony danych osobowych.
Dopiero gdy wymiana informacji między administratorem i podmiotem przebiega bez zakłóceń obowiązki obu stron mogą być prawidłowo realizowane w świetle przepisów RODO.
Dzięki temu Urząd Ochrony Danych Osobowych może otrzymywać zgłoszenia o naruszeniach w tych sytuacjach, które tego wymagają. Z drugiej strony w razie postępowania wyjaśniającego, czy też w odpowiedzi na zgłoszenia dotyczące nieprawidłowości istnieje możliwość wykazania, że działania były prowadzone zgodnie z regulacjami prawnymi.
Te dwie strony – administrator i podmiot przetwarzający – muszą zatem znać zakres swoich czynności oraz realizować wszystkie przypisywane im przez RODO zadania. W innym wypadku organizacja jest narażona na poważne konsekwencje wynikające z naruszeniami przepisów oraz brakiem zachowania wszystkich niezbędnych środków bezpieczeństwa dla danych osobowych.

Jak rozumieć termin administratora?

Administrator danych osobowych został zdefiniowany w treści Art. 4 p. 7 RODO jako:
„osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. W tym kontekście to sam fakt przetwarzania danych stanowi, czy określony podmiot pełni rolę administratora. Istotne jest to, by korzystał on z danych osobowych w określonym celu, a także potrafił wskazać wykorzystywane do tego sposoby. Status administratora może wynikać z przepisów prawnych – bezpośrednio, albo też z ich interpretacji. O nadaniu tego statusu może też decydować stanowisko Prezesa UODO.

Kim jest podmiot przetwarzający?

Podmiot przetwarzający, inaczej procesor według RODO może być osobą fizyczną lub organizacją. Do stwierdzenia, czy dany podmiot jest procesorem stosuje się dwa kryteria:

– po pierwsze jest on odrębnym podmiotem niż administrator danych,

– po drugie dokonuje on przetwarzania danych w imieniu administratora.

Oznacza to tyle, że podmiot przetwarzający nie ma możliwości prowadzenia działań we własnych celach, odmiennych, niż określił administrator. Jakiekolwiek czynności przetwarzania wykraczające poza cele administratora będą uznawane za naruszenie postanowień RODO. Jest to przesłanka do nałożenia na procesora sankcji za łamanie przepisów ochrony danych. Podmiot przetwarzający musi się zatem ograniczyć do instrukcji ustanowionych przez administratora.

Różnice między procesorem a administratorem

Jak wynika z zakresu samych definicji, role obu podmiotów zasadniczo się różnią. Administrator danych pełni tutaj funkcję nadrzędną. W procesie przetwarzania danych to on decyduje o zawarciu umowy powierzenia, a także określa obowiązki dla procesora.

Podmiot przetwarzający winien jest zatem stosować się do wytycznych określonych przez administratora.  Ma on jedynie działać na rzecz administratora i w jego imieniu, lecz nie może modyfikować samodzielnie przypisanych zadań, czy zakresu działania.

Jest to znamienne zwłaszcza gdy mają miejsce incydenty naruszeń ochrony danych osobowych. Współpraca między tymi podmiotami wymaga, by procesor informował o wszelkich naruszeniach kierując się do administratora.

Obowiązki procesora w świetle RODO

Kluczową kwestią, jaką porusza art. 33 ust. 2 RODO jest obowiązek ciążący na podmiocie przetwarzającym dotyczący zgłaszania zdarzeń administratorowi. Procesor jest obowiązany prawnie, by bez zbędnej zwłoki informować o stwierdzeniu jakichkolwiek naruszeń ochrony danych osobowych.  Nie analizuje on czy zasadne jest zgłoszenie tego faktu do UODO, ani jakie należy podjąć dalsze działania. Musi jednak prawidłowo identyfikować tego typu zdarzenia i być w stanie stwierdzić, czy doszło do naruszenia.

Czy doszło do naruszenia?

Podstawowym wyzwaniem, z jakim boryka się podmiot przetwarzający jest stwierdzenie, czy miało miejsce naruszenie ochrony danych osobowych. Powinien on kierować się definicją naruszenia zawartą w art. 4 pkt 12 RODO. Zdarzają się jednak sytuacje, gdzie ocena incydentu pod tym kątem jest trudna. Zasadniczo podmiot powinien skupić się na ustaleniu, czy incydent ciągnie za sobą określone skutki dla bezpieczeństwa danych osobowych. Inne naruszenia przepisów nie będą go dotyczyły.  Normalne czynności przetwarzania – czyli wszystkie działania zamierzone i celowe nie są traktowane jako zagrożenie bezpieczeństwa. RODO dopuszcza cały szereg czynności, które są zgodne z prawem. Należy się ograniczyć do rozpatrywania sytuacji, do jakich doszło z uwagi na brak kontroli podmiotu przetwarzającego.

Najczęstsze skutki naruszeń bezpieczeństwa danych

Według obowiązujących przepisów zasadniczym skutkiem naruszenia ochrony danych będzie sytuacja, gdzie dane ulegają takiej zmianie formy, że przestają być zdatne do użytku. Jest to przede wszystkim uszkodzenie poprzez skasowanie danych elektronicznych, bądź też spalenie, albo zalanie danych w formie tradycyjnej. Jeżeli zatem zniszczeniu ulega nośnik, albo dochodzi do skasowania danych zapisanych na nośniku elektronicznym i nie jest możliwe ich odzyskanie – będzie to konsekwencja naruszenia danych.

Katalog skutków obejmuje jednak także sytuacje takie, jak modyfikacja danych – o ile dochodzi do niej przypadkowo albo w sposób niezgodny z prawem. Chodzi konkretnie o przypadki dokonania zmian treści informacji, jakie były zawarte w danych przetwarzanych przez podmiot. Efektem modyfikacji może być ich nieczytelność, niekompletność albo nieprawidłowa treść.

Kolejną kategorią skutków naruszenia jest nieuprawnione ujawnienie danych. Tutaj sytuacja jest o tyle niebezpieczna dla osób, których dane dotyczą, że informacje mogą trafić do niepowołanych osób. Może do tego dojść gdy np. dane zostaną przekazane do błędnego adresata. Najczęściej dochodzi do takich sytuacji przy wymianie danych drogą mailową.

Podobnie, gdy dostęp do danych uzyskają osoby nieuprawnione jest to istotny skutek naruszenia bezpieczeństwa danych. Może do tego dojść np. w wyniku kradzieży danych, czy włamania.

Jak dokonać zgłoszenia naruszenia administratorowi?

Choć RODO nie wskazuje wprost terminu, w jakim podmiot przetwarzający ma obowiązek powiadomić administratora o stwierdzonym przypadku naruszenia, w praktyce jest on szczególnie ważny. Przepisy wymagają, by było to wykonane niezwłocznie. W umowach powierzenia często znajdują się dodatkowe zapisy regulujące tę kwestię. Czas gra tu ogromną rolę, ponieważ administrator musi ocenić sytuację i zadecydować o dalszych krokach. Jeśli są podstawy do zgłoszenia do UODO – tutaj także powinno się to odbyć jak najszybciej. Niewywiązanie się z tego obowiązku bardzo często skutkuje nałożeniem kar pieniężnych na drodze postępowania UODO. UODO musi zostać powiadomione o naruszeniu w ciągu 72 godzin od chwili stwierdzania naruszenia.

Informacje wymagane w zgłoszeniu naruszenia

W praktyce każde zgłoszenie kierowane do administratora musi zawierać pewne stałe elementy. Obejmują one m.in.:

  • datę, czas trwania zdarzenia, a także lokalizację, gdzie doszło do incydentu naruszenia ochrony danych osobowych;
  • charakter i skalę naruszenia – podmiot powinien wskazać jakich kategorii danych dotyczy sprawa, a z drugiej strony oszacować ilu osób może dotyczyć naruszenie, w tym również jaka liczba wpisów danych osobowych obejmuje dane naruszenie i czy jest możliwe podmiotów danych, których dotyczyło naruszenie;
  • gdy naruszenie dotyczy danych elektronicznych – wskazanie w jakim systemie informatycznym ono wystąpiło;
  • wskazanie ile czasu przewiduje się  poświęcić na to, by móc naprawić szkodę związaną z naruszeniem;
  • charakter i zakres danych osobowych, jakie objęte są danym naruszeniem;
  • wskazanie przewidywanych konsekwencji naruszenia – tutaj ważne jest, by skupić się na osobach, których dane dotyczą;
  • wskazanie środków, jakie podjęto w ramach minimalizowania konsekwencji naruszenia, w tym propozycje działań zapobiegawczych i naprawczych;
  • dane kontaktowe do osoby, która może udzielić dalszych informacji o naruszeniu.

Bez procedur i dokumentacji trudno o dobrą współpracę

Aby wszystkie organy zaangażowane w przetwarzanie danych mogły efektywnie współpracować konieczne są odpowiednie procedury wewnętrzne i dokumentacja. Podmiot przetwarzający i administrator powinni dysponować procedurami, które umożliwią:

  • wykrywanie naruszeń
  • natychmiastową reakcję na zaistnienie naruszenia i jego powstrzymanie ,
  • rzetelną ocenę ryzyka – dotyczącą osób, których dane są przedmiotem naruszenia,
  • podjęcie decyzji, czy w danym przypadku należy powiadomić organ nadzoru
  • powiadomienie o naruszeniu wszystkich osób, których dotyczy naruszenie
  • prowadzenie wymaganych rejestrów naruszeń.

Kto ma obowiązek prowadzić rejestr?

Przepisy RODO stanowią, że każdy podmiot przetwarzający ma obowiązek prowadzić rejestr naruszeń. Powinien on być realizowany w taki sposób, by uprościć procedurę zgłoszenia naruszenia administratorowi. Obecnie przyjęło się, że rejestr ma formę elektroniczną. Zawiera on dane takie jak:

  • informacje o wystąpieniu zdarzenia i stwierdzeniu naruszenia;
  • okoliczności naruszenia;
  • skutki naruszenia (czyli opis konsekwencji naruszenia);
  • środki naprawcze i zaradcze;
  • zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych – czy zostało dokonane i kiedy.

Kiedy naruszenie nie musi być zgłoszone do organu nadzorczego?

Prawo dopuszcza przypadki, w których można odstąpić od obowiązku zgłoszenia incydentu do organu nadzorczego. RODO stanowi , że można podjąć taką decyzję, kiedy „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (art. 33 ust. 1 RODO).

W praktyce łatwo popełnić błąd i źle ocenić sytuację. Często zdarzają się przypadki, gdzie ocena ryzyka została przeprowadzona nieprawidłowo i w efekcie UODO stwierdziło w organizacji nieprawidłowości. Administrator danych musi być na tyle kompetentny, by oszacować wszystkie negatywne skutki naruszenia. Powinien mieć on na uwadze cały katalog potencjalnych ryzyk dla osób, których dane osobowe zostały narażone. Nie można bagatelizować występowania ryzyka lub je pomijać.

Błędem jest lekceważenie ryzyka dotyczącego danych, które zgodnie z RODO objęte są szczególną ochroną. Są to:

  • dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych,
  • dane osobowe ujawniające dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa,
  • dane, z wykorzystaniem których oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się,
  • dane dotyczące osób wymagających szczególnej opieki, w tym dzieci,
  • dane osobowe prawnie chronione, np. tajemnicą zawodową.

Gdy incydent ich dotyczy zaniechanie zgłoszenia do UODO może być potraktowane jako poważne naruszenie przepisów. Tutaj nie można przyjąć innej wersji, niż ta, że ryzyko naruszenia jest wysokie. Podobnie w sytuacji, gdy dane uległy odszyfrowaniu, lub też dotyczą dużej ilości danych. Lepszym wyjściem jest zawsze dokonanie zgłoszenia jeśli zachodzą wątpliwości w ocenie ryzyka.

Obowiązek zawiadomienia osób

Oprócz zgłoszenia do UODO administrator winien jest także dokonać zawiadomienia wszystkich osób, których dane obejmują naruszenie. Powinno ono zostać skierowane w formie pisemnej lub elektronicznej. Chodzi o to, by osoba miała możliwość wielokrotnego przeczytania treści powiadomienia i zapoznania się z nią. Tutaj również trzeba pamiętać o zachowaniu jak najkrótszego terminu powiadomienia. Działanie takie administrator powinien podjąć „bez zbędnej zwłoki”. Dopiero wówczas osoba, której ryzyko dotyczy może świadomie podjąć kroki zabezpieczające. Jeśli będzie nieświadoma zaistniałej sytuacji może stać się ofiarą przestępstwa – np. na skutek wyłudzenia pieniędzy w instytucjach finansowych, czy kradzieży. Jej prawa i interesy mogą też ucierpieć na wiele innych sposobów.

 

Źródło:

  1. https://www.parp.gov.pl/component/content/article/72064:naruszenie-ochrony-danych-przez-podmiot-przetwarzajacy-czym-jest-i-jak-postepowac-kiedy-do-niego-dojdzie?fbclid=IwAR0ySPVH6L6cjnCSdd_B1jrZsX4_I1eqraalegPaKWbmYiQ9UD4iB_BtvVE
  2. https://uodo.gov.pl/pl/314/1805
  3. https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_pl

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Wypełnij to pole
Wypełnij to pole
Proszę wpisać prawidłowy adres e-mail.
Aby kontynuować, musisz zaakceptować warunki