Naruszenie ochrony danych – obowiązek notyfikacji

Obowiązek zawiadamiania organu nadzorczego oraz osób, których dane dotyczą, jest nowością w systemie ochrony danych osobowych. Osoby, których dane podlegają przetwarzaniu będą m.in. informowane nie tylko o tym, w jaki sposób i w jakim celu dane są przetwarzane, ale także o sytuacjach, kiedy np. dojdzie do ich wycieku. Dotychczas o takich sprawach dowiadywaliśmy się zazwyczaj z doniesień medialnych, od 25 maja ma się to zmienić.

Nałożenie na administratorów obowiązku informowania organu nadzorczego o naruszeniu ochrony danych osobowych jest istotnym elementem całego systemu bezpieczeństwa danych, którego szkielet stanowi RODO. Rozporządzenie porządkuje szereg obowiązków informacyjnych, czasem dokonuje ich rozszerzenia, a przede wszystkim wprost zakorzenia ten system w zasadach przejrzystości, adekwatności, proporcjonalności czy rozliczalności. Umożliwia tym samym (oczywiście w idealnym świecie) pełną kontrolę osoby, której dane dotyczą nad obrotem jej danymi osobowymi. Notyfikacja o incydentach związanych z bezpieczeństwem danych jest zatem niezwykle istotnym narzędziem kontrolnym, zarówno dla organu nadzorczego, jak i każdej osoby fizycznej.

Kiedy?

Zgodnie z art. 33 RODO, w przypadku naruszenia ochrony danych osobowych, administrator niezwłocznie, lecz nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza ten fakt organowi nadzorczemu. Jeśli naruszenie wystąpiło po stronie podmiotu przetwarzającego i dotyczyło danych powierzonych, obowiązany jest on powiadomić administratora, który następnie dokonuje zawiadomienia organu nadzorczego. Ważne zatem, by w zawieranych umowach powierzenia pamiętać o odpowiednim uregulowaniu procedury przepływu informacji o naruszeniach pomiędzy procesorem a administratorem, by ten ostatni mógł dokonać notyfikacji do organu w terminie wynikającym z przepisów.

Jeśli naruszenie, o którym mowa powyżej, może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator niezwłocznie zawiadamia osoby, których dane dotyczą o zaistnieniu naruszenia. Konkretnego terminu w tym przypadku ustawodawca nie przewidział, co nie oznacza, że administrator może tę czynność odwlekać. Należy zwrócić uwagę na brzmienie art. 34 ust. 4 – organ może nakazać administratorowi wystosowanie zawiadomienia, jeśli jeszcze go nie dokonał.

Zawiadomienie, czyli co konkretnie?

RODO wskazuje administratorom wymogi w zakresie minimalnej treści zawiadomienia do organu nadzorczego:

– opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie przybliżonej ilości osób, których danych naruszenie mogło dotyczyć;

– kategorię i przybliżoną liczbę rekordów danych osobowych, czyli np. dane pracowników administratora, około 1500 rekordów (tj. ok. 500 wpisów obejmujących nazwisko, ok. 500 wpisów obejmujących datę urodzenia oraz ok. 500 wpisów zawierających numer PESEL);

– oznaczenie punktu kontaktowego, od którego można uzyskać więcej informacji, w szczególności dane IOD, jeśli został powołany u administratora;

– opis możliwych konsekwencji naruszenia;

– wskazanie zastosowanych lub proponowanych środków, które mają na celu zaradzenie zaistniałemu naruszeniu, w szczególności zminimalizowanie jego skutków.

Należy pamiętać, że administrator jest obowiązany do dokumentowania przebiegu każdego incydentu oraz podjętych w jego wyniku działań, by zapewnić organowi nadzorczemu w toku kontroli możliwość weryfikacji przestrzegania przepisu art. 33 RODO.

W odniesieniu do zawiadamiania o naruszeniu ochrony danych osób, których dane dotyczą, RODO nie wskazuje tak dokładnie minimalnej jego treści. Zgodnie z art. 34 ust. 2 zawiadomienie powinno być sporządzone jasnym i prostym językiem, opisywać charakter naruszenia oraz wskazywać na punkt kontaktowy po stronie administratora, wskazywać zastosowane lub proponowane środki zaradcze, a także zawierać opis możliwych konsekwencji incydentu.

Wyjątki?

O ile w przypadku zawiadamiania organu, wyłączenie obowiązku sprowadza się jedynie do przypadków, gdy mało prawdopodobne jest, by naruszenie skutkowało naruszeniem praw i wolności osób fizycznych (co administrator musi ocenić samodzielnie), o tyle wobec zawiadamiania osób, których dane dotyczą, ustawodawca przewidział nieco bardziej szczegółowy katalog wyłączeń.

Zawiadomienie osób, których dane dotyczą nie będzie konieczne, jeśli (wystarczy spełnienie jednej z przesłanek):

– administrator wdrożył przed zaistnieniem naruszenia odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych osobowych, których dotyczy naruszenie – jako przykład takich środków ustawodawca wskazuje szyfrowanie, które uniemożliwia odczyt danych osobom nieuprawnionym;

– administrator po zaistnieniu incydentu zastosował środki, które mają na celu wyeliminowanie prawdopodobieństwa wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

W sytuacji, kiedy zawiadomienie, o którym mowa powyżej, wymagałoby niewspółmiernie dużego wysiłku, administrator powinien zadbać o wydanie publicznego komunikatu albo zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane o wystąpieniu naruszenia w równie skuteczny sposób.

Autor: Paulina Maślak-Stępnikowska

SENIOR CONSULTANT / LEGAL DEPARTMENT

paulina.maslak-stepnikowska@olesinski.com