Naruszenia ochrony danych osobowych w kontekście realizacji obowiązków administratora

Kwestie związane z naruszeniem danych osobowych, w zakresie realizacji obowiązków administratora, opisane są zasadniczo w dwóch przepisach, tj. art. 33 i 34 Ogólnego rozporządzenia o ochronie danych (dalej: RODO).

Treść art. 33 RODO dotyczy przypadków, kiedy administrator zobowiązany jest zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu, natomiast art. 34 RODO wskazuje na sytuacje związane z zawiadomieniem osoby, której dane dotyczą o naruszeniu ochrony danych osobowych.

Wytyczne zawarte w obu przepisach z jednej strony należy uznać za jasne i przejrzyste (albowiem wskazują na sytuacje i czas, w którym zgłoszenie/zawiadomienie powinno zostać sporządzone, a także na samą treść takiego dokumentu), z drugiej jednak strony treść przepisów przysparza administratorom szereg problemów interpretacyjnych (w zakresie oceny tego, czy konkretne naruszenie już podlega zgłoszeniu). Konsekwencją powyższych problemów mogą być wydawane decyzje organu nadzorczego lub liczne wystąpienia, kierowane do administratorów.

KARY PIENIĘŻNE ZA NIEPRZESTRZEGANIE PRZEPISÓW

W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) wydał dwie decyzje, w których nałożył kary za naruszenia związane właśnie z niedostatecznym przestrzeganiem przepisów dotyczących naruszeń ochrony danych osobowych.

W pierwszej decyzji wydanej dnia 9 grudnia 2020 roku Prezes UODO stwierdził naruszenie przez TUiR WARTA S.A. przepisów art. 33 ust. 1 RODO polegającego na nie zgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 RODO polegającego na nie zawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą. W konsekwencji na TUiR WARTA została nałożona kara pieniężna w wysokości 85.588 złotych. W sprawie tej naruszenie poufności i bezpieczeństwa danych w związku z naruszeniem ochrony danych osobowych polegało na przesłaniu (w niezaszyfrowanej wiadomości mailowej) polisy ubezpieczeniowej do nieuprawnionego odbiorcy, w tym w szczególności danych dotyczących numerów PESEL wraz z imionami i nazwiskami, adresami zamieszkania lub korespondencyjnymi, numerami telefonów, adresami mailowymi oraz informacji o przedmiocie ubezpieczenia (samochód osobowy), zakresie ubezpieczenia, płatności, cesji, a także dodatkowych zapisach wynikających z umowy. Wyżej wymieniona sytuacja spowodowała, zdaniem Prezesa UODO, wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w szczególności z uwagi na łatwość identyfikacji osoby, której dane dotyczą. Powyższe skutkowało obowiązkiem zgłoszenia naruszenia do Prezesa UODO oraz zawiadomienie osób, których dane dotyczą.

W drugiej decyzji wydanej dnia 5 stycznia 2021 roku Prezes UODO z kolei stwierdził naruszenie przez Śląski Uniwersytet Medyczny w Katowicach przy ul. Księcia Józefa Poniatowskiego przepisów art. 33 ust. 1 RODO polegającego na nie zgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 RODO polegającego na nie zawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą. W konsekwencji na Śląski Uniwersytet Medyczny w Katowicach została nałożona kara pieniężna w wysokości 25.000 złotych oraz nakazano zawiadomienie osób, których dane dotyczą o naruszeniu ochrony danych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj. opisu charakteru naruszenia, imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia punktu kontaktowego, opisu możliwych konsekwencji naruszenia, opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków. W tym stanie faktycznym doszło do naruszenia poufności danych osobowych, które polegało na udostępnieniu na platformie […] nagrań obrazujących przebieg egzaminów praktycznych, w trakcie przystępowania do których większość uczestników – studentów została wylegitymowana legitymacją studencką lub dowodem osobistym. Administrator nie kwestionował, iż sytuacja taka miała miejsce – wskazał nawet w złożonych przez siebie wyjaśnieniach, że „(…) nauczyciel akademicki dla zapewnienia prawidłowego przebiegu egzaminu musiał zweryfikować tożsamość uczestnika egzaminu”. Administrator podnosił jednak, że „(…) dowody osobiste były przedstawiane przez Studentów sporadycznie i prezentowana była ich tylko pierwsza strona ze zdjęciem (co dotyczy ewentualnego szerszego zakresu ujawnionych przez Studenta danych niż przetwarzanych podczas egzaminu: wizerunek, głos, imię, nazwisko, informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi)”. Prezes UODO stanowczo podkreślił, że podnoszona przez Administratora okoliczność, że „nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych i organizacyjnych rozszerzających katalog podjętych działań” nie ma znaczenia dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, albowiem doszło do wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

POJĘCIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Zanim przejdę do bardziej szczegółowej analizy związanej z tym, kiedy administrator faktycznie powinien zawiadomić organ nadzorczy i osobę, której dane dotyczą, warto wyjaśnić jakie sytuacje należy traktować jako naruszenie ochrony danych osobowych. Otóż, zgodnie z treścią art. 4 pkt 12 RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Zgodnie z Motywem 85 RODO, naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych osób fizycznych, m. in. takich jak: utrata kontroli nad własnymi danymi osobowymi, sfałszowanie tożsamości, strata finansowa, naruszenie dobrego imienia, wszelkie inne szkody gospodarcze lub społeczne. Zarówno w treści art. 33 jak i 34 RODO przesłanką niezbędną dla sporządzenia zgłoszenia i zawiadomienia jest wysokie prawdopodobieństwo naruszenia praw lub wolności osób fizycznych.

W JAKI JEDNAK SPOSÓB ADMINISTRATOR POWINIEN OCENIĆ, CZY PRAWDOPODOBIEŃSTWO JEST WYSOKIE LUB NISKIE?

Do tej pory opracowane zostały trzy główne metody oceny ryzyka naruszeń praw lub wolności osób fizycznych: metoda oparta o wytyczne Grupy Roboczej art. 29 (WP 250), analiza wtórego naruszenia oparta o wzór Bernoulliego oraz metoda oceny wagi naruszenia w oparciu o zalecenia ENISA . Pierwsza z metod wprowadza kryteria jakie należy rozważyć przy ocenie ryzyka naruszenia praw lub wolności osób fizycznych. Druga metoda pozwala na obliczenie rachunku prawdopodobieństwa. Do analizy tą metodą konieczne jest posiadanie konkretnych liczb, które zostaną podstawione pod określony wzór matematyczny. Trzecia metoda dokonywana w oparciu o zalecenia ENISA pozwala na ocenę wagi naruszenia. Metoda ta polega na podstawieniu odpowiednich wartości wedle wytycznych (sugestii/przedstawionych przykładów). Metoda ta różni się od analizy opartej o wzór Bernoulliego tym, że w tym przypadku administrator nie potrzebuje posiadać konkretnych liczb/statystyk. Uzyskany wynik pozwala ocenić wagę naruszenia dla podmiotu danych i na tej podstawie określić, czy konieczne jest jego zawiadomienie i tym samym zgłoszenie do Prezesa UODO. Co prawda w tej metodzie nie wylicza się prawdopodobieństwa naruszenia praw lub wolności, jednak pozwala ona ocenić, czy wynik wagi naruszenia może powodować tym samym wysokie prawdopodobieństwo.

W JAKI SPOSÓB ADMINISTRATOR MOŻE POWIADOMIĆ PREZESA UODO O NARUSZENIU OCHRONY DANYCH OSOBOWYCH?

Zgłoszenia można dokonać na 4 sposoby:

  • elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
  • elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP,
  • elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl lub
  • drogą tradycyjną (listem poleconym).

WYJĄTEK OD OBOWIĄZKU NOTYFIKACJI

Warto wskazać, że ustawodawca europejski przewidział wyjątki od obowiązku notyfikacji. Administrator może odstąpić od zgłaszania naruszenia do Prezesa UODO, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeśli zaś chodzi o zawiadomienie podmiotu danych, to można od niego dostąpić – mimo, że naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, gdy:

  • administrator wdrożył środki uniemożliwiające nieuprawniony dostęp (szyfrowanie)
  • administrator po naruszeniu zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia (post factum NDA, zdalne wyzerowanie nośnika
  • zawiadomienie wymagałoby niewspółmiernie dużego wysiłku (wówczas istnieje obowiązek publicznego komunikatu).

Artykuł ukazał się w internetowym wydaniu dziennika ,,Rzeczpospolita”