Mail zawierający dane osobowe wysłany do niewłaściwego adresata, czyli o naruszeniach ochrony danych osobowych słów kilka

Wiele osób wiąże naruszenie ochrony danych osobowych wyłącznie z poważnymi atakami hakerskimi, których skutkiem jest kradzież danych osobowych bądź blokada dostępu do zasobów informatycznych przedsiębiorcy (tzw. oprogramowanie ransomware). Trudno odmówić racji takiemu intuicyjnemu przekonaniu – najwyższa dotychczas kara administracyjna (ponad 2,8 mln złotych) nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na spółkę Morele.net dotyczyła właśnie wycieku danych wskutek ataku hakerskiego. Medialne wydarzenia takie jak atak hakerski na spółkę CD Projekt dodatkowo wzmacniają takie przeświadczenie, chociaż z oficjalnego stanowiska spółki wynika, że do wycieku danych osobowych nie doszło. Jednakże incydenty bezpieczeństwa prowadzące do naruszenia ochrony danych osobowych obejmują znacznie szerszy zakres zdarzeń, w których dominującą pozycję zajmują błędy ludzkie i niedopatrzenia. 

Incydent bezpieczeństwa to jeszcze nie naruszenie ochrony danych osobowych

Przed podjęciem jakichkolwiek działań związanych z potencjalnym naruszeniem ochrony danych osobowych konieczne jest zweryfikowanie, czy do tego rodzaju naruszenia w ogóle doszło. Unijny prawodawca w rozporządzeniu 2016/679 o ochronie danych (szerzej znane jako RODO) zdefiniował pojęcie naruszenia ochrony danych osobowych (art. 4 pkt 12 RODO). Z definicji wynika, że naruszenie ochrony danych osobowych jest zjawiskiem złożonym i jego wystąpienie można potwierdzić dopiero wówczas, gdy zostaną kumulatywnie spełnione trzy przesłanki: 

  1. przedmiotem naruszenia są dane osobowe przesyłane, przechowywane lub w inny sposób przetwarzane;
  2. naruszenie jest następstwem złamania zasad bezpieczeństwa przetwarzanych danych;
  3. skutkiem naruszenia zasad bezpieczeństwa jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.

Tym samym, jak wskazuje Grupa Robocza Art. 29 – choć wszystkie przypadki naruszenia ochrony danych osobowych są incydentami bezpieczeństwa, nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych. 

Można wyobrazić sobie sytuację, gdy pracownik biura rachunkowego wynosi poza organizację niezabezpieczonego pendrive‘a z danymi osobowymi klientów. Po chwili pracownik orientuje się o swoim niedopatrzeniu i zwraca pendrive’a do miejsca pracy. Niewątpliwie doszło do naruszenia zasad bezpieczeństwa, ale nie doszło jeszcze do naruszenia ochrony danych osobowych w rozumieniu RODO. Naruszenie zaistniałoby dopiero, gdyby pracownik np. zgubił omyłkowo zabranego pendrive’a, czy też został on by skradziony. Nie ma tu znaczenia, czy nieuprawniony odbiorca faktycznie zapoznał się z danymi osobowymi zawartymi na pendrive, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalne ryzyko naruszenia praw lub wolności klientów biura rachunkowego, których dane osobowe były zawarte na tym nośniku. 

Co jednak w przypadku, gdy to osoba, której dane dotyczą doprowadziła do naruszenia ochrony danych osobowych? Dotyczyć może to np. sytuacji, gdy pracownik X wskazuje swojemu pracodawcy błędny adres e–mail, na który następnie przesyłany jest niezaszyfrowany skan umowy o pracę zawierający dane osobowe pracownika X, które otrzymuje osoba postronna będąca „właścicielem” wskazanego adresu. Zgodnie ze stanowiskiem Prezesa UODO zaprezentowanym w decyzji z dnia 9 grudnia 2020 r. dot. nałożenia kary administracyjnej na TUiR WARTA S.A. – nie ma znaczenia fakt, że do naruszenia ochrony danych osobowych doszło z uwagi na to, że klienci Spółki podali błędny adres poczty elektronicznej, na który miała zostać wysłana polisa

Rodzaje naruszenia ochrony danych osobowych

Naruszenie ochrony danych osobowych nie wiąże się wyłącznie z ich utratą wskutek zagubienia lub kradzieży i ujawnieniem osobom postronnym. Brak dostępności do danych osobowych, którymi organizacja zarządza lub ich nieuprawniona modyfikacja również może stanowić naruszenie ochrony danych osobowych. Odnosząc się do trzech głównych zasad bezpieczeństwa (poufność, integralność, dostępność) można wyróżnić następujące rodzaje naruszeń ochrony danych osobowych: 

  1. naruszenie poufności – skutkiem tego naruszenia jest nieuprawnione lub przypadkowe ujawnienie lub nieuprawniony dostęp do danych osobowych:
  • wysyłka niezaszyfrowanego skanu umowy o pracę niewłaściwemu odbiorcy np. innemu pracownikowi;
  1. naruszenie integralności – skutkiem tego naruszenia jest nieuprawnione lub przypadkowe zmodyfikowanie danych osobowych:
  • pomieszanie dokumentacji medycznej pacjentów gabinetu fizjoterapeutycznego;
  1. naruszenie dostępności – skutkiem tego naruszenia jest czasowa lub trwała utrata dostępu do danych lub ich zniszczenie:
  • przypadkowe usunięcie bazy danych przy braku kopii zapasowej.

W tym ostatnim przypadku warto wskazać, że planowana przerwa techniczna w systemie, w którym przetwarzane są dane osobowe, nie stanowi naruszenia ochrony danych osobowych.

Stwierdziłeś naruszenie ochrony danych osobowych? Masz 72 godziny!

RODO nakłada na administratorów szereg obowiązków związanych z naruszeniem ochrony danych osobowych. Na etapie przed stwierdzeniem naruszenia ochrony danych osobowych istotne jest, aby administratorzy dysponowali procedurami umożliwiającymi stwierdzenie i ocenę naruszenia z punktu widzenia ryzyka naruszenia praw i wolności osób fizycznych. Procedura pozwoli jednocześnie spełnić administratorowi najważniejsze obowiązki związane z naruszeniami, o których mowa w art. 33 i 34 RODO. Jest to odpowiednio obowiązek: 

  1. zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia;
  2. zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, w przypadku gdy naruszenie ochrony danych może powodować wysokie ryzyko naruszenia jej praw lub wolności.

Oczywiście nie każde naruszenie ochrony danych osobowych wymaga realizacji ww. obowiązków. Przepisy art. 33 oraz 34 RODO przewidują od tego wyjątki. To, czy znajdują one zastosowanie w konkretnym przypadku powinno być jednak zawsze decyzją administratora poprzedzoną wnikliwą analizą przeprowadzoną z osobami mającymi wiedzę o naruszeniu oraz inspektorem ochrony danych lub inną osobą wyznaczaną w organizacji do zapewnienia bezpieczeństwa danych.

RODO nie przewiduje natomiast żadnego wyjątku od obowiązku administratora w dokumentowaniu wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych.

Kwestia odpowiedzialności administratora

Brak realizacji ww. obowiązków spotkać może się z reakcją Prezesa UODO w postaci wydania decyzji administracyjnej o nałożeniu kary pieniężnej na organizację. 

RODO przewiduje, że za niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą Prezes UODO może wymierzyć karę do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. 

Natomiast samo naruszenie ochrony danych osobowych tj. przetwarzanie ich niezgodnie z zasadami poufności, integralności oraz dostępności może skutkować nałożeniem kary administracyjnej do 20 000 000 euro, w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Autor: Adam Prokop

Źródła

Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679

- Advertisement -

Więcej artykułów

Zostaw odpowiedź

Please enter your comment!
Please enter your name here