Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Zgłoszenie naruszenia RODO do Urzędu Ochrony Danych Osobowych

Po zapoznaniu się z poprzednim artykułem, wiesz już dużo o naruszeniach ochrony danych. Potrafisz je prawidłowo nazwać, wiesz jak je wykrywać i znasz ich najczęstsze przyczyny. Teraz pora na kolejny ważny krok. Z części drugiej dowiesz na czym polega zgłoszenie naruszenia RODO do Urzędu Ochrony Danych Osobowych.

Artykuł stanowi część cyklu publikacji poświęconych postępowaniu z naruszeniami ochrony danych osobowych. Zapraszamy do lektury pozostałych części:

Skąd obowiązek zgłaszania naruszeń do UODO?

Obowiązek zgłaszania naruszeń do organu nadzorczego wynika wprost z RODO:

Art. 33 ust. 1 RODO „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszeniazgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.”

Przepis kryje w sobie kilka pułapek interpretacyjnych. Po pierwsze, pewne wątpliwości może budzić sposób liczenia 72 h. Zgodnie z wytycznymi EROD (uprzednio GR art. 29), administrator danych stwierdza naruszenie w momencie, w którymuzyskuje on wystarczający stopień pewności, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych”.

Uzyskanie tego stopnia pewności, poprzedzone powinno być wykonaniem postępowania, w którym zostanie ocenione, czy doszło do naruszenia. Postępowanie takie powinno rozpocząć się jak najszybciej.

W praktyce, od momentu wystąpienia incydentu, do jego stwierdzenia, może minąć trochę czasu. Tym samym, termin 72h może być dłuższy, niż wynika to literalnie z brzmienia przepisu. Ale więcej na ten temat w kolejnych akapitach.

Druga pułapka interpretacyjna kryje się w tym, że nie każde naruszenie podlega obowiązkowi zgłoszenia do UODO. Nie ma obowiązku zgłaszania naruszeń, co do których:

Art. 33 ust. 1 RODO jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jako przykłady takich naruszeń, EROD w swoich wytycznych podaje między innymi:

  • zgubienie zaszyfrowanego zewnętrznego nośnika informacji
  • przypadkowe ujawnienie danych, które są już dostępne w publicznych rejestrach (np. CEIDG lub KRS).

Z dalszej części tekstu, dowiesz się jak nie wpaść w pułapki interpretacyjne. Zaczniemy od kwestii szacowania ryzyka naruszenia praw i wolności.

Jak oszacuję prawdopodobieństwo naruszenia praw i wolności osób fizycznych?

Teraz przed Tobą największe wyzwanie. Musisz oszacować prawdopodobieństwo naruszenia praw i wolności pokrzywdzonej osoby. Jeśli uznasz, że ryzyko jest niskie, możesz odetchnąć z ulgą. Nie ma konieczności zgłaszania sprawy organowi nadzorczemu. Wystarczy odnotować naruszenie w Twoim wewnętrznym rejestrze. Sprawa jest zamknięta.

Jak to zrobić? Przede wszystkim wykonana przez Ciebie ocena ryzyka powinna zostać utrwalona, jest niezbędne ze względu na zasadę rozliczalności. Jeśli stwierdzisz, że jest mało prawdopodobne, aby incydent skutkował naruszeniem praw i wolności, potrzebne będzie jeszcze uzasadnienie tego stanowiska.

Zgodnie z naszym doświadczeniem w podobnych przypadkach, organ nadzorczy może oczekiwać od Ciebie właśnie takiego uzasadnienia. Nie wystarczy wytłumaczenie, że oszacowaliśmy ryzyko we własnej głowie. Musimy posiadać dowody na przeprowadzenie procesu myślowego.

Polecamy skorzystanie z naszego formularza, który pozwoli Ci spojrzeć na incydent z kilku różnych perspektyw. Przygotowany przez naszego eksperta formularz -w prosty i przystępny sposób pozwoli Ci ocenić sytuację!

monitoring zgodny z RODO

Postępowanie z naruszeniami ochrony danych osobowych – praktyczny pakiet procedur, szablonów i instrukcji

Przygotowaliśmy dla Ciebie kompleksowy pakiet wytycznych w zakresie zarządzania naruszeniami ochrony danych osobowych w organizacji.

Sprawdź

Co z algorytmami?

To dobry moment, aby odnieść do różnego rodzaju algorytmów matematycznych, które mają na celu wyliczenie prawdopodobieństwa naruszenia praw i wolności. Zdecydowana większość dostawców uczciwie przyznaje, że algorytm szacujący ryzyko, ma być jedynie wsparciem i pomocą dla człowieka. Nie możemy opierać końcowej oceny wyłącznie na matematycznym wyliczeniu.

Dlaczego tak się dzieje? Zmiennych jest zbyt dużo, a życie tworzy nieprzewidywalne scenariusze. Trudno wszystko ująć w zero-jedynkowy algorytm.

Weźmy jako przykład jeden z najczęstszych incydentów – wysyłkę informacji handlowej do swoich klientów, w kopii otwartej. Zupełnie inaczej będzie się przedstawiała ta sytuacja w zależności od prowadzonej działalności. W przypadku biznesu polegającego na wysyłce książek, ryzyka będą znacznie niższe, niż jeśli w ten sposób zapoznamy ze sobą klientów gabinetu terapeutycznego. Trudno powyższe zależności objąć algorytmem matematycznym.

Dlatego, przy ocenie ryzyka dla praw i wolności, ostateczna kwalifikacja należy do człowieka.

Wszelkie algorytmy i formularze, będą dla Ciebie dużym wsparciem, ale nie mogą zwolnić Cię od odpowiedzialności za podjęcie ostatecznej decyzji.

Jeśli chcesz podjąć próbę oszacowania ryzyka we własnym zakresie i zbudować swój własny formularz, polecam Ci lekturę wytycznych EROD, na które powoływałem się już na początku artykułu. Znajdziesz w nich opis kluczowych elementów, które powinny być brane pod uwagę przy ocenie ryzyka dla praw i wolności.

Incydent może skutkować ryzykiem naruszenia praw i wolności osób fizycznych – co teraz?

Następny krok będzie konsekwencją wykonanej wcześniej oceny ryzyka. Jeśli uznasz, że ryzyko jest więcej niż mało prawdopodobne, musisz zgłosić naruszenie do Urzędu Ochrony Danych Osobowych.

Być może konieczne będzie też powiadomienie o naruszeniu osób, których dane dotyczą. Informowanie osób, będzie przedmiotem kolejnego artykułu. Teraz skoncentrujemy się na Urzędzie Ochrony Danych Osobowych.

Ile mam czasu na zgłoszenie naruszenia RODO do Regulatora?

Zgłoszenie naruszenia RODO powinno nastąpić bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.  Pamiętajmy, że stwierdzenie naruszenia nie zawsze wystąpi w tym samym momencie, w którym doszło do naruszenia!

W mojej ocenie (i nie tylko, o czym za chwilę), przepis art. 33 ust. 1 RODO należy interpretować w ten sposób, że po wykryciu prawdopodobieństwa wystąpienia naruszenia, administrator niezwłocznie podejmuje działania, aby dokonać stwierdzenia, czy do naruszenia rzeczywiście doszło i jaki ewentualnie wpływ na prawa lub wolności podmiotów danych może ono mieć.

Poniżej dwa proste przykłady obrazujące powyższe:

Naruszenie:Moment wykrycia:Moment stwierdzenia naruszenia:Podsumowanie:
20 marca 2020 r. lekarz udostępnił dokumentację medyczną pacjenta innemu pacjentowi.20 marca 2020

(udostępnienie dokumentacji)

20 marca 2020Naruszenie ma oczywisty charakter. Lekarz poinformował administratora o swoim błędzie niezwłocznie po wydaniu dokumentacji.

Administrator bez zbędnej zwłoki przeprowadził postępowanie wyjaśniające.  Jeszcze tego samego dnia spisany został protokół naruszenia oraz oszacowane zostało ryzyko naruszenia praw i wolności pacjenta, którego dane zostały bezprawnie ujawnione. Moment wykrycia naruszenia, pokrywa się zatem z momentem jego stwierdzenia.

20 marca 2020 r. pracownik działu IT zauważył, że na ogólnie dostępnym serwerze znajduje się plik z wykazem urlopów każdego z pracowników administratora.

Plik został zamieszczony ok. tydzień temu tj. 12 marca 2020 r.

 

12 marca 2020

(pojawienie się pliku na ogólnodostępnym serwerze)

22 marca 2020Pracownik działu IT zgłasza administratorowi naruszenie tego samego dnia, w którym odkrył nieprawidłowość tj. 20 marca 2020 r.

Administrator niezwłocznie podejmuje działania wyjaśniające. Ustala kto zamieścił plik, kontaktuje się z działam IT celem określenia, czy i przez kogo plik był przeglądany, kopiowany, pobierany lub w inny sposób zapisywany, etc. Postępowanie wyjaśniające trwa 2 dni tj. do 22 marca 2020 r. Do tego czasu administrator ustalił jak plik znalazł się na dysku, czy ktokolwiek go zapisał oraz jaki wpływ na prawa i wolności osób, których dane zostały ujawnione miało to naruszenie.

Termin zaczyna biec po stwierdzeniu naruszenia tj. 22 marca 2020 r.

Więcej niż 72 godziny?

W praktyce oznacza to dla Ciebie, że w wielu przypadkach, dysponujesz trochę większą ilością czasu, niż 72 godziny od momentu wykrycia naruszenia. Wszystko to dlatego, że moment wykrycia incydentu nie zawsze pokryje się z momentem jego stwierdzenia.

Dlaczego utożsamiam się z powyższym stanowiskiem?

Interpretacja z poprzedniego akapitu znajduje oparcie w powoływanych już nie raz w tym artykule wytycznych EROD. W wytycznych jasno wskazane jest, że administrator stwierdził wystąpienie naruszenia w momencie, w którym uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych.

Jestem świadom, że funkcjonują obecnie również inne podejścia i stanowiska. Na przykład takie, które termin 72 godzin każą liczyć od momentu wykrycia naruszenia (wykrycie równa się stwierdzenie).

W gronie profesjonalnych firm zrzeszonych w ramach Związku Firm Ochrony Danych Osobowych (ZFODO), przeanalizowaliśmy wszystkie argumenty za oraz przeciw obecnie funkcjonującym poglądom w tym temacie. Za najtrafniejsze i najbardziej zdroworozsądkowe, uznaliśmy stanowisko prezentowane w niniejszym artykule.

Całe stanowisko dostępne jest na stronie Związku Firm Ochrony Danych Osobowych.

W jaki sposób zrealizować zgłoszenie naruszenia RODO

Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest organ nadzorczy państwa członkowskiego UE, na terytorium którego doszło do naruszenia (art. 55 RODO). Oznacza to, że w przypadku naruszeń, które miały miejsce na terytorium Polski, właściwym organem będzie Prezes Urzędu Ochrony Danych Osobowych

Jeśli naruszenie ochrony danych osobowych na charakter transgraniczny, czyli w uproszczeniu odbywa się w ramach działalności prowadzonej w różnych państwach UE lub dotyczy danych osób z różnych krajów UE, koniecznym będzie ustalenie tzw. wiodącego organu nadzorczego.

W tym kontekście należy wyjaśnić, że naruszenie wiążące się z transgranicznym przetwarzaniem należy zgłosić organowi nadzorczemu, którego siedziba niekoniecznie musi znajdować się w tym samym miejscu co miejsce, w którym znajdują się osoby, których dane dotyczą, lub miejsce, w którym doszło do naruszenia.

Dokonanie analizy jest konieczne do stwierdzenia, który organ powinien zostać powiadomiony o naruszeniu. Jeżeli administrator ma jakiekolwiek wątpliwości co do właściwości wiodącego organu nadzorczego, powinien przynajmniej zgłosić naruszenie lokalnemu organowi nadzorczemu w miejscu, w którym doszło do naruszenia.

Wskazówki na ten temat znajdują się w Wytycznych EROD dotyczących ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego. W przyszłości poświęcimy temu zagadnieniu odrębny artykuł. Na razie załóżmy jednak, że mierzysz się z incydentem, który wydarzył się w Polsce i dotknął osoby tu zamieszkujące.

Informacji na temat tego, jak należy zgłaszać naruszenie nie znajdziesz w RODO. Wytyczne oraz wskazówki w tym zakresie znajdziemy bezpośrednio na stronie organu nadzorczego.

Zgłoszenie naruszenia RODO możesz dokonać na 4 sposoby:

Elektronicznie:

Tradycyjnie

  • Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu Ochrony Danych Osobowych.

Jeśli chodzi o zgłaszanie incydentów RODO w praktyce, to polecam zdecydowanie skorzystanie z możliwości wypełnienie interaktywnego formularza. Dlaczego? Oddaję głos naszemu ekspertowi:

Katarzyna Kmiecicka, ekspert ds. ochrony danych osobowych

Z naszej praktyki wynika, że najlepszym sposobem na zgłaszanie naruszeń jest ten z wykorzystaniem interaktywnego formularza dostępnego na stronie urzędu. W mojej ocenie jest to także, najbezpieczniejszy sposób. Zapisujemy formularz na swoim komputerze, spokojnie go uzupełniamy, w razie potrzeby aktualizujemy i poprawiamy. Nie ryzykujemy, że podczas jego wypełniania online strona się zawiesi lub przestanie działać, a wszystkie wprowadzone informacje przepadną.

Następnie wypełniony formularz możemy wysłać do urzędu dwiema dostępnym metodami tj. poprzez skrzynkę podawczą EPUAP lub za pomocą pisma ogólnego dostępnego na dedykowanej platformie. Ewentualnie, jeśli obie powyższe metody zawiodłyby ze względów technicznych, pozostaje mam zawsze możliwość wydrukowania formularza i wysłania go do urzędu w formie tradycyjnej.

Czy zgłoszenie naruszenia RODO regulatorowi może ściągnąć na mnie kontrolę?

Odpowiedź będzie typowo prawnicza – to zależy. Jednak w zdecydowanej większości przypadków, efektem zgłoszenia nie będzie kontrola UODO. Ideą zgłaszania naruszeń jest możliwość monitorowania sytuacji przez organy nadzorcze, tworzenia statystyk i zestawień, które pozwolą odpowiednio reagować. Na przykład poprzez propozycje zmiany przepisów prawa, kontrole sektorowe czy przygotowanie zestawów wytycznych.

Zgłoszenia potrzebne są organom nadzorczym do tego, żeby wiedzieć co się dzieje, poznać najczęstsze przyczyny oraz skalę naruszeń.

Dodatkowo mają dyscyplinować administratorów danych, do tego aby nie bagatelizowali i nie ukrywali incydentów.

Oczywiście kontrola może być również następstwem zgłoszenia naruszenia RODO. Jednak w praktyce będzie to się działo jedynie przy wyjątkowo poważnych naruszeniach, o bardzo dużej skali (jak miało to miejsce np. w przypadku SGGW).

Jeśli więc obawiasz się kontaktu z UODO – nie ma powodów do obaw. Większe ryzyko podejmujesz, nie zgłaszając incydentu. Jeśli taka sprawa później zostanie nagłośniona (np. przez media czy samych poszkodowanych), to kara nałożona przez regulatora może być dużo dotkliwsza, niż potencjalna kontrola.

Statystyka ZFODO – jak często naruszenia do regulatora zgłaszają inni

Przygotowałem dla Ciebie jeszcze jedno ciekawe zestawienie. To wykres prezentujący, udział incydentów zgłoszonych do UODO w stosunku do ogólnej liczby incydentów. Innymi słowy, wykres pokazuje, jak często w przypadku wykrycia incydentu, uznano, że ryzyko dla osób są na tyle duże, że wymaga on zgłoszenia do organu nadzorczego. Niech ta statystyka będzie dla Ciebie pewnym punktem odniesienia.

Zestawienie pochodzi z raportu Związku Firm Ochrony Danych Osobowych, bazującego na próbie prawie 300 organizacji.

 

Praktyczne przykłady naruszeń, które powinieneś zgłosić do UODO

Wypełnienie formularza i wykonanie oceny ryzyka naruszeń na pewno pomoże Ci w podjęciu decyzji. Jeśli jednak nadal się wahasz, poczytaj kilka wypowiedzi naszych ekspertów z praktycznymi przykładami incydentów, które zgłaszaliśmy do UODO, w imieniu naszych klientów.

Małgorzata Zdunek, ekspert ds. ochrony danych osobowych

Co do zasady, zgłoszenia do organu nadzorczego wymagał będzie incydent obejmujący tzw. szczególne kategorie danych osobowych. Prezesa UODO powinniśmy powiadomić np. o tym, że przesyłka ujawniająca informacje o stanie zdrowia (wyniki przeprowadzonych badań) trafiła przez pomyłkę w ręce innego odbiorcy. Co istotne, nie będzie miało tutaj znaczenia to, czy był to błąd systemu, czy błąd ludzki. Oceniając ryzyko naruszenia i konieczność poinformowania organu, skupiamy się na konsekwencjach jakie niesie ono za sobą dla pomiotu danych.

Katarzyna Kmiecicka, ekspert ds. ochrony danych osobowych

W zakresie zgłaszania incydentów do organu nadzorczego, po 2 latach stosowania RODO, możemy śmiało pokusić się o stwierdzenie, że każdy incydent, który powoduje ujawnienie danych osobowych, wśród których znajduje się numer PESEL, w ocenie organu nadzorczego będzie wymagał zgłoszenia. Naruszenie związane z takimi danymi wiąże się z wystąpieniem wysokiego ryzyka, co także skutkuje koniecznością informowania o naruszeniu osób, których dane dotyczą.

Marcin Szkutnik, radca prawny, ekspert ds. ochrony danych osobowych

Przykładami naruszeń ochrony danych osobowych, które wymagają zgłoszenia do organu nadzorczego może być wysłanie świadectwa pracy innemu pracownikowi niż ten, którego ono dotyczyło lub udostępnienie w Internecie bazy danych z systemu kadrowego, zawierającej dane pracownicze.

W obu przypadkach, przyczyną naruszeń był błąd ludzki. W pierwszym, nieuwaga pracownika odpowiedzialnego za prowadzenie dokumentacji kadrowej, w drugim błąd osoby odpowiedzialnej za stworzenie kodu strony www i jej zabezpieczenie. Sytuacje te pokazują jak niezwykle ważne jest wdrożenie w firmach odpowiednich procedur postępowania z danymi osobowymi, a także regularne przypominanie o nich pracownikom i ich doszkalanie.

Kto ma się podpisać się pod zgłoszeniem naruszenia RODO do regulatora

Zgłoszenia do UODO dokonuje osoba reprezentująca administratora danych. W większości przypadków będzie to Zarząd. W praktyce, jednak Zarząd może udzielić pełnomocnictwa do zgłoszenia naruszenia innej osobie. Przygotowaliśmy dla Ciebie szablon takiego pełnomocnictwa.

Pobierz plik szablon pełnomocnictwa
Pobierz

Co w sytuacji, jeśli Zarząd odmówi zgłoszenia naruszenia RODO? Jeśli jesteś IODem, możesz jedynie rekomendować notyfikację. Ostateczną decyzję podejmuje i tak Zarząd, czyli osoby reprezentujące administratora danych osobowych. Jeśli mimo Twojej rekomendacji, decyzja będzie odmowna – nic na to nie poradzisz. Pamiętaj jednak o tym, że za brak zgłoszenia incydentu odpowiada administrator danych.

Podsumowanie

Zgłaszanie incydentów do organu nadzorczego, to coś czego często się obawiamy. Według mnie niepotrzebnie. Szansa na natychmiastową wizytę inspektorów jest niewielka. W większości wątpliwych przypadków skończy się np. na wymianie korespondencji z urzędem.

Największe ryzyko polega na braku zgłoszenia poważnego incydentu. Jeśli organ dowie się o nim nie od Ciebie a np. od Twoich klientów, to sytuacja będzie dużo poważniejsza.

 

Pobierz artykuł - zgłoszenie naruszenia RODO

Pobierz artykuł w PDF

Powiązane artykuły

Zgłaszanie naruszenia ochrony danych osobowych osobom poszkodowanym
Ups… mamy naruszenie ochrony danych osobowych
Ile mam czasu na zgłoszenie RODO naruszenia? Opinia ZFODO

2 Odpowiedzi

Zostaw odpowiedź

* pola obowiązkowe