Naruszenie danych po stronie procesora
Relacja Administratora Danych Osobowych i Podmiotu przetwarzającego
Administrator nie zawsze samodzielnie realizuje procesy powiązane z przetwarzaniem danych osobowych. Często korzysta bowiem z usług podwykonawców, tzw. podmiotów przetwarzających, np. w przypadku korzystania z zewnętrznej księgowości czy zlecania kampanii newsletterowej agencji marketingowej. Podmiot przetwarzający działa wyłącznie w imieniu i na rzecz administratora, a jego obowiązki wynikają z zawartej pomiędzy nimi umowy i z przepisów RODO. Jednym z wymogów stawianych podmiotowi przetwarzającemu jest obowiązek współpracy z administratorem w przypadku wystąpienia naruszenia ochrony danych osobowych.
Naruszenie ochrony danych osobowych
Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych oznacza: „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Dodatkowo, zgodnie ze stanowiskiem Prezesa UODO z 9 grudnia 2020 r. (DKN.5131.5.2020): „z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność”. Innymi słowy, niezależnie od tego, jakie jest źródło zdarzenia, naruszenie ochrony danych powinno się rozpatrywać w kontekście samego faktu przypadkowego lub niezgodnego z prawem:
- zniszczenia danych – a więc, gdy dane przestają istnieć w formie nadającej się do użytku;
- utraty danych – jeżeli utracono nad nimi kontrolę lub dostęp do nich. Utrata danych nie musi wiązać się z ich zniszczeniem, a jedynie ze zmianą podmiotu, który staje się posiadaczem danych;
- modyfikacji danych – czyli dokonania zmiany treści informacji zawartych w danych, w konsekwencji czego stały się niepełne, niezrozumiałe lub błędne;
- ujawnienia danych – w sytuacji, gdy dostęp do danych ma osoba, której nie nadano stosownego uprawnienia, np. w przypadku wysyłki korespondencji na nieprawidłowy adres mailowy;
- nieuprawnionego dostępu do danych – np. w przypadku kradzieży danych.
Obowiązki Podmiotu przetwarzającego w przypadku wystąpienia naruszenia
Podmiot przetwarzający nie jest zobowiązany do zgłaszania naruszeń Prezesowi Urzędu Ochrony Danych Osobowych. Jego aktywność w tym zakresie ogranicza się do zawiadomienia o każdym naruszeniu ochrony danych administratora bez zbędnej zwłoki, jeżeli miały one miejsce w odniesieniu do danych przetwarzanych na jego polecenie. Obowiązek ten wynika wprost z art. 33 ust. 2 RODO, który przewiduje, że po stwierdzeniu naruszenia ochrony danych osobowych podmiot przetwarzający bez zbędnej zwłoki zgłasza je administratorowi. Najczęściej obowiązek ten jest także wprost wskazywany w umowie pomiędzy administratorem i podmiotem przetwarzającym.
Bez zbędnej zwłoki oznacza najszybciej jak to możliwe i taki termin powinien być nałożony na podmioty przetwarzające w umowach powierzenia. Jeżeli podmiot przetwarzający świadczy usługi na rzecz wielu administratorów, a dany incydent wywiera wpływ na wszystkich z nich, będzie on zobowiązany do zgłoszenia naruszenia bez zbędnej zwłoki każdemu z tych administratorów. Ze względu na fakt, iż w stosownych przypadkach, Administrator ma obowiązek zawiadomienia organu nadzorczego o naruszeniu w ciągu 72 godzin od jego wykrycia, zaleca się, aby w umowach powierzenia określać obowiązek powiadomienia przez podmiot przetwarzający o zdarzeniu w ciągu 24 godzin.
W celu należytego wykonywania swoich obowiązków względem administratora, podmiot przetwarzający powinien zatem umieć identyfikować sytuacje, w których doszło do naruszenia ochrony danych osobowych. Spoczywa na nim obowiązek każdorazowego ustalenia, czy konkretny incydent dotyczący danych osobowych stanowił przypadek naruszenia ochrony danych osobowych. Pomocna w ustaleniu, czy doszło do naruszenia ochrony danych osobowych, będzie ww. definicja zawarta w art. 4 pkt 12 RODO. Moment stwierdzenia naruszenia następuje w przypadku, gdy podmiot przetwarzający ma wystarczający stopień pewności co do tego, że doszło do zdarzenia, które doprowadziło w konsekwencji do naruszenia bezpieczeństwa danych osobowych.
Zgłoszenie naruszenia organowi nadzorczemu i zawiadomienie osób, których dane dotyczą
Z chwilą stwierdzenia, że doszło do naruszenia ochrony danych, administrator jest zobowiązany przeprowadzić analizę pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą, pozwalającą stwierdzić, czy należy zgłosić naruszenie organowi nadzorczemu oraz zawiadomić o nim osoby, których dane dotyczą. Naruszenia nie trzeba zgłaszać, kiedy „jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych” (art. 33 ust. 1 RODO).
Aby podjąć decyzję, czy dane naruszenie należy zgłosić do organu nadzorczego, należy rozważyć jego negatywne skutki, poprzez ocenę czy w stosunku do podmiotu danych może wystąpić ryzyko:
- dyskryminacji,
- kradzieży tożsamości lub oszustwa dotyczącego tożsamości,
- straty finansowej,
- naruszenia dobrego imienia,
- wystąpienia znaczącej szkody gospodarczej lub społecznej,
- utraty kontroli nad danymi,
- możliwości pozbawienia podmiotu danych przysługujących mu praw i wolności.
Dokonując oceny ryzyka, należy także ocenić, czy dotyczyło ono danych podlegających szczególnej ochronie, o których mowa w art. 9 i 10 RODO, tj. danych:
- ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie, przekonania światopoglądowe lub przynależność do związków zawodowych,
- genetycznych, biometrycznych, dotyczących zdrowia lub seksualności,
- wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa.
Jeśli analiza doprowadzi do stwierdzenia, że naruszenie dotyczyło którejkolwiek z grup ww. danych, ryzyko zawsze będzie wysokie.
RODO określa także przypadki, w których, mimo wystąpienia naruszenia ochrony danych, administrator jest zwolniony z obowiązku powiadamiania osób, których dane dotyczą. Chodzi o sytuacje, gdy administrator wdrożył takie środki ochrony jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych lub zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności.