Naruszenie ochrony danych osobowych pod RODO – procedury i praktyczny poradnik

Jak zapewne wiesz, prawo nakłada na Ciebie obowiązek zapewnienia bezpieczeństwa danym osobowym, które przetwarzasz. Jeżeli jednak zabezpieczenia zawiodą i dojdzie do naruszenia, przepisy rozporządzenia UE o ochronie danych osobowych (RODO) wskazują czynności, które musisz podjąć. Czy wiesz, co musisz zrobić?

Zastosowanie przewidzianej na taką okoliczność procedury wpływa na zakres ponoszonej odpowiedzialności, dlatego tak ważne jest jej prawidłowe skonstruowanie oraz wdrożenie w Twojej działalności.

Niniejszy artykuł dostarczy Ci odpowiedzi na następujące pytania:

  1. Czym jest naruszenie ochrony danych osobowych?
  2. Jakie elementy musi zawierać procedura na wypadek naruszenia ochrony danych osobowych?
  3. Na czym polegają czynności podejmowane na wypadek naruszenia ochrony danych osobowych?

Czym jest naruszenie ochrony danych osobowych

Słysząc o naruszeniu ochrony danych osobowych, Twoim pierwszym skojarzeniem jest zapewne ich bezprawne ujawnienie, czyli tzw. „wyciek”.

Definicja naruszenia zawarta w RODO jest jednak znacznie szersza i obejmuje „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

W związku z powyższym, opracowywana przez Ciebie procedura musi uwzględniać każdą z tych sytuacji.

Procedura na wypadek naruszenia ochrony danych osobowych zgodnie z RODO

Niezależnie od branży, w której działasz, ustanowiona przez Ciebie procedura musi określać środki podejmowane w celu:

  1. wykrycia naruszenia;
  2. klasyfikacji naruszenia;
  3. zawiadomienia o naruszeniu;
  4. rejestracji naruszenia;
  5. minimalizacji skutków naruszenia, a także wykrycie jego przyczyn i okoliczności;
  6. zapobieżenia przyszłym naruszeniom.

Wymienione elementy zostaną kolejno omówione poniżej. 

Wykrycie naruszenia według RODO

Nie będziesz w stanie zareagować na naruszenie, jeżeli nie będziesz o nim wiedział. Zgodnie z RODO, musisz zatem zastosować takie środki, które wykryją naruszenie niezwłoczniepo jego zaistnieniu i jednocześnie zasygnalizują je Tobie lub upoważnionemu pracownikowi. W zależności od sposobu przetwarzania danych, środki można podzielić na stosowane w systemach informatycznych oraz poza systemami informatycznymi.

Jeżeli przetwarzasz dane osobowe w systemie informatycznym, osoba odpowiedzialna za jego utrzymanie powinna wprowadzić do niego mechanizmy pozwalające na szybkie wykrywanie naruszeń zgodnie z RODO.

Konieczne są też regularne szkolenia osób korzystających z tych systemóww zakresie zagrożeń cybernetycznych – ich nowe rodzaje mogą pojawiać się z dnia na dzień, dlatego ważna jest cykliczna aktualizacja posiadanej wiedzy.

Zda się ona jednak na niewiele, jeżeli pracownik wykryje naruszenie lub poweźmie podejrzenie, że do niego doszło, ale nie będzie wiedział, jak zareagować. Niezbędne jest zatem szkolenie pracowników w zakresie przyjętych procedur, które powinno obejmować wskazanie potencjalnych źródeł zagrożeń (np. w postaci podejrzanego e-maila, nietypowego wyglądu strony internetowej, dziwnego zachowania systemu informatycznego) oraz sposób zgłoszenia naruszenia/podejrzenia naruszenia (np. mailowo, telefonicznie) osobie odpowiedzialnej za przeciwdziałanie im.

Chociaż dane osobowe przechowywane poza systemami informatycznymi(najczęściej na papierowych nośnikach) są w mniejszym stopniu narażone na zagrożenia związane z wyciekiem danych osobowych, nie oznacza to, że ich ochronę można bagatelizować.

Także w tym przypadku pracownicy powinni odbyć szkolenie z przyjętych procedur, obejmujące w szczególności wskazanie sytuacji, których należy unikać (np. pozostawianie na biurku dokumentów bez nadzoru) oraz poszlaki wskazujące na naruszenie (np. uszkodzenie zamku szafy na dokumenty, brak dokumentów itp.). Nie można też zapomnieć o wskazaniu osoby odpowiedzialnej za rozpatrywanie zgłoszeń, a także o sposobach kontaktu z nią.

Klasyfikacja naruszenia według RODO

Osoba, do której spływają zgłoszenia o potencjalnych naruszeniach, w pierwszej kolejności dokonuje ich odpowiedniej klasyfikacji (osobnej dla naruszeń ochrony danych w systemach informatycznych oraz poza nimi) zgodnie z RODO, polegającej na przypisaniu naruszenia do określonej wcześniej kategorii. Najłatwiej wyobrazić to sobie w postaci tabeli z dwoma kolumnami – w pierwszej z nich znajduje się poziom naruszenia (np. w skali 1-5 lub innej), w drugiej – kryteria klasyfikacyjne (np. czy występuje możliwość wystąpienia szkody finansowej).

To oczywiście tylko przykład – w zależności od potrzeb możesz stworzyć klasyfikację z większą lub mniejszą liczbą poziomów oraz zawierającą różne kryteria. Ważne, by granice między poziomami były ostre (w sytuacji naruszenia nie można tracić czasu na zastanawianie się, czy doszło do naruszenia na poziomie 3, czy 4). Aby być zgodnym z RODO, w razie wątpliwości, naruszenie należy zakwalifikować do wyższej z rozważanych kategorii.

Określając poziom naruszenia należy wziąć pod uwagę wielkości przewidywanego uszczerbku fizycznego lub szkody majątkowej lub niemajątkowej,jaka może powstać dla osób, których dane są przetwarzane.

Przykładami takich szkód są w szczególności:

  1. utrata kontroli nad własnymi danymi osobowymi;
  2. ograniczenie praw;
  3. dyskryminacja;
  4. kradzież lub sfałszowanie tożsamości;
  5. strata finansowa;
  6. naruszenie dobrego imienia;
  7. naruszenie poufności danych osobowych chronionych tajemnicą zawodową;
  8. wszelkie inne znaczne szkody gospodarcze lub społeczne.

Dobrze zaprojektowana klasyfikacja pozwoli na szybkie i zgodne z przepisami dot. ochrony danych osobowych zastosowanie środków adekwatnych do naruszenia i z pewnością ułatwi pracę osobie odpowiedzialnej za ochronę danych osobowych. Z drugiej strony nie powinieneś ufać jej bezgranicznie – zawsze istnieje ryzyko przypisania naruszenia do błędnej kategorii lub wystąpienia naruszenia, które nie mieści się w dotychczas stosowanych kryteriach.

Dodatkowo, jak każda inna dokumentacja prowadzona zgodnie z RODO, klasyfikacja powinna mieć charakter otwarty i być sukcesywnie aktualizowana, w tym poprawiana.

Zawiadomienie o naruszeniu według RODO

Zgodnie z przepisami RODO, o naruszeniu ochrony danych osobowych musisz w pewnych sytuacjach zawiadomić właściwy organ nadzorczy – w Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych (PUODO). Czynności tej powinieneś dokonać niezwłocznie, nie później jednak niż w ciągu 72 godzin od wykrycia naruszenia (w razie opóźnienia, do zgłoszenia powinieneś dołączyć wyjaśnienie jego przyczyn). Zgłoszenia dokonuje się w formie elektronicznej, poprzez wypełnienie formularza dostępnego na stronie Urzędu, a następnie załączenie go do pisma ogólnego dostępnego na platformie www.biznes.gov.pl.

Zgłoszenie powinno:

  1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli w miarę rozwoju sytuacji ujawnią się nowe okoliczności naruszenia, również należy je zgłosić.

Zgłoszenia możesz nie dokonywać, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Ocena ryzyka musi być obiektywna i uwzględniać nawet mało prawdopodobne scenariusze.

Jako przykład naruszenia, którego nie trzeba zgłaszać, można podać przypadkowe skasowanie danych osobowych, jeżeli mamy ich kopię zapasową.

O naruszeniu ochrony danych osobowych musisz zawiadomić także osobę, której dane dotyczą. Obowiązek ten pojawia się, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby. Przepisy RODO stanowią, że należy uczynić to bez zbędnej zwłoki (co wskazuje na “szybkie” sposoby komunikacji, np. telefon, czy pocztę elektroniczną), nie określając przy tym maksymalnego terminu.

Także w tym przypadku istnieją okoliczności uzasadniające zaniechanie zawiadomienia.Należy do nich:

  1. zastosowanie prewencyjnego zabezpieczenia danych osobowych jeszcze przed wystąpieniem naruszenia ich ochrony (np. zaszyfrowanie danych);
  2. podjęcie odpowiednich działań zaradczych już po zaistnieniu naruszenia (np. zawarcie umowy o zachowaniu poufności z osobą, która przez przypadek uzyskała dostęp do danych);
  3. niewspółmierny wysiłek związany z zawiadomieniem – należy w tej sytuacji wydać publiczny komunikat i umieścić go:
  • na stronie internetowej (nie powinno być to jedyne miejsce ogłoszenia);
  • w mediach społecznościowych;
  • w portalu branżowym;
  • w prasie branżowej;
  • w radiu lub telewizji.

Oceny, czy zachodzi obowiązek zawiadomienia nie powinieneś dokonywać niefrasobliwie, gdyż podlega to kontroli ze strony organu nadzorczego. Jeżeli uzna, że Twoja ocena była błędna, może nakazać Ci powiadomienie zainteresowanych osób o naruszeniu.

Rejestracja naruszenia według RODO

Każde naruszenie powinieneś koniecznie odnotować w założonym do tego celu rejestrze. Należy umieścić w nim następujące informacje:

  1. datę i godzinę naruszenia;
  2. rodzaj naruszenia (wraz z przypisaną kategorią);
  3. działania podjęte w związku z naruszeniem.

Dobrze prowadzony rejestr będzie pomocy w kontaktach z Urzędem Ochrony Danych Osobowych, a także pozwoli wykorzystać udokumentowane naruszenia w celu przeciwdziałaniu im w przyszłości.

Minimalizacja skutków naruszenia według RODO

Po wykryciu naruszenia ochrony danych osobowych, Twoje działania powinny być w pierwszej kolejności nakierowane na uniemożliwienie dalszych naruszeń, a następnie na usunięcie lub zminimalizowanie ich skutków. Jeżeli w wyniku naruszenia zakłócona została praca systemu informatycznego, powinieneś jak najszybciej przywrócić jego prawidłowe funkcjonowanie. Równolegle należy zakwalifikować naruszenie do odpowiedniej kategorii oraz dokonać oceny, czy powstał obowiązek zawiadomienia PUODO lub osób, których danych osobowych dotyczyło naruszenie.

Kiedy niebezpieczeństwo dalszych naruszeń zostanie zażegnane, powinieneś ustalić okoliczności zdarzenia, jego przyczyny oraz osobę za nie odpowiedzialną. Pozwoli to na zabezpieczenie się przed występowaniem podobnych naruszeń w przyszłości i ewentualne wyciągnięcie konsekwencji dyscyplinarnych.

Jeżeli powierzyłeś przetwarzanie danych osobowych innemu podmiotowi, musisz wnikliwie analizować każde zawiadomienie o naruszeniu, które od niego otrzymasz. Jeżeli będzie ono niekompletne lub budzące wątpliwości, zażądaj jego uzupełnienia, a w razie potrzeby skontroluj czynności podmiotu przetwarzającego. Jeżeli zawiadomienie okaże się prawdziwe, powinieneś podjąć czynności opisane w powyższych akapitach.

Zapobieganie przyszłym naruszeniom zgodnie z RODO

Wszystkie wysiłki i koszty włożone w zwalczenie skutków naruszenia pójdą na marne, jeżeli nie wyciągniesz z nich wniosków na przyszłość. W pewnych przypadkach takie zdarzenia mogą przynieść długofalowe korzyści, np. gdy kontrola wszczęta w związku z relatywnie niewielkim naruszeniem wykryje mankamenty mogące doprowadzić w przyszłości do znacznie poważniejszych konsekwencji.

Działania zapobiegawcze mogą polegać w szczególności na:

  1. przeprowadzeniu doraźnego audytu wewnętrznego;
  2. zleceniu przeprowadzenia audytu zewnętrznego;
  3. ponownym dokonaniu analizy ryzyka;
  4. ponownym dokonaniu oceny skutków dla ochrony danych osobowych;
  5. wprowadzeniu dodatkowych zabezpieczeń;
  6. skierowaniu osób zatrudnionych na dodatkowe szkolenia;
  7. zmianach organizacyjnych i personalnych;
  8. zmianie obowiązujących procedur;
  9. zwiększeniu efektywności procedur;
  10. wyciągnięciu konsekwencji służbowych wobec osób winnych naruszenia — włącznie z rozwiązaniem umowy o pracę lub innej umowy bez zachowania okresu wypowiedzenia.

Podsumowanie

Przygotowanie odpowiedniej procedury na wypadek naruszenia ochrony danych osobowych jest konieczne z jednej, zasadniczej przyczyny – niezależnie od stopnia zaawansowania Twojego systemu zabezpieczeń, nigdy nie będzie on stuprocentowo skuteczny. Nie powinieneś zatem zadawać sobie pytania „CZY dojdzie do naruszenia?”, ale „KIEDY do niego dojdzie?”. Być może takie postawienie sprawy nieco wyolbrzymia zagrożenie (nie jest wykluczone, że naruszenie nigdy Ci się nie przytrafi), ale liczenie w tej materii na łut szczęścia może przynieść bolesne rozczarowanie.

Jeżeli do naruszenia już dojdzie, dobra procedura jest Twoją ostatnią deską ratunku. W tym przypadku słowo „dobra” = „aktualna”, dlatego tak ważne jest nieustanne jej doskonalenie zgodnie z najnowszymi standardami, a także prowadzenie regularnych szkoleń dla Twoich pracowników. Dobrym pomysłem będzie także zorganizowanie ćwiczeń z jej zastosowania w celu wykrycia wcześniej niedostrzeganych problemów (np. kłopotów z komunikacją).

Naruszenie ochrony danych osobowych przypomina pożar – pojawia się w najmniej spodziewanym momencie i szybko się rozprzestrzenia. Kiedy je zauważysz, nie możesz dopiero w tym momencie zastanawiać się, co robić i w jakiej kolejności – w tej sytuacji powinieneś postąpić zgodnie z procedurą, która przygotowałeś, wdrożyłeś i przećwiczyłeś. Z nią masz szansę ograniczyć rozmiar szkód. Bez niej – praktycznie nie masz szans.

Autorzy: Arkadiusz Szczudło, Konrad Cichoń