W rozporządzeniu RODO został wprowadzony nowy dla większości polskich przedsiębiorców obowiązek zgłaszania do organu nadzorczego naruszeń ochrony danych osobowych. Dotychczas spoczywał on tylko na podmiotach z sektora telekomunikacyjnego. Od 25 maja 2018 r. obejmie zaś wszystkich przedsiębiorców, którzy przetwarzają dane osobowe. Do właściwego reagowania na naruszenia ochrony danych warto się przygotować. To pozwoli ograniczyć ryzyko prawne po stronie administratora, ale też – co jest najważniejszym celem nowych przepisów – umożliwi zmniejszenie potencjalnych szkód dla osób, które są dotknięte naruszeniem.
/>
25 maja 2018 r. zaczną być stosowane nowe regulacje o ochronie danych osobowych – RODO. To skrócona nazwa rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1). Weszło ono w życie już w maju 2016 r., ale za cztery miesiące upłynie dwuletni okres, który unijny legislator dał przedsiębiorcom na dostosowanie się do nowych wymagań. Kontynuujemy zatem serię artykułów poradniczych, w których przybliżamy najważniejsze zmiany i nowe obowiązki wynikające z RODO.
W cyklu ukazały się teksty:
● „Jak przygotować się do lepszego chronienia przetwarzanych danych osobowych – niezbędnik przedsiębiorcy” – Firma i Prawo z 16 stycznia 2018 r. (DGP nr 11),
● „Wdrożenie czas zacząć. Jak podjąć przygotowania do stosowania RODO ” – Firma i Prawo z 30 stycznia 2018 r. (DGP nr 21),
● „Rejestrować czynności przetwarzania danych osobowych trzeba. Tylko jakie?” – Firma i Prawo z 6 lutego 2018 r. (DGP nr 26).
Problem naruszenia ochrony danych nie jest nowy. Występował on wielokrotnie w praktyce jeszcze w czasach, w których RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) nie było na legislacyjnej mapie drogowej Unii Europejskiej.
Jak wynika z informacji udostępnianych na stronie breachlevelindex.com, od 2013 r. wycieki danych objęły ponad 9 mld rekordów o osobach fizycznych, a średnio co sekundę aż 57 takich rekordów jest objętych naruszeniem. Na wspomnianej stronie internetowej można także znaleźć informacje, że z problemem naruszeń mają w praktyce do czynienia prawie wszystkie sektory gospodarki w większości państw świata. Problemy te nie omijają nawet tych podmiotów, które poświęcają znaczne środki na bezpieczeństwo danych: instytucji finansowych, portali aukcyjnych czy nawet globalnych producentów oprogramowania. Problem ten dotyczy także polskich przedsiębiorców.
NOWE PODEJŚCIE DO PROBLEMU
Pojęcie naruszenia ochrony danych osobowych na gruncie RODO jest rozumiane znacznie szerzej niż do tej pory. Teraz objęto tym terminem także przypadki zniszczenia danych.
W przepisach RODO za naruszenie ochrony danych osobowych unijny legislator uważa „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 10 pkt 12). Mówimy zatem przede wszystkim o naruszeniu bezpieczeństwa, a więc potencjalnie o niezachowaniu reguł zabezpieczania danych osobowych adekwatnie do ryzyka związanego z ich przetwarzaniem, które prowadzi do określonych – niezgodnych z prawem albo choćby przypadkowych – konsekwencji.
Zniszczenie też pod lupą
Przytoczona definicja wskazuje, że ustawodawca znacząco poszerzył potoczne rozumienie wycieku danych. Do tej pory często rozumiane było jako umożliwienie dostępu do danych osobowych osobom nieupoważnionym do ich przetwarzania. W myśl definicji z rozporządzenia naruszenia obejmują również przypadki zniszczenia, np. uszkodzenia struktury plików (co powoduje, że ich odczyt jest niemożliwy) albo utracenie danych (czyli sytuację, w której dane osobowe co prawda nadal istnieją, ale nie ma do nich dostępu, bo zostały np. zaszyfrowane na skutek zainfekowania systemu szkodliwym oprogramowaniem).
Dla polskich przedsiębiorców oznacza to w praktyce konieczność znacznie szerszego, kompleksowego podejścia do problemu naruszeń ochrony danych. Na przykład będą oni musieli zastosować odpowiednie środki bezpieczeństwa i przygotować się do reagowania na przypadkowe lub nieuprawnione zniszczenie albo zmodyfikowanie danych, a więc także na sytuacje, w których dane nie będą się przedostawały do opinii publicznej. Łatwo sobie wyobrazić, że sytuacje przypadkowego zmodyfikowania albo utracenia nie będą należały do rzadkości, co oczywiście będzie pociągało za sobą konieczność wykonania nowych obowiązków.
Pomocne wytyczne
Grupa Robocza Art. 29 (specjalny zespół zrzeszający europejskie organy nadzoru) przygotowała dokument, który daje przedsiębiorcom dodatkowe wskazówki – Wytyczne w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679 (WP250). W dokumencie tym wskazano, że naruszenie ochrony danych osobowych należy odróżnić od incydentów bezpieczeństwa. Nie każdy bowiem incydent bezpieczeństwa będzie kwalifikowany na gruncie RODO jako naruszenie ochrony danych. W konsekwencji nie każdy incydent bezpieczeństwa będzie musiał być notyfikowany do organu nadzoru (prezesa Urzędu Ochrony Danych Osobowych), ale tylko taki, który wiąże się z danymi osobowymi. Podobnie rzecz ma się z obowiązkiem komunikowania naruszenia ochrony danych osobom, których dane objęte są takim naruszeniem.
Przykładami naruszeń ochrony danych osobowych wskazanych przez Grupę Roboczą Art. 29, są:
1. przypadkowe usunięcie danych osobowych,
2. dane zaszyfrowane, do których zgubiono klucz deszyfrujący,
3. brak możliwości uzyskania dostępu do danych, w tym w kopiach zapasowych,
4. brak możliwości uzyskania dostępu do danych na skutek utraty zasilania, uzyskanie dostępu do danych przez osoby nieuprawnione na skutek ataku na systemy informatyczne z wykorzystaniem oprogramowania typu ransomware.
Obowiązki po wycieku
Naruszenie ochrony danych osobowych wiąże się z określonymi obowiązkami. Najważniejsze z nich to konieczność notyfikacji naruszeń do organu nadzoru, ale też – w określonych sytuacjach – przekazania informacji o tym fakcie do podmiotów, których dane objęte są naruszeniem. Ponadto zgodnie z przepisem art. 35 RODO administrator jest zobowiązany dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności, w jakich doszło do wycieku, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na zweryfikowanie przestrzegania wspomnianego przepisu i zapewne będzie jednym z elementów kontrolowanych przez ten organ w przypadku prowadzenia kontroli u administratora. Jest to zatem kolejny element zasady rozliczalności, która nakłada na podmioty biorące udział w przetwarzaniu danych obowiązek rzetelnego rozliczania się z tego, w jaki sposób dane osobowe są przetwarzane i chronione, w tym jak zostały spełnione obowiązki wynikające z RODO.
NOTYFIKACJA NARUSZEŃ
Od 25 maja br. naruszenia ochrony danych osobowych trzeba będzie obowiązkowo zgłaszać do prezesa Urzędu Ochrony Danych Osobowych. Niewątpliwie przedsiębiorcy będą mieli wiele kłopotów z oceną, kiedy zachodzi konieczność dokonania notyfikacji.
Obowiązek notyfikacji wynika z art. 33 RODO, zgodnie z którym „w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”.
Kiedy trzeba zgłosić
Przepis ten może budzić wątpliwości interpretacyjne. Z samej treści RODO trudno bowiem wywieść, kiedy następuje stwierdzenie naruszenia przez administratora albo kiedy naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Nieprawidłowe zaś zastosowanie tych pojęć może prowadzić do niewykonania lub spóźnionego wykonania obowiązków związanych z reagowaniem na naruszenie ochrony danych, a w konsekwencji do nałożenia sankcji na przedsiębiorców. Grupa Robocza Art. 29 podjęła próbę wskazania właściwego rozumienia tych pojęć.
Zgodnie z wytycznymi Grupy administrator stwierdza naruszenie, gdy ma uzasadnioną pewność, że wystąpił incydent bezpieczeństwa, który doprowadził do niego. Kiedy przedsiębiorca uzyskuje ową uzasadnioną pewność, będzie to zależeć od okoliczności konkretnego naruszenia.
Grupa podaje następujące przykłady, kiedy powstanie obowiązek powiadomienia:
1. zgubiona płyta CD z niezaszyfrowanymi danymi osobowymi – w momencie odkrycia, że płyta została zgubiona,
2. informacja otrzymana przez przedsiębiorcę od osoby trzeciej, że ta przez przypadek otrzymała dane osobowe, których administratorem jest przedsiębiorca – z chwilą otrzymania takiej informacji, pod warunkiem jednak przedłożenia dowodu otrzymania takich danych przez osobę trzecią,
3. przedsiębiorca wykrywa potencjalne włamanie osób nieuprawnionych do jego sieci – z chwilą gdy po sprawdzeniu systemów informatycznych przedsiębiorca potwierdza wystąpienie takiego zdarzenia,
4. cyberprzestępca kontaktuje się z przedsiębiorcą po dokonaniu ataku z użyciem oprogramowana typu ransomware na jego system informatyczny w celu wyłudzenia okupu – od momentu otrzymania takiego żądania.
Grupa Robocza Art. 29 podpowiada także, że choć przedsiębiorca może potrzebować czasu od momentu, kiedy dowie się o potencjalnym zdarzeniu mogącym stanowić naruszenie do chwili stwierdzenia naruszenia ochrony danych osobowych, to powinien być to tylko krótki okres na wewnętrzne sprawdzenie, czy do naruszenia rzeczywiście doszło.
Kiedy brak ryzyka
Drugim elementem, który trzeba będzie ocenić, jest wystąpienie ryzyka naruszenia praw lub wolności osób. Ryzyko to obejmuje zdarzenia prowadzące do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, dyskryminacji, kradzieży tożsamości, oszustwa dotyczącego tożsamości, straty finansowej, naruszenia dobrego imienia.
Grupa uznała, że przykładem sytuacji, w której takie ryzyko nie zachodzi, jest ujawnienie danych osobowych, które i tak są publicznie dostępne. Podkreślić jednak trzeba, że taka ocena musi być każdorazowo dokonywana w odniesieniu do konkretnego stanu faktycznego.
W przypadku zakwalifikowania naruszenia ochrony danych jako mogącego powodować ryzyko naruszenia praw lub wolności osób fizycznych, administrator powinien niezwłocznie, w miarę możliwości nie później niż w ciągu 72 godzin, poinformować o tym prezesa UODO.
Co w treści
Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać co najmniej:
1. opis charakteru naruszenia (w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie),
2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji),
3. opis możliwych konsekwencji naruszenia,
4. opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym – w stosownych przypadkach – środków podjętych w celu zminimalizowania ewentualnych negatywnych skutków.
Jak określić liczbę osób
Warto zwrócić uwagę na wymóg podania liczby osób, których dane dotyczą. W praktyce nie zawsze będzie możliwe łatwe ustalenie dokładnej liczby osób dotkniętych naruszeniem. Co ważne, Grupa Robocza Art. 29 stanęła w takiej sytuacji na stanowisku, że brak tej dokładnej liczby nie powinien wstrzymywać notyfikacji do organu nadzoru, bowiem administrator w przypadku braku dokładnych informacji powinien podać liczbę przybliżoną, a następnie uzupełnić zgłoszenie (w którym doprecyzuje dane).
Możliwość stopniowania
Przygotowanie kompletu informacji podlegających zgłoszeniu w przypadku naruszenia ochrony danych może być dość wymagającym zadaniem. Wynikać to może z wielu czynników, np. stopnia skomplikowania stanu faktycznego (który przecież należy zbadać, aby przedstawić wymagane informacje), konieczności przeprowadzenia niezbędnych konsultacji z podmiotem przetwarzającym (który może być zlokalizowany poza Polską), czy też konieczności przeprowadzenia innych dodatkowych analiz. Tego typu sytuacje przewidział unijny ustawodawca, pozwalając zgłaszać naruszenia do organu nadzoru sukcesywnie. A zatem w pierwszym zgłoszeniu można przekazać niezwłocznie organowi nadzoru tylko takie informacje związane z naruszeniem, jakimi aktualnie dysponuje administrator. To oczywiście nie zwalnia go z konieczności przekazania kompletnych informacji w momencie, kiedy będą one już dostępne.
Rola podmiotu przetwarzającego
Co ważne, omawiana notyfikacja do UODO nie tylko ma wpływ na działalność i obowiązki administratora danych, lecz także stawia określone wymagania przed podmiotem, który przetwarza na zlecenie administratora dane osobowe dotknięte naruszeniem. Podmiot przetwarzający jest zobowiązany w pierwszej kolejności do notyfikowania stwierdzonych naruszeń administratorowi – i to bez zbędnej zwłoki (co wynika z przepisu art. 33 ust. 2 RODO). Ponadto, uwzględniając charakter przetwarzania oraz dostępne mu informacje, ma on obowiązek pomagać administratorowi w stwierdzeniu naruszenia i przygotowaniu jego zgłoszenia. W wielu przypadkach jego rola będzie nie do przecenienia, w szczególności wtedy, gdy administrator właściwie nie przetwarza danych osobowych samodzielnie, we własnej infrastrukturze, ale większość działań na danych osobowych wykonuje za niego podmiot przetwarzający.
POWIADOMIENIE POSZKODOWANYCH
Na administratorów został nałożony także obowiązek komunikowania naruszeń ochrony danych osobom, których dane dotyczą. Konieczne jest to jednak w sytuacji, gdy takie naruszenie może skutkować wysokim ryzykiem dla praw lub wolności osób fizycznych.
Podkreślenia wymaga wyższy stopień ryzyka, który uruchamia ten obowiązek, w porównaniu ze zwykłym ryzykiem powodującym konieczność notyfikacji naruszenia do organu nadzorczego.
Jakie informacje przekazać
W ramach zawiadomienia osób, których dane są objęte naruszeniem, administrator powinien przekazać im podobne informacje do tych, które notyfikował organowi nadzoru (co wynika z art. 34 ust. 2). Co ważne, taka komunikacja musi mieć zdaniem unijnego ustawodawcy wysoką wartość informacyjną dla zainteresowanych, a zatem powinna być formułowana za pomocą jasnego i prostego języka.
Wyłączenia
Co ciekawe, w przepisach RODO unijny legislator przewidział sytuacje, w których taka komunikacja w ogóle nie będzie konieczna. To dobra wiadomość przede wszystkim dla przedsiębiorców, którzy działają na dużą skalę, np. mają kilkaset tysięcy klientów na całym świecie.
Jak wynika z art. 34 ust. 3, administrator nie jest zobowiązany do zawiadomienia podmiotów danych (np. klientów albo potencjalnych klientów) o naruszeniu w przypadkach, w których administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie. Takimi środkami może być w szczególności szyfrowanie uniemożliwiające odczyt danych osobowych osobom nieuprawnionym do dostępu do tych danych. Obowiązek ten nie powstanie także wtedy, gdy administrator zastosował już po naruszeniu środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Na przykład jeśli przedsiębiorca zastosował środki, które umożliwiły odzyskanie części zniszczonych danych.
Ostatnią bardzo ciekawą z praktycznego punktu widzenia przesłanką zwalniającą z obowiązku zawiadomienia jest sytuacja, gdy takie zawiadomienie wymagałoby niewspółmiernie dużego wysiłku. Przykładem może być sytuacja, gdy administrator ze względu na zniszczenie części przetwarzanych danych (np. kontaktowych) nie dysponuje informacjami niezbędnymi do łatwego kontaktu z nimi. W takim przypadku powinien wydać publiczny komunikat lub zastosować inny podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane o naruszeniu w równie skuteczny sposób.
Zgodnie z zasadą rozliczalności wynikającą z przepisów RODO administratorzy powinni być w stanie wykazać organowi nadzorczemu, że spełniają jeden lub więcej z tych warunków. To w praktyce przekłada się na obowiązek dokumentowania przyczyn, które sprawiły, że podjęto decyzję o niekontaktowaniu się z osobami, których dotyczy naruszenie.
JAK SIĘ PRZYGOTOWAĆ
Już teraz warto opracować plan reagowania na naruszenia, a także wzory zawiadomień do klientów. Zadbać można też o zmiany w umowach oraz o ewentualną polisę.
Punktem wyjścia jest skupienie uwagi na bezpieczeństwie przetwarzanych danych zgodnie z przepisami RODO, a zatem z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, a także ryzyka naruszenia praw lub wolności osób fizycznych. Dochodząc jednak do wniosku, że prawdopodobnie w praktyce nie uda się całkowicie uniknąć wystąpienia naruszeń ochrony danych, trzeba być w maksymalnym stopniu przygotowanym na nowe obowiązki notyfikacyjne.
Plan reagowania
Istotne jest, aby na wypadek sytuacji, w których może wystąpić konieczność notyfikacji zarówno do organu nadzorczego, jak i do osób, których dane dotyczą, stworzyć plan reagowania. O ile nie ma obowiązku wynikającego z RODO, aby taki dokument tworzyć czy też pokazywać organowi nadzoru, o tyle będzie on pomocny dla administratora w praktyce.
Plan reagowania na naruszenia powinien obejmować każdy etap wspólnej pracy w sytuacji, gdy administrator (ale też podmiot przetwarzający) stwierdzi naruszenie. Wspólnej, bo taka praca najczęściej wymaga udziału działu prawnego, IT, PR i innych, które mogą być pomocne w wykryciu lub działaniach po wykryciu naruszenia. W ramach tego planu należy przypisać role i działania związane z koniecznością zebrania niezbędnych informacji i zaradzenia naruszeniu (eliminacji albo zmniejszenia ryzyka dla osób, których dane są objęte naruszeniem).
Wzory zawiadomień
Elementem planu powinny być gotowe wzory zawiadomienia do organu nadzoru oraz komunikacji z osobami fizycznymi, których dane są objęte naruszeniem. Nie warto bowiem tracić czasu na ich przygotowanie w sytuacji kryzysowej, podczas gdy taka praca z łatwością może być wykonana znacznie wcześniej, jeszcze przed naruszeniem. Kiedy plan jest już gotowy, należy przeprowadzić symulację naruszenia, najlepiej w oparciu o doświadczenia innych podmiotów, które z takim problemem spotkały się w praktyce. To pozwala sprawdzić w sposób bezpieczny, czy plan działa i czy na pewno wszyscy wiedzą, jaką rolę mają do odegrania w sytuacji kryzysowej. Taka symulacja pozwala oczywiście na wyciągnięcie odpowiednich wniosków na przyszłość.
Umowy z podmiotem przetwarzającym
Warto też zawczasu temat naruszeń właściwie uwzględnić w umowie z podmiotem przetwarzającym. Dokument taki powinien przewidywać sytuacje, w których pomoc takiego podmiotu będzie potrzebna. Stąd też w umowie tego rodzaju warto precyzyjnie określić obowiązki obu stron w sytuacji naruszenia. Dotyczy to nie tylko obowiązku stałego monitorowania bezpieczeństwa danych, aby być w stanie wykryć naruszenie, lecz także czasu reakcji na naruszenie, sposobu zawiadamiania o naruszeniu administratora, prowadzenia komunikacji z administratorem, jakości i zakresu przekazywanych informacji oraz innych elementów niezbędnego współdziałania między stronami.
Niemniej istotna jest kwestia odpowiedzialności. Nie zapominajmy, że kwestia naruszenia bezpieczeństwa może pociągnąć za sobą poważne konsekwencje finansowe, a zatem warto akurat ten element odpowiednio zabezpieczyć w umowie pomiędzy administratorem a podmiotem przetwarzającym.
Ubezpieczenie
Trzeba także wspomnieć o kwestii ewentualnego ubezpieczenia od naruszenia ochrony danych. Administrator (i zapewne podmiot przetwarzający) może rozważać ubezpieczenie swojej działalności na taką okoliczność, aby zminimalizować ewentualne szkody wynikłe z tego tytułu. To oczywiście wymaga przeprowadzenia analizy dostępnych produktów ubezpieczeniowych, żeby sprawdzić, czy i na jakich warunkach takie ubezpieczenie jest w Polsce oferowane.