Jak prawidłowo ocenić przypadek naruszenia ochrony danych osobowych?

Grzegorz Gęborek

12 października 2021 r.

Przypadki naruszenia ochrony danych osobowych mogą wystąpić w każdej organizacji. W zależności od wielu czynników – takich jak przyczyny, rozmiar czy ryzyko wystąpienia określonych skutków – mogą się wiązać ze zdefiniowanymi w RODO obowiązkami dla administratorów danych osobowych.

W razie naruszenia kluczowe znaczenie ma czas, w jakim administrator powinien dany przypadek ocenić, zbierając niezbędne informacje oraz przeprowadzając analizę ryzyka. Przewidziany przepisami termin na zgłoszenie naruszenia do organu nadzorczego (do 72 godzin) może okazać się niewystarczający. Niewywiązanie się z tego obowiązku lub nieprawidłowe wywiązanie się może skutkować nałożeniem kar administracyjnych.

W 2021 r. można zaobserwować dużą liczbę kar administracyjnych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) – czy to z tytułu niezgłoszenia naruszenia ochrony danych osobowych czy też z powodu całkowitego braku współpracy z organem nadzoru. Wymierzone kary nie ocierają się o górną granicę kar administracyjnych przewidzianych w RODO, oscylując w granicach od 20 do ponad 100 tys. zł. W decyzjach UODO można dostrzec cenne wskazówki dla administratorów danych osobowych w zakresie oceny przypadków oraz prawidłowego podejścia do obsługi naruszenia ochrony danych osobowych i współpracy z organem nadzoru.

Każdy przypadek naruszenia ochrony danych osobowych należy traktować indywidualnie.  Jednak w większości tych naruszeń można odnaleźć pewne schematy i prawidłowości mające wpływ na obowiązki administratora danych osobowych. Warto zwrócić uwagę na wytyczne EROD 1/2021 w sprawie przykładów zgłaszania naruszeń ochrony danych, które trafiły do konsultacji społecznych w pierwszym kwartale 2021 r. Wytyczne te są próbą skatalogowania reprezentatywnych przypadków naruszeń wraz z oceną pod kątem obowiązków administratora, w tym: zajęcia stanowiska, co do konieczności zgłoszenia przypadku organowi nadzoru czy powiadomienia osób fizycznych, których dane dotyczą.

Decyzja w sprawie konieczności zgłoszenia naruszeń ochrony danych osobowych PUODO oraz osobom, których dane dotyczą, należy do administratora danych osobowych. W przypadku decyzji o niezgłaszaniu danego zdarzenia do PUODO to administrator bierze na siebie ryzyko odmiennej oceny danego przypadku przez urząd. Szczególnie ważne jest udokumentowanie całego procesu, w tym przeprowadzenie analizy ryzyka, która pozwoliła nie zgłosić naruszenia PUODO.

Analiza przypadków

Analiza wybranych decyzji wydawanych przez PUODO w 2021 r. umożliwia wyciągnięcie kilku ciekawych wniosków:

1. Bezkrytyczne podejście może zadziałać na niekorzyść administratora danych osobowych. Wyciek numerów PESEL powoduje wysokie ryzyko naruszenia praw i wolności

Stało się tak w przypadku fundacji, na którą nałożono karę 13 tys. zł za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których te dane dotyczą (https://uodo.gov.pl/pl/138/2118).

Administrator podnosił, że prowadzone postępowanie wewnętrzne wykazało niskie ryzyko naruszenia praw i wolności. Z taką oceną nie zgodził się PUODO. Utracone dane dotyczyły 96 osób, oprócz danych powszechnych utracone dokumenty zawierały także numery PESEL. Mając na uwadze dość ugruntowane stanowisko PUODO, w przypadku wycieku danych osobowych obejmujących numery PESEL nie można przyjmować innego ryzyka niż wysokie.

Zrealizowana analiza ryzyka budziła wątpliwości organu nadzorczego, ponieważ nie została dokonana prawidłowo.

2. PUODO zweryfikuje metodologię analizy ryzyka i zakwestionuje ją jeżeli będzie błędna. Analiza ryzyka musi być rzetelna, a nie uzasadniać tylko brak obowiązku administratora danych do zawiadomienia PUODO i osób fizycznych

Przekonało się o tym towarzystwo ubezpieczeń (https://uodo.gov.pl/pl/138/2096) ukarane przez PUODO karą około 160 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych. Ponadto spółkę ukarano za niezawiadomienie o naruszeniu osoby, której dane dotyczyły, do czego zobowiązał ją organ nadzorczy. Urząd podkreślił, że administrator danych osobowych dokonał oceny ryzyka, posługując się formularzem opracowanym przez siebie. Jednocześnie PUODO zakwestionował analizę ryzyka zrealizowaną przez spółkę, stwierdzając, że nie została prawidłowo przeprowadzona.

Głównym problemem nie okazały się błędy w analizie, ale:

• zaniżanie wyników w poszczególnych kryteriach;
• brak uwzględnienia istotnych czynników dla poszczególnych kryteriów;
• uwzględnienie czynników, które nie powinny mieć zastosowania.

Urząd stwierdził, że taka analiza była nieprzydatna do przeprowadzenia oceny, czy dane naruszenie podlega zgłoszeniu do PUODO i wiąże się z obowiązkiem zawiadomienia osób fizycznych, których dane osobowe dotyczą. Jednocześnie orzekł, że w istocie celem analizy było raczej uzasadnienie braku podlegania obowiązkowi zgłoszenia naruszenia organowi nadzorczemu i osobom fizycznym, których dane osobowe dotyczą.

3. Brak współpracy z PUODO lub utrudnianie kontroli może skutkować nałożeniem kary

W roku 2021 PUODO wydał stosunkowo dużo decyzji o ukaraniu podmiotów, które nie współpracowały bądź odmawiały współpracy z PUODO. Kary te wynosiły przeważnie około 22 tys. zł. Na uwagę zasługuje wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 23 lutego 2021 r., w którym sąd w pełni podzielił stanowisko i wszystkie argumenty PUODO wyrażone w decyzji nakładającej 100 tys. zł kary na Głównego Geodetę Kraju za uniemożliwienie przeprowadzenia kontroli. Sąd także krytycznie odniósł się do działań Głównego Geodety Kraju w zakresie współpracy z UODO, jak i wszystkich jego argumentów przedstawionych w skardze na decyzję organu nadzorczego.

Jeżeli mają Państwo pytania dotyczące ochrony danych osobowych, zapraszamy do kontaktu z ekspertami Rödl & Partner.