Jak i kiedy zgłosić naruszenie RODO w firmie? Jakie kary grożą za naruszenie RODO?
Przez naruszenie ochrony danych osobowych rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 ust. 12 RODO).
Definicja ta jest bardzo szeroka. W praktyce może chodzić o przeróżne formy naruszenia bezpieczeństwa, jak choćby zgubienie laptopa służbowego, na którym znajdowały się wrażliwe dane klientów, pacjentów, czy pracowników, atak hackerski, w wyniku którego doszło do ujawnienia tożsamych danych, zgubienie dokumentacji z danymi klientów, czy chociażby przesłanie świadectwa pracy do niewłaściwego pracownika.
W przypadku wystąpienia podobnych incydentów bezpieczeństwa to na administratorze ciąży szereg obowiązków w tym zakresie, które swoje źródło znajdują w RODO.
1. Obowiązek zgłoszenia naruszenia danych osobowych
W związku z wystąpieniem tzw. incydentu bezpieczeństwa administrator jest zobowiązany do zgłaszania naruszeń do organu nadzorczego.
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin od stwierdzenia naruszenia – zgłasza je organowi nadzorczemu, właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Oznacza to, że nie każde naruszenie przepisów o ochronie danych osobowych stanowi a priori naruszenie danych osobowych. Jeżeli wystąpią takie przesłanki legalizacyjne (małe prawdopodobieństwo, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych), to nie ma obowiązku zgłaszania naruszeń. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (art. 33 ust. 1 RODO).
Ryzyko naruszenia praw i wolności może wystąpić w sytuacji takiego naruszenia ochrony danych osobowych, w wyniku którego może nastąpić:
– strata finansowa;
– kradzież lub fałszowanie tożsamości;
– dyskryminacja;
– utrata poufności danych osobowych chronionych tajemnicą zawodową, w tym szczególnych danych osobowych, jak dane dotyczące zdrowia;
– naruszenie dóbr osobistych – np. poprzez upublicznienie;
W Polsce funkcję organu nadzorczego spełnia Prezes Urzędu Ochrony Danych Osobowych (dalej – UODO).
Z wyżej wskazanego przepisu wynika, że nie każde naruszenie ochrony danych osobowych będzie nakładało na administratora obowiązek zgłoszenia faktu naruszenia do UODO. Może bowiem się zdarzyć, iż będzie mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszeniem praw lub wolności osób fizycznych.
Przykładem takiej sytuacji może być zgubienie służbowego przenośnego dysku, na którym znajdowały się wrażliwe dane klientów. Pod warunkiem jednak, że był w odpowiedni sposób zabezpieczony (na przykład skomplikowanym hasłem dostępu). Istnieją wtedy bowiem małe szanse, że osoby do tego niepowołane uzyskają dostęp do wrażliwych danych.
W każdym innym przypadku, to jest wtedy gdy istnieje prawdopodobieństwo, iż naruszenie ochrony danych osobowych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, podmiot przetwarzający – jeżeli to u niego nastąpiło naruszenie – jest zobowiązany poinformować o tym fakcie administratora, który to z kolei musi zgłosić fakt naruszenia do Urzędu Ochrony Danych Osobowych (art. 33 ust. 1 i 2 RODO).
Co więcej – administrator jest zobowiązany do dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych (art. 33 ust. 5 RODO).
Zanim administrator zgłosi fakt naruszenia danych osobowych do Urzędu Ochrony Danych Osobowych, winien przeprowadzić odpowiednie postępowanie w tym przedmiocie, którego przebieg zostanie stosownie udokumentowany.
2. Jakie elementy powinno zawierać zgłoszenie z art. 33 ust. 1 RODO?
Zgłoszenie o którym mowa w art. 33 ust. 1 RODO, czyli zgłoszenie naruszenia ochrony danych osobowych powinno co najmniej:
a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Jeżeli administrator nie będzie w stanie wszystkich informacji udzielić w tym samym czasie, będzie mógł je dostarczać później, ale bez zbędnej zwłoki. W takim wypadku należy poinformować Urząd Ochrony Danych Osobowych o przeszkodach w tym zakresie i wskazać prawdopodobny termin, w którym informacje zostaną udzielone.
3. W jaki sposób zgłosić naruszenie?
Naruszenie ochrony danych osobowych można zgłosić na dwa sposoby – elektronicznie lub tradycyjnie – w formie formularza wysłanego na adres Urzędu Ochrony Danych Osobowych. W pierwszym kroku należy pobrać interaktywny formularz, który jest dostępny na stronie UODO. Po jego wypełnieniu można go wysłać na trzy sposoby, a mianowicie poprzez skrzynkę podawczą EPUAP, za pomocą pisma ogólnego, dostępnego na specjalnej platformie elektronicznej lub tradycyjnie pocztą.
4. Zawiadamianie osoby, której dane dotyczą, o naruszeniu danych osobowych
Jeżeli naruszenie danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu (art. 34 ust. 1 RODO)
Takie zawiadomienie powinno być napisane jasnym i prostym językiem, a nadto winno opisywać charakter naruszenia ochrony danych osobowych oraz powinno:
– zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
– opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
– opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Istnieją jednak wyjątki od obowiązku informacyjnego względem osoby fizycznej, której dane dotyczą. Powyższe zawiadomienie nie jest wymagane, w następujących przypadkach:
a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, Urząd Ochrony Danych Osobowych – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może nałożyć na administratora obowiązek zawiadomienia osoby, której dane dotyczą lub może stwierdzić, że został spełniony jeden z warunków, o których mowa powyżej.
5. Czy jako naruszenie danych osobowych należy traktować także sytuację, w której do błędu doszło przypadkowo — wskutek błędu osoby, której dane wyciekły?
Tak. Nie ma znaczenia, że do przesłania danych doszło przypadkowo – wskutek błędu samej zainteresowanej osoby (decyzja Prezesa Urzędu Ochrony Danych Osobowych nr DKN.5131.5.2020 z 9 grudnia 2020 r.). W stanie faktycznym będącym przedmiotem oceny Prezesa Urzędu Ochrony Danych Osobowych agent ubezpieczeniowy wysłał pocztą elektroniczną polisę ubezpieczeniową zawierającą dane osobowe do nieuprawnionego adresata. Nie było by w tym nic zaskakującego, gdyby to nie sam klient podał Towarzystwu Ubezpieczeniowemu błędny adres e-mail.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych bez znaczenia dla oceny naruszenia pozostawała wyżej wskazana okoliczność, ponieważ dane i tak zostały udostępnione nieuprawnionemu adresatowi, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych wskazywał, że wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych.
Prezes Urzędu Ochrony Danych Osobowych w przedmiotowej decyzji podkreślił, że administrator, który dopuszcza możliwość wykorzystania do komunikacji z klientem pocztę elektroniczną powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu ich minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesłanych w ten sposób dokumentów.
6. Co grozi w przypadku nie zgłoszenia naruszeń, czyli nie spełnienie obowiązku notyfikacyjnego?
Za nie zgłoszenie naruszenia danych osobowych grozi kara pieniężna.
7. Jakie okoliczności będą brane pod uwagę przy wymierzaniu kary w przypadku stwierdzenia naruszenia?
– charakter i waga naruszenia;
– czas trwania naruszenia;
– liczba poszkodowanych osób i rozmiar poniesionych przez nich szkody;
– rodzaj danych osobowych, których dotyczyło naruszenie;
– rodzaj i zakres działań podjętych w związku z naruszeniem;
– stopień odpowiedzialności administratora danych osobowych;
– stopień współpracy administratora danych osobowych z organem;
– sposób w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy administrator sam zgłosił naruszenie, czy też zrobiła to osoba trzecia;
– brak wdrożenia środków zapewniających bezpieczeństwo przetwarzania danych osobowych.
8. Jakie okoliczności wpływają łagodząco na wysokość kary?
Te okoliczności to:
– nieumyślność naruszenia i niezgłoszenia,
– okoliczność, że nie stwierdzono w następstwie naruszenia żadnych szkód po stronie osób, których dotyczyły objęte postępowaniem naruszenia ochrony danych osobowych
– okoliczność, że w trakcie postępowania w przedmiocie nałożenia na kary pieniężnej, podmiot dokonał w procedurze zawiadamiania Prezesa UODO o naruszeniach danych osobowych zmian mających na celu wyeliminowanie możliwości zaistnienia w przyszłości naruszenia podlegającego ukaraniu.
11. Jakie kary nakładał Prezes Urzędu Ochrony Danych Osobowych w konkretnych sprawach?
Naruszenia przepisów podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
W praktyce wysokość nakładanych kar jest bardzo zróżnicowana, na przykład:[1]
– Cyfrowy Polsat S.A. została zobowiązana do zapłaty 245 000 EURO;
– Krajowa Szkoła Sądownictwa i Prokuratury została zobowiązana do zapłaty 22 200 EURO;
– portal Morele.net został zobowiązany do zapłaty 660 000 EURO;
– Virgin Mobile Polska został zobowiązana do zapłaty 443 000 EURO;
– Biuro Geodezji i Kartografii zostało zobowiązane do zapłaty 22 300 EURO.
Podsumowanie
W przypadku naruszenia ochrony danych osobowych na administratorze ciąży szereg bardzo ważnych obowiązków – poczynając od przeprowadzenia wewnętrznego postępowania, którego celem będzie ustalenie, czy rzeczone naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, skończywszy na obowiązku poinformowania o tym fakcie Urzędu Ochrony Danych Osobowych oraz osoby, której dane te dotyczą.
Umiejętne radzenie sobie z incydentami bezpieczeństwa może Państwa uchronić przed negatywnymi skutkami prawnymi wynikającymi z naruszenia ochrony danych osobowych, dlatego tak ważne jest, żeby nie bagatelizować sprawy i postąpić zgodnie z literą prawa.
Źródło:
[1] https://www.enforcementtracker.com/