Po zapoznaniu się z poprzednim artykułem, wiesz już dużo o naruszeniach ochrony danych. Potrafisz je prawidłowo nazwać, wiesz jak je wykrywać i znasz ich najczęstsze przyczyny. Teraz pora na kolejny ważny krok. Z części drugiej dowiesz na czym polega zgłoszenie naruszenia RODO do Urzędu Ochrony Danych Osobowych.
- Część I: Ups… mamy naruszenie ochrony danych osobowych
- Część II: Zgłaszanie naruszenia RODO do Urzędu Ochrony Danych - właśnie go czytasz 🙂
- Część III: Zgłaszanie naruszenia ochrony danych osobowych osobom poszkodowanym
Skąd obowiązek zgłaszania naruszeń do UODO?
Obowiązek zgłaszania naruszeń do organu nadzorczego wynika wprost z RODO:
Przepis kryje w sobie kilka pułapek interpretacyjnych. Po pierwsze, pewne wątpliwości może budzić sposób liczenia 72 h. Zgodnie z wytycznymi EROD (uprzednio GR art. 29), administrator danych stwierdza naruszenie w momencie, w którym „uzyskuje on wystarczający stopień pewności, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych”.
Uzyskanie tego stopnia pewności, poprzedzone powinno być wykonaniem postępowania, w którym zostanie ocenione, czy doszło do naruszenia. Postępowanie takie powinno rozpocząć się jak najszybciej.
W praktyce, od momentu wystąpienia incydentu, do jego stwierdzenia, może minąć trochę czasu. Tym samym, termin 72h może być dłuższy, niż wynika to literalnie z brzmienia przepisu. Ale więcej na ten temat w kolejnych akapitach.
Druga pułapka interpretacyjna kryje się w tym, że nie każde naruszenie podlega obowiązkowi zgłoszenia do UODO. Nie ma obowiązku zgłaszania naruszeń, co do których:
Jako przykłady takich naruszeń, EROD w swoich wytycznych podaje między innymi:
- zgubienie zaszyfrowanego zewnętrznego nośnika informacji
- przypadkowe ujawnienie danych, które są już dostępne w publicznych rejestrach (np. CEIDG lub KRS).
Z dalszej części tekstu, dowiesz się jak nie wpaść w pułapki interpretacyjne. Zaczniemy od kwestii szacowania ryzyka naruszenia praw i wolności.
Zobacz analizę wniosków i statystyk z raportu o naruszeniach RODO
… albo posłuchaj w formie podcastu
Jak oszacuję prawdopodobieństwo naruszenia praw i wolności osób fizycznych?
Teraz przed Tobą największe wyzwanie. Musisz oszacować prawdopodobieństwo naruszenia praw i wolności pokrzywdzonej osoby. Jeśli uznasz, że ryzyko jest niskie, możesz odetchnąć z ulgą. Nie ma konieczności zgłaszania sprawy organowi nadzorczemu. Wystarczy odnotować naruszenie w Twoim wewnętrznym rejestrze. Sprawa jest zamknięta.
Jak to zrobić? Przede wszystkim wykonana przez Ciebie ocena ryzyka powinna zostać utrwalona, jest niezbędne ze względu na zasadę rozliczalności. Jeśli stwierdzisz, że jest mało prawdopodobne, aby incydent skutkował naruszeniem praw i wolności, potrzebne będzie jeszcze uzasadnienie tego stanowiska.
Zgodnie z naszym doświadczeniem w podobnych przypadkach, organ nadzorczy może oczekiwać od Ciebie właśnie takiego uzasadnienia. Nie wystarczy wytłumaczenie, że oszacowaliśmy ryzyko we własnej głowie. Musimy posiadać dowody na przeprowadzenie procesu myślowego.
Polecamy skorzystanie z naszego formularza, który pozwoli Ci spojrzeć na incydent z kilku różnych perspektyw. Przygotowany przez naszego eksperta formularz -w prosty i przystępny sposób pozwoli Ci ocenić sytuację!
Postępowanie z naruszeniami ochrony danych osobowych – praktyczny pakiet procedur, szablonów i instrukcji
Przygotowaliśmy dla Ciebie kompleksowy pakiet wytycznych w zakresie zarządzania naruszeniami ochrony danych osobowych w organizacji.
Co z algorytmami?
To dobry moment, aby odnieść do różnego rodzaju algorytmów matematycznych, które mają na celu wyliczenie prawdopodobieństwa naruszenia praw i wolności. Zdecydowana większość dostawców uczciwie przyznaje, że algorytm szacujący ryzyko, ma być jedynie wsparciem i pomocą dla człowieka. Nie możemy opierać końcowej oceny wyłącznie na matematycznym wyliczeniu.
Dlaczego tak się dzieje? Zmiennych jest zbyt dużo, a życie tworzy nieprzewidywalne scenariusze. Trudno wszystko ująć w zero-jedynkowy algorytm.
Weźmy jako przykład jeden z najczęstszych incydentów – wysyłkę informacji handlowej do swoich klientów, w kopii otwartej. Zupełnie inaczej będzie się przedstawiała ta sytuacja w zależności od prowadzonej działalności. W przypadku biznesu polegającego na wysyłce książek, ryzyka będą znacznie niższe, niż jeśli w ten sposób zapoznamy ze sobą klientów gabinetu terapeutycznego. Trudno powyższe zależności objąć algorytmem matematycznym.
Dlatego, przy ocenie ryzyka dla praw i wolności, ostateczna kwalifikacja należy do człowieka.
Wszelkie algorytmy i formularze, będą dla Ciebie dużym wsparciem, ale nie mogą zwolnić Cię od odpowiedzialności za podjęcie ostatecznej decyzji.
Jeśli chcesz podjąć próbę oszacowania ryzyka we własnym zakresie i zbudować swój własny formularz, polecam Ci lekturę wytycznych EROD, na które powoływałem się już na początku artykułu. Znajdziesz w nich opis kluczowych elementów, które powinny być brane pod uwagę przy ocenie ryzyka dla praw i wolności.
Incydent może skutkować ryzykiem naruszenia praw i wolności osób fizycznych – co teraz?
Następny krok będzie konsekwencją wykonanej wcześniej oceny ryzyka. Jeśli uznasz, że ryzyko jest więcej niż mało prawdopodobne, musisz zgłosić naruszenie do Urzędu Ochrony Danych Osobowych.
Być może konieczne będzie też powiadomienie o naruszeniu osób, których dane dotyczą. Informowanie osób, będzie przedmiotem kolejnego artykułu. Teraz skoncentrujemy się na Urzędzie Ochrony Danych Osobowych.
Ile mam czasu na zgłoszenie naruszenia RODO do Regulatora?
Zgłoszenie naruszenia RODO powinno nastąpić bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Pamiętajmy, że stwierdzenie naruszenia nie zawsze wystąpi w tym samym momencie, w którym doszło do naruszenia!
W mojej ocenie (i nie tylko, o czym za chwilę), przepis art. 33 ust. 1 RODO należy interpretować w ten sposób, że po wykryciu prawdopodobieństwa wystąpienia naruszenia, administrator niezwłocznie podejmuje działania, aby dokonać stwierdzenia, czy do naruszenia rzeczywiście doszło i jaki ewentualnie wpływ na prawa lub wolności podmiotów danych może ono mieć.
Poniżej dwa proste przykłady obrazujące powyższe:
| Naruszenie: | Moment wykrycia: | Moment stwierdzenia naruszenia: | Podsumowanie: |
|---|---|---|---|
| 20 marca 2020 r. lekarz udostępnił dokumentację medyczną pacjenta innemu pacjentowi. | 20 marca 2020 (udostępnienie dokumentacji) | 20 marca 2020 | Naruszenie ma oczywisty charakter. Lekarz poinformował administratora o swoim błędzie niezwłocznie po wydaniu dokumentacji. Administrator bez zbędnej zwłoki przeprowadził postępowanie wyjaśniające. Jeszcze tego samego dnia spisany został protokół naruszenia oraz oszacowane zostało ryzyko naruszenia praw i wolności pacjenta, którego dane zostały bezprawnie ujawnione. Moment wykrycia naruszenia, pokrywa się zatem z momentem jego stwierdzenia. |
| 20 marca 2020 r. pracownik działu IT zauważył, że na ogólnie dostępnym serwerze znajduje się plik z wykazem urlopów każdego z pracowników administratora. Plik został zamieszczony ok. tydzień temu tj. 12 marca 2020 r.
| 12 marca 2020 (pojawienie się pliku na ogólnodostępnym serwerze) | 22 marca 2020 | Pracownik działu IT zgłasza administratorowi naruszenie tego samego dnia, w którym odkrył nieprawidłowość tj. 20 marca 2020 r. Administrator niezwłocznie podejmuje działania wyjaśniające. Ustala kto zamieścił plik, kontaktuje się z działam IT celem określenia, czy i przez kogo plik był przeglądany, kopiowany, pobierany lub w inny sposób zapisywany, etc. Postępowanie wyjaśniające trwa 2 dni tj. do 22 marca 2020 r. Do tego czasu administrator ustalił jak plik znalazł się na dysku, czy ktokolwiek go zapisał oraz jaki wpływ na prawa i wolności osób, których dane zostały ujawnione miało to naruszenie. Termin zaczyna biec po stwierdzeniu naruszenia tj. 22 marca 2020 r. |
Więcej niż 72 godziny?
W praktyce oznacza to dla Ciebie, że w wielu przypadkach, dysponujesz trochę większą ilością czasu, niż 72 godziny od momentu wykrycia naruszenia. Wszystko to dlatego, że moment wykrycia incydentu nie zawsze pokryje się z momentem jego stwierdzenia.
Dlaczego utożsamiam się z powyższym stanowiskiem?
Interpretacja z poprzedniego akapitu znajduje oparcie w powoływanych już nie raz w tym artykule wytycznych EROD. W wytycznych jasno wskazane jest, że administrator stwierdził wystąpienie naruszenia w momencie, w którym uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych.
Jestem świadom, że funkcjonują obecnie również inne podejścia i stanowiska. Na przykład takie, które termin 72 godzin każą liczyć od momentu wykrycia naruszenia (wykrycie równa się stwierdzenie).
W gronie profesjonalnych firm zrzeszonych w ramach Związku Firm Ochrony Danych Osobowych (ZFODO), przeanalizowaliśmy wszystkie argumenty za oraz przeciw obecnie funkcjonującym poglądom w tym temacie. Za najtrafniejsze i najbardziej zdroworozsądkowe, uznaliśmy stanowisko prezentowane w niniejszym artykule.
Całe stanowisko dostępne jest na stronie Związku Firm Ochrony Danych Osobowych.
W jaki sposób zrealizować zgłoszenie naruszenia RODO
Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest organ nadzorczy państwa członkowskiego UE, na terytorium którego doszło do naruszenia (art. 55 RODO). Oznacza to, że w przypadku naruszeń, które miały miejsce na terytorium Polski, właściwym organem będzie Prezes Urzędu Ochrony Danych Osobowych
Jeśli naruszenie ochrony danych osobowych na charakter transgraniczny, czyli w uproszczeniu odbywa się w ramach działalności prowadzonej w różnych państwach UE lub dotyczy danych osób z różnych krajów UE, koniecznym będzie ustalenie tzw. wiodącego organu nadzorczego.
W tym kontekście należy wyjaśnić, że naruszenie wiążące się z transgranicznym przetwarzaniem należy zgłosić organowi nadzorczemu, którego siedziba niekoniecznie musi znajdować się w tym samym miejscu co miejsce, w którym znajdują się osoby, których dane dotyczą, lub miejsce, w którym doszło do naruszenia.
Dokonanie analizy jest konieczne do stwierdzenia, który organ powinien zostać powiadomiony o naruszeniu. Jeżeli administrator ma jakiekolwiek wątpliwości co do właściwości wiodącego organu nadzorczego, powinien przynajmniej zgłosić naruszenie lokalnemu organowi nadzorczemu w miejscu, w którym doszło do naruszenia.
Wskazówki na ten temat znajdują się w Wytycznych EROD dotyczących ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego. W przyszłości poświęcimy temu zagadnieniu odrębny artykuł. Na razie załóżmy jednak, że mierzysz się z incydentem, który wydarzył się w Polsce i dotknął osoby tu zamieszkujące.
Informacji na temat tego, jak należy zgłaszać naruszenie nie znajdziesz w RODO. Wytyczne oraz wskazówki w tym zakresie znajdziemy bezpośrednio na stronie organu nadzorczego.
Zgłoszenie naruszenia RODO możesz dokonać na 4 sposoby:
Elektronicznie:
- Wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP.
- Wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza tradycyjnego.
- Wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl
Tradycyjnie
- Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu Ochrony Danych Osobowych.
Jeśli chodzi o zgłaszanie incydentów RODO w praktyce, to polecam zdecydowanie skorzystanie z możliwości wypełnienie interaktywnego formularza. Dlaczego? Oddaję głos naszemu ekspertowi:
Z naszej praktyki wynika, że najlepszym sposobem na zgłaszanie naruszeń jest ten z wykorzystaniem interaktywnego formularza dostępnego na stronie urzędu. W mojej ocenie jest to także, najbezpieczniejszy sposób. Zapisujemy formularz na swoim komputerze, spokojnie go uzupełniamy, w razie potrzeby aktualizujemy i poprawiamy. Nie ryzykujemy, że podczas jego wypełniania online strona się zawiesi lub przestanie działać, a wszystkie wprowadzone informacje przepadną.
Następnie wypełniony formularz możemy wysłać do urzędu dwiema dostępnym metodami tj. poprzez skrzynkę podawczą EPUAP lub za pomocą pisma ogólnego dostępnego na dedykowanej platformie. Ewentualnie, jeśli obie powyższe metody zawiodłyby ze względów technicznych, pozostaje mam zawsze możliwość wydrukowania formularza i wysłania go do urzędu w formie tradycyjnej.
Czy zgłoszenie naruszenia RODO regulatorowi może ściągnąć na mnie kontrolę?
Odpowiedź będzie typowo prawnicza – to zależy. Jednak w zdecydowanej większości przypadków, efektem zgłoszenia nie będzie kontrola UODO. Ideą zgłaszania naruszeń jest możliwość monitorowania sytuacji przez organy nadzorcze, tworzenia statystyk i zestawień, które pozwolą odpowiednio reagować. Na przykład poprzez propozycje zmiany przepisów prawa, kontrole sektorowe czy przygotowanie zestawów wytycznych.
Zgłoszenia potrzebne są organom nadzorczym do tego, żeby wiedzieć co się dzieje, poznać najczęstsze przyczyny oraz skalę naruszeń.
Dodatkowo mają dyscyplinować administratorów danych, do tego aby nie bagatelizowali i nie ukrywali incydentów.
Oczywiście kontrola może być również następstwem zgłoszenia naruszenia RODO. Jednak w praktyce będzie to się działo jedynie przy wyjątkowo poważnych naruszeniach, o bardzo dużej skali (jak miało to miejsce np. w przypadku SGGW).
Jeśli więc obawiasz się kontaktu z UODO – nie ma powodów do obaw. Większe ryzyko podejmujesz, nie zgłaszając incydentu. Jeśli taka sprawa później zostanie nagłośniona (np. przez media czy samych poszkodowanych), to kara nałożona przez regulatora może być dużo dotkliwsza, niż potencjalna kontrola.
Wsparcie przy RODO naruszeniu
Być może naruszenie RODO z którym się mierzysz, wcale nie jest tak poważne, jak Ci się wydaje. Albo odwrotnie – sytuacja, która wydaje się być błaha, wymaga szybkich i zdecydowanych działań z Twojej strony. Daj sobie pomóc. Nasz ekspert pozwoli Ci urealnić sytuację w której się znajdujesz.
W toku naszej pracy wspieraliśmy organizacje przy ponad 50 naruszeniach RODO.
Koszt konsultacji: 369 zł brutto (w tym 23% VAT) / h.
Wypełnij poniższy formularz i zgłoś potrzebę konsultacji przy naruszeniu (dyżurujemy również w weekendy, odpowiemy w ciągu maksymalnie 2 godzin).
Statystyka ZFODO – jak często naruszenia do regulatora zgłaszają inni
Przygotowałem dla Ciebie jeszcze jedno ciekawe zestawienie. To wykres prezentujący, udział incydentów zgłoszonych do UODO w stosunku do ogólnej liczby incydentów. Innymi słowy, wykres pokazuje, jak często w przypadku wykrycia incydentu, uznano, że ryzyko dla osób są na tyle duże, że wymaga on zgłoszenia do organu nadzorczego. Niech ta statystyka będzie dla Ciebie pewnym punktem odniesienia.
Zestawienie pochodzi z raportu Związku Firm Ochrony Danych Osobowych, bazującego na próbie prawie 300 organizacji.
Praktyczne przykłady naruszeń, które powinieneś zgłosić do UODO
Wypełnienie formularza i wykonanie oceny ryzyka naruszeń na pewno pomoże Ci w podjęciu decyzji. Jeśli jednak nadal się wahasz, poczytaj kilka wypowiedzi naszych ekspertów z praktycznymi przykładami incydentów, które zgłaszaliśmy do UODO, w imieniu naszych klientów.
Co do zasady, zgłoszenia do organu nadzorczego wymagał będzie incydent obejmujący tzw. szczególne kategorie danych osobowych. Prezesa UODO powinniśmy powiadomić np. o tym, że przesyłka ujawniająca informacje o stanie zdrowia (wyniki przeprowadzonych badań) trafiła przez pomyłkę w ręce innego odbiorcy. Co istotne, nie będzie miało tutaj znaczenia to, czy był to błąd systemu, czy błąd ludzki. Oceniając ryzyko naruszenia i konieczność poinformowania organu, skupiamy się na konsekwencjach jakie niesie ono za sobą dla pomiotu danych.
W zakresie zgłaszania incydentów do organu nadzorczego, po 2 latach stosowania RODO, możemy śmiało pokusić się o stwierdzenie, że każdy incydent, który powoduje ujawnienie danych osobowych, wśród których znajduje się numer PESEL, w ocenie organu nadzorczego będzie wymagał zgłoszenia. Naruszenie związane z takimi danymi wiąże się z wystąpieniem wysokiego ryzyka, co także skutkuje koniecznością informowania o naruszeniu osób, których dane dotyczą.
Przykładami naruszeń ochrony danych osobowych, które wymagają zgłoszenia do organu nadzorczego może być wysłanie świadectwa pracy innemu pracownikowi niż ten, którego ono dotyczyło lub udostępnienie w Internecie bazy danych z systemu kadrowego, zawierającej dane pracownicze.
W obu przypadkach, przyczyną naruszeń był błąd ludzki. W pierwszym, nieuwaga pracownika odpowiedzialnego za prowadzenie dokumentacji kadrowej, w drugim błąd osoby odpowiedzialnej za stworzenie kodu strony www i jej zabezpieczenie. Sytuacje te pokazują jak niezwykle ważne jest wdrożenie w firmach odpowiednich procedur postępowania z danymi osobowymi, a także regularne przypominanie o nich pracownikom i ich doszkalanie.
Kto ma się podpisać się pod zgłoszeniem naruszenia RODO do regulatora
Zgłoszenia do UODO dokonuje osoba reprezentująca administratora danych. W większości przypadków będzie to Zarząd. W praktyce, jednak Zarząd może udzielić pełnomocnictwa do zgłoszenia naruszenia innej osobie. Przygotowaliśmy dla Ciebie szablon takiego pełnomocnictwa.
Pobierz plik szablon pełnomocnictwa
PobierzCo w sytuacji, jeśli Zarząd odmówi zgłoszenia naruszenia RODO? Jeśli jesteś IODem, możesz jedynie rekomendować notyfikację. Ostateczną decyzję podejmuje i tak Zarząd, czyli osoby reprezentujące administratora danych osobowych. Jeśli mimo Twojej rekomendacji, decyzja będzie odmowna – nic na to nie poradzisz. Pamiętaj jednak o tym, że za brak zgłoszenia incydentu odpowiada administrator danych.
Podsumowanie
Zgłaszanie incydentów do organu nadzorczego, to coś czego często się obawiamy. Według mnie niepotrzebnie. Szansa na natychmiastową wizytę inspektorów jest niewielka. W większości wątpliwych przypadków skończy się np. na wymianie korespondencji z urzędem.
Największe ryzyko polega na braku zgłoszenia poważnego incydentu. Jeśli organ dowie się o nim nie od Ciebie a np. od Twoich klientów, to sytuacja będzie dużo poważniejsza.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (przyjęte w dniu 3 października 2017 r. ostatnio zmienione i przyjęte w dniu 6 lutego 2018 r.)
- praktyczne doświadczenie budowania systemów ochrony danych osobowych od 2008 roku (jako ABI) i po 2018 roku (jako IOD)
- wsparcie administratorów danych osobowych, którego udzielaliśmy jako Lex Artist w ponad 50 naruszeniach
Powiązane artykuły
4 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
czy gdzieś można pobrać wszystkie artykuły z serii razem?
Dzień dobry, można pobrać każdy z osobna w PDFie. Na końcu każdego artykułu jest przycisk do pobrania. Pozdrawiamy
A co w sytuacji kiedy dane ulegną trwałemu zniszczeniu? Np. spali się archiwum akt pracowniczych. Czy trzeba to zgłosić UODO? Czy trzeba poinformować osobybktórych dokumenty były tam przechowywane (np. byli pracownicy)?
Dzień dobry 🙂 każde naruszenie wymaga przeprowadzenia postępowania wyjaśniającego i analizy ryzyka naruszenia praw i wolności osób, których dane dotyczyły. Jeśli np. doszło do trwałej utraty danych osobowych m.in. danych dotyczących zdrowia, nie ma żadnych kopii – mamy do czynienia z naruszeniem. które należy zgłosić do UODO. W kolejnym kroku szacujemy wartość ryzyka- jeżeli jest wysokie np. gdy dotyczy bardzo dużej ilości danych, nie jest możliwa realizacja praw, o których mowa w RODO, dotyczyło danych wrażliwych, będzie konieczne poinformowanie osób.