Naruszenie ochrony danych osobowych to problem spędzający sen z powiek wielu organizacjom – niezależnie od ich wielkości czy branży. Każde nieuprawnione ujawnienie, utrata lub modyfikacja danych może skutkować utratą zaufania klientów, sankcjami finansowymi z tytułu RODO oraz poważnymi szkodami wizerunkowymi. Równie poważnym wyzwaniem jest jednak nieprawidłowe raportowanie takich incydentów, które może dodatkowo pogorszyć sytuację. Jakie błędy pojawiają się najczęściej i jak ich uniknąć?

1.    Trudności z określeniem daty naruszenia

Zgodnie z przepisami RODO czas na zgłoszenie naruszenia ochrony danych liczony jest od momentu stwierdzenia, a nie od wykrycia incydentu i wynosi 72 godziny. Z tego powodu ważne jest, aby administrator danych osobowych nie tylko szybko identyfikował potencjalne problemy, ale także przeprowadzał ich wnikliwą analizę. Dopiero na podstawie uzyskanych informacji można podjąć decyzję o zgłoszeniu zdarzenia do Prezesa UODO.

Nie należy jednak celowo opóźniać działań wyjaśniających, ponieważ takie praktyki mogą skutkować dodatkowymi pytaniami lub sankcjami ze strony organu nadzorczego. Administratorzy muszą udokumentować, dlaczego czas między wykryciem a stwierdzeniem naruszenia był niezbędny, np. na dokładne przeanalizowanie logów, ustalenie zakresu zdarzenia czy identyfikację zaangażowanych danych.

2.    Nieprecyzyjna ocena ryzyka

Zgodnie z art. 33 RODO naruszenie ochrony danych osobowych należy zgłaszać organowi nadzorczemu, chyba że jest mało prawdopodobne, aby skutkowało to ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku, gdy naruszenie niesie za sobą wysokie ryzyko naruszenia tych praw lub wolności, administrator danych ma dodatkowy obowiązek zawiadomienia osób, których dane dotyczą.

Właściwa ocena ryzyka jest zatem niezbędna w procesie zarządzania naruszeniami. Wymaga to uwzględnienia zarówno charakteru, jak i zakresu oraz rodzaju danych. Aby ułatwić ten proces, warto korzystać z narzędzi wspierających ocenę ryzyka, które pomagają ustalić, czy konkretne naruszenie wymaga zgłoszenia do Prezesa UODO, a także czy należy powiadomić osoby, których dane dotyczą.

3.    Nieprecyzyjne określenie konsekwencji naruszenia danych

Niestety, administratorzy często ograniczają się do bardzo pobieżnych stwierdzeń w komunikatach dotyczących możliwych konsekwencji naruszenia danych. Nie spełnia to jednak wymogów RODO i może powodować niepotrzebne obawy wśród osób poszkodowanych. Zamiast wskazywać ogólnikowo na potencjalne skutki, jak np. strata finansowa czy utrata poufności danych, warto precyzyjnie opisać ryzyko w sposób zrozumiały dla odbiorcy.

4.    Lakoniczny opis zgłoszenia

Podobnie to wygląda w przypadku opisywania zgłoszenia, które niejednokrotnie nie zawiera szczegółów dotyczących przebiegu zdarzenia czy też jego okoliczności. Zgłoszenia zawierają krótkie stwierdzenia, np. „zagubiony dokument”, co zmusza Urząd Ochrony Danych Osobowych do podejmowania dodatkowych czynności wyjaśniających, w tym kontaktu z administratorem lub inspektorem ochrony danych.  

Dla dobra zarówno administratora, jak i UODO warto zadbać o to, aby wypełniane zgłoszenia były kompletne. Powinny zawierać szczegółowy opis zdarzenia, w tym informacje o jego przyczynach, przebiegu oraz potencjalnych skutkach

5.    Błędne podawanie liczby osób zagrożonych naruszeniem

Kolejnym istotnym problemem jest podawanie niewłaściwej liczby osób, których dane zostały naruszone. Administratorzy często popełniają błędy, zaniżając lub zawyżając liczbę poszkodowanych, co wynika z braku dokładnej analizy dostępnych danych lub z pośpiechu przy składaniu zgłoszenia. Można jednak tego uniknąć, zwłaszcza dzięki szczegółowej weryfikacji niezbędnych informacji jeszcze przed zgłoszeniem, a także ustaleniu, które dane zostały faktycznie naruszone i kogo to dotyczy.

6.    Brak prowadzenia rejestru naruszeń

Jak zostało wspomniane wcześniej, jeżeli administrator danych osobowych stwierdzi, że prawdopodobieństwo naruszenia praw i wolności osób fizycznych w wyniku naruszenia ochrony danych jest niskie, nie musi zgłaszać tego faktu do Prezesa UODO. Nie zwalnia go to jednak z konieczności prowadzenia rejestru naruszeń, który stanowi podstawę każdej dokumentacji dotyczącej ochrony danych osobowych, zgodnie z art. 33 ust. 5 RODO.

Rejestr powinien zawierać szczegółowe informacje na temat zaistniałego incydentu, w tym okoliczności naruszenia, jego potencjalnych skutków oraz podjętych działań naprawczych. Co więcej, administrator powinien dysponować dowodem przeprowadzenia analizy naruszenia, na podstawie której podjął decyzję o braku zgłaszania zdarzenia do Prezesa UODO.

7.    Rutynowe wypełnianie zgłoszeń

Ostatnim błędem w raportowaniu naruszeń danych osobowych jest przeprowadzenie tych czynności w sposób niedbały i rutynowy. Administratorzy często traktują zgłoszenia jako powtarzalną formalność i wypełniają je pobieżnie, bez dokładnego przemyślenia. Niestety, takie podejście może prowadzić do pominięcia wielu istotnych informacji, które są niezbędne do pełnej oceny sytuacji.

Obowiązkiem administratora danych osobowych jest więc traktowanie wszelkich, nawet na pozór błahych naruszeń z należytą starannością, aby zapewnić, że wszystkie istotne okoliczności zostały odpowiednio udokumentowane. Należy dokładnie opisać przebieg zdarzenia, podjąć rzetelną analizę ryzyka oraz wskazać ewentualne działania zaradcze i naprawcze.

Jak powiedział rzymski polityk Cyceron: „ludzką rzeczą jest błądzić, głupców rzeczą trwać w błędzie”. Najważniejsze jest zatem wyciąganie wniosków z popełnionych błędów i nieustanne doskonalenie procesów związanych z raportowaniem naruszeń ochrony danych osobowych. Pamiętajmy o tym, że przestrzeganie przepisów RODO nie tylko minimalizuje ryzyko kar finansowych, ale także pomaga utrzymać reputację organizacji i zwiększa zaufanie wśród pracowników.