Prezes UODO będzie teraz bardziej stanowczy w sprawie ochrony danych
2022-07-28
Do tej pory podstawowa różnica, od której zależało, czy wydana zostanie decyzja z upomnieniem czy administracyjną karą pieniężną, związana była z tym, czy konsekwencją niewłaściwej realizacji obowiązków administratora danych osobowych był wyciek danych czy „tylko” utrata ich dostępności.
Przez cztery lata stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich informacji oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) podejście i spojrzenie na ochronę danych osobowych wśród administratorów danych osobowych bardzo się zmieniło na korzyść.
Administratorzy zaczęli przykładać większą wagę do uświadamiania członków swojego personelu w zakresie bezpiecznego i zgodnego z zasadami RODO przetwarzania danych osobowych. Przeprowadzanie cyklicznych szkoleń uzupełniających ich wiedzę nie jest obecnie niczym niezwykłym zarówno u administratorów będących jednostkami z sektora publicznego, jak i prywatnego.
Większa świadomość
Celem takich szkoleń jest uświadomienie, jak istotną kwestią jest m.in. przestrzeganie zasad związanych z bezpiecznym przetwarzaniem danych osobowych i zachowaniem ich poufności, dostępności i integralności. A także, czym tak naprawdę jest incydent związany z bezpieczeństwem danych osobowych oraz jakie prozaiczne sytuacje mogą stanowić o takim naruszeniu. Podczas takich szkoleń przekazywane są także informacje dotyczące ścieżki postępowania w sytuacji zidentyfikowania naruszenia.
Zgodnie z art. 4 pkt 12 RODO za naruszenie ochrony danych osobowych należy uznać naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jako przykłady incydentów należy wymienić w szczególności: przesłanie korespondencji na nieprawidłowy adres, atak hakerski, kradzież dokumentów/komputera, nie dość dostateczne zniszczenie dokumentacji i pozostawienie jej w koszu, umożliwienie osobie nieuprawnionej lub nieupoważnionej zapoznania się z danymi osobowymi i inne.
Prezentowana wyżej definicja naruszenia jest bezpośrednio powiązana z art. 33 i 34 RODO, które regulują obowiązki administratora związane ze zgłoszeniem naruszenia ochrony danych osobowych do organu nadzorczego, którym w Polsce jest prezes Urzędu Ochrony Danych Osobowych, oraz zawiadomieniem osoby, której dane dotyczą, o tym, że naruszenie miało miejsce.
Informacja o naruszeniu
W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Oceny, czy występuje ryzyko naruszenia praw lub wolności osób fizycznych, musi dokonać administrator. Powinna być ona oparta na obiektywnych kryteriach (jak np. dotychczasowe doświadczenie) oraz na uwzględnieniu okoliczności samego naruszenia.
W toku dokonywania oceny administrator powinien brać pod uwagę wszelkie możliwe krzywdy i szkody, które mogą wyniknąć z danego zdarzenia dla osób fizycznych. Mogą one polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym.
Do wystąpienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych. Przykładem sytuacji, w której będzie występowało małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, będzie przypadkowe skasowanie danych osobowych w wyniku błędu systemu teleinformatycznego lub działania człowieka, jeżeli dane te mogą być odzyskane z kopii zapasowej.
Wyżej wspomniane zgłoszenie powinno zawierać co najmniej opis charakteru naruszenia, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, opis możliwych konsekwencji naruszenia ochrony danych osobowych oraz opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Bez zawiadomienia
Jeżeli konsekwencją naruszenia będzie wysokie prawdopodobieństwo naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki o takim naruszeniu zawiadamia osobę, której dane dotyczą. Istnieją wyjątki od konieczności zawiadamiania podmiotu danych, jeśli:
- a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie, jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
- b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
- c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Brak przestrzegania przepisów regulujących zgłoszenie naruszenia do organu nadzorczego oraz zawiadomienie podmiotu danych może skutkować wszczęciem postępowania przez organ nadzorczy i w konsekwencji wydaniem decyzji administracyjnej nakładającej upomnienie lub administracyjną karę pieniężną.
Do tej pory administracyjne kary pieniężne nie były nakładane nagminnie. Wynika to z tego, że okres pierwszych trzech lat stosowania RODO był traktowany niejako jak okres przejściowy. Prezes UODO zdecydowanie częściej wnioskował o wyjaśnienia i ewentualnie udzielał upomnienia.
Administracyjne kary pieniężne nakładane były najczęściej w przypadku: barku współpracy z prezesem UODO, braku zawiadomienia PUODO oraz podmiotu danych o naruszeniu. Decyzje administracyjne z upomnieniem wydawane były jednak zdecydowanie częściej i związane były z podjęciem szeregu działań przez administratora.
Wyciek i utrata
Do tej pory podstawowa różnica, od której zależało, czy wydana zostanie decyzja z upomnieniem czy administracyjną kara pieniężną, związana była z tym, czy konsekwencją niewłaściwej realizacji obowiązków administratora był wyciek danych czy „tylko” utrata ich dostępności. W przypadku wycieku i utraty poufności zdecydowanie częściej wydawane były decyzje nakładające karę pieniężną. Wyżej wskazany podział nie będzie jednak stosowany wiecznie przez prezesa UODO.
Zgodnie z wypowiedzią dyrektora Departamentu Kontroli i Naruszeń w Urzędzie Ochrony Danych Osobowych, czas na dostosowanie się do wymogów stawianych przez RODO już upłynął, a tym samym należy zakończyć stosowanie taryfy ulgowej wobec administratorów. Przez taryfę ulgową dyrektor miał na myśli wręczanie decyzji z upomnieniem w przypadku naruszeń dostępności danych osobowych, bez jednoczesnego naruszenia ich poufności.
Co należy przez to rozumieć? Trzeba niestety spodziewać się tego, że w niedługim czasie za naruszenie ochrony danych osobowych związanych z utratą ich dostępności (do takich przypadków można zaliczyć np. utratę zaszyfrowanego dysku zewnętrznego czy dokumentacji papierowej, która była zamknięta w szyfrowanej kasetce) prezes UODO będzie nakładał administracyjne kary pieniężne, których wysokość może maksymalnie sięgać nawet 20 mln euro, a w przypadku przedsiębiorstw – do wysokości 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.