Kiedy należy zgłosić wyciek danych osobowych w firmie?

Obowiązek zgłaszania naruszenia danych osobowych wynika wprost z przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych, w skrócie RODO. Jak możemy przeczytać w  art. 33 RODO:

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Kiedy należy zgłosić naruszenie RODO?

Powyższy przepis ustanawia wymóg, zgodnie z którym w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. W związku z wątpliwościami interpretacyjnymi przytoczonego przepisu, ówcześnie działająca tzw. Grupa robocza art. 29 (unijny organ doradczy w sprawach związanych z ochroną danych osobowych) przygotowała wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679.

Według wskazanych wytycznych, stosowanie wymogu zgłoszenia naruszenia może wiązać się z koniecznością ustalenia momentu, w którym można uznać, że administrator „stwierdził” wystąpienie naruszenia. W opinii Grupy Roboczej Art. 29 należy uznać, że administrator „stwierdził” wystąpienie naruszenia w momencie, w którym uzyskał wystarczającą dozą pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych.

Każdy administrator, zgodnie z motywem 87 RODO musi upewnić się, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą.

W nawiązaniu do powyższego, zawiadomienia o naruszeniu ochrony danych osobowych należy  dokonać bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W tym okresie administrator powinien ocenić prawdopodobne ryzyko, na jakie narażone są osoby fizyczne, aby ustalić, czy w danym przypadku zastosowanie ma wymóg zgłoszenia naruszenia, a także aby określić działanie lub działania, które należy podjąć, aby zaradzić naruszeniu.

Jeżeli administrator nie wywiąże się z obowiązku podjęcia działań w odpowiednim terminie, a okoliczności danej sprawy będą jednoznacznie wskazywały na to, że doszło do naruszenia, taka sytuacja może zostać uznana za przypadek niewywiązania się z obowiązku zgłoszenia naruszenia zgodnie z art. 33

Udzielenie informacji organowi nadzorczemu

Art. 33 ust. 3 stanowi, że w przypadku, gdy administrator zgłasza naruszenie organowi nadzorczemu, zgłoszenie to powinno co najmniej:

1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków”.

Administrator  „musi co najmniej” przekazać tego rodzaju informacje w zgłoszeniu, aby – w stosownych przypadkach – mieć możliwość przekazania dodatkowych szczegółowych informacji na późniejszym etapie. Różne rodzaje naruszeń (dotyczące poufności, integralności lub dostępności) mogą wiązać się z koniecznością przekazania dodatkowych informacji, aby w pełni wyjaśnić okoliczności danej sprawy.

Niezależnie od danego przypadku organ nadzorczy może zwrócić się o udzielenie mu dalszych szczegółowych informacji w ramach prowadzonego przez siebie postępowania w przedmiocie naruszenia.

Czy każde naruszenie RODO trzeba zgłaszać?

Nie każde naruszenie podlega obowiązkowi zgłoszenia do Urzędu Ochrony Danych Osobowych. Nie ma obowiązku zgłaszania naruszeń, co do których jest „mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.”

Przykładem będzie chociażby zgubienie zaszyfrowanego zewnętrznego nośnika informacji.

A zatem, jeżeli zapewniono, aby dane osobowe były zasadniczo nieczytelne dla osób nieupoważnionych, oraz jeżeli dane są kopią lub istnieje kopia bezpieczeństwa, nie ma potrzeby zgłaszania organowi nadzorczemu naruszenia dotyczącego poufności danych związanego z odpowiednio zaszyfrowanymi danymi osobistymi. Wynika to z niskiego prawdopodobieństwa, że takie naruszenie stworzy ryzyko naruszenia praw i wolności osób fizycznych. Oznacza to oczywiście, że nie ma również konieczności powiadamiania danej osoby fizycznej, ponieważ ryzyko prawdopodobnie nie jest wysokie.

Co grozi za niezgłoszenie naruszenia ochrony danych osobowych?

Zgodnie z art. 83 ust. 4 lit. a) RODO za niezgłoszenie naruszenia ochrony danych osobowych administratorowi grozi kara pieniężna. Jak dotkliwe mogą być konsekwencje niewykonania tego obowiązku przekonało się ostatnio jedno z towarzystw ubezpieczeniowych, na które Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 85 588 złotych (słownie: osiemdziesiąt pięć tysięcy pięćset osiemdziesiąt osiem złotych). Naruszenie ochrony danych osobowych polegało na tym, że agent ubezpieczeniowy drogą mailową wysłał do niewłaściwego adresata niezaszyfrowaną polisę ubezpieczeniową zawierającą takie dane osobowe jak: imię, nazwisko, nr PESEL, adres zamieszkania, etc.

O szczegółach tego interesującego przypadku będziemy pisać w naszym następnym artykule z cyklu #czwartkizRODO.

Zapraszamy do śledzenia naszego profilu w serwisie Facebook