Naruszenie ochrony danych osobowych – informowanie osób fizycznych

Szczególnym wyzwaniem jest zabezpieczenie danych osobowych przed potencjalnymi atakami złośliwego oprogramowania. Ryzyko, że na jednym z etapów przetwarzania danych dojdzie do ich naruszenia, dotyczy zatem każdego administratora danych osobowych. Wobec tego oprócz wdrażania odpowiednich zabezpieczeń warto być również świadomym obowiązków, które ciążą na administratorze danych w razie naruszenia danych osobowych. 

Naruszenie ochrony danych osobowych może mieć różny charakter i skutki. W szczególności może dotknąć poufności danych – w takiej sytuacji zostają ujawnione lub udostępnione podmiotowi nieuprawnionemu. Jest to najbardziej typowy przypadek naruszenia ochrony danych osobowych i jednocześnie stanowi największe zagrożenie.

Naruszenie może także dotyczyć integralności danych osobowych (np. wprowadzenie nieuprawnionych zmian w treści danych) lub ich dostępności (np. brak możliwości wykorzystania danych przez osobę do tego uprawnioną).

Niezależnie od tego, jaki charakter ma naruszenie danych osobowych, administrator stanie przed koniecznością rozważenia, czy w danym przypadku istnieje konieczność poinformowania osoby, której dotyczą dane o tym zdarzeniu. Na administratorze może również ciążyć obowiązek poinformowania organu nadzorczego. 

Zgodnie z art. 33 i 34 RODO, w razie naruszenia administrator musi zrealizować dwa obowiązki informacyjne – względem organu nadzorczego oraz względem osób fizycznych, których dotyczy naruszenie. W Polsce organem nadzorczym jest Urząd Ochrony Danych Osobowych (UODO).

Przesłanki powstania obowiązku informacyjnego względem osób fizycznych ukształtowane są nieco odmiennie niż w przypadku informowania organu nadzorczego.

Zgłoszenie naruszenia organowi nadzorczemu jest obowiązkowe w przypadku każdego naruszenia z wyłączeniem sytuacji, w których ryzyko naruszenia praw i wolności osób fizycznych jest małe. Informowanie o naruszeniu osób fizycznych natomiast jest obowiązkiem administratora wtedy, gdy ryzyko naruszenia praw i wolności podmiotu danych okaże się wysokie. Zestawienie powyższych przepisów prowadzi do wniosku, że obowiązek informowania osoby fizycznej o naruszeniu występować będzie znacznie rzadziej niż obowiązek zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych.

Aby ocenić, jakie obowiązki ciążą na administratorze w danym przypadku naruszenia ochrony danych osobowych, powinien on przeprowadzić analizę ryzyka i skutków naruszenia. Trzeba zbadać rodzaj danych dotkniętych naruszeniem, jego charakter, a także skalę i potencjalne skutki.

W razie wysokiego prawdopodobieństwa, że efektem naruszenia danych stanie się pogwałcenie praw lub wolności osób fizycznych, administrator powinien poinformować o naruszeniu nie tylko PUODO, ale również osoby fizyczne. Jeśli poziom ryzyka nie okaże się wysoki, administrator nie będzie zobowiązany do zawiadomienia podmiotu danych o naruszeniu.

Sytuacjami, które skutkują wysokim poziomem ryzyka, mogą być na przykład: publikacja w Internecie np. numeru PESEL wraz z imieniem i nazwiskiem oraz dokumentami ubezpieczeniowymi, danych dotyczących zdrowia konkretnej osoby. Za naruszenie, które nie powoduje wysokiego ryzyka dla praw lub wolności, PUODO uznał m. in. utracenie przez pracodawcę świadectwa pracy pracownika. Zdaniem PUODO świadectwo pracy nie zawiera danych, które mogłyby prowadzić do pogwałcenia praw lub wolności, więc w tym przypadku  nie ma konieczności informowania o naruszeniu ochrony danych osoby fizycznej. 

Większych wątpliwości może dostarczyć zdarzenie, wskutek którego nie doszło do ujawnienia danych osobowych, a jedynie utracono do nich dostęp. W takich przypadkach wysokie ryzyko naruszenia praw i wolności podmiotów danych wystąpi zdecydowanie rzadziej. Ocena poszczególnych przypadków naruszenia ochrony danych osobowych może jednak prowadzić do różnych wniosków – w szczególności jeśli mamy do czynienia z istotnymi danymi o zdrowiu i jeśli brak dostępu do tych danych trwałby przez dłuższy czas. 

W art. 34 ust. 3 RODO uregulowano wyjątki od opisanych wyżej przesłanek wskazujących na obowiązek informowania podmiotu danych o naruszeniu. 

Nawet jeśli doszło do naruszeniabezpieczeństwa danych, a przeprowadzona analiza wskazuje wysokie ryzyko pogwałcenia praw i wolności osoby fizycznej, istnieją przypadki, gdy administrator nie będzie zobowiązany do realizacji obowiązku informacyjnego. Informowanie osób fizycznych o naruszeniu danych osobowych nie będzie wymagane, jeżeli:

Z uwagi na różnorodność potencjalnych naruszeń ochrony danych osobowych każdy przypadek wymaga indywidualnego podejścia i przeprowadzenia odrębnej analizy. Oczywiście o odpowiednim zabezpieczeniu danych warto pomyśleć przed powstaniem jakiegokolwiek naruszenia. Często jednak to właśnie szczegółowa analiza naruszenia ochrony danych osobowych pokazuje, jakie dodatkowe środki ochrony powinny zostać wdrożone u danego przedsiębiorcy. Warto pamiętać również, aby analiza naruszenia objęła kwestie związane z wykonaniem obowiązku informacyjnego względem organu nadzorczego i podmiotów danych. Informowanie podmiotów danych o naruszeniu realizuje bowiem istotny cel, którym zgodnie z motywem 86 preambuły RODO jest umożliwienie osobom fizycznym podjęcia niezbędnych działań zapobiegawczych przed ewentualnymi skutkami naruszenia.