W dzisiejszym scyfryzowanym świecie zagrożenia dla informacji i prywatności stały się codziennością. Wszędzie tam, gdzie przetwarzane są dane osobowe, może dojść do naruszenia ochrony danych osobowych. Naruszenia ochrony danych osobowych mogą powodować poważne konsekwencje zarówno dla osób, których dane dotyczą, jak i dla podmiotów zobowiązanych do ich zabezpieczenia. Nie dziwi wiec, że coraz większego znaczenia nabiera ochrona danych osobowych. Właściwe reagowanie na incydenty polegające na naruszeniu ochrony danych osobowych staje się kluczowe dla ochrony podstawowych praw i wolności oraz spełniania wymogów prawnych.
Podejmując jednak jakiekolwiek działania mające na celu zaradzenie naruszeniu, należy w pierwszej kolejności potwierdzić jego wystąpienie.
Dla stwierdzenia, czy mamy do czynienia z naruszeniem danych osobowych niezbędne jest wyjaśnienie pojęcia „naruszenia ochrony danych osobowych”. W art. 4 pkt 12 RODO „naruszenie ochrony danych osobowych” definiuje się jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Z powyższej definicji wynika, że naruszenie danych osobowych, stanowi zakłócenie bezpieczeństwa przetwarzanych danych osobowych, które może wpłynąć na ich poufność, integralność lub dostępność.
Dochodzi do niego bez względu na to, czy wystąpi przez przypadek (np. w wyniku błędu, zaniedbania lub nieprzewidzianej awarii technicznej) czy na skutek celowego, bezprawnego działania (np. oszustwa, kradzieży lub włamania).
Analiza art. 4 pkt 12 RODO prowadzi do wniosku, że aby doszło do naruszenia ochrony danych osobowych, muszą być spełnione łącznie trzy przesłanki:
- po pierwsze, naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie.
- po drugie, w związku z przetwarzaniem danych osobowych musi dojść do naruszenia bezpieczeństwa,
- po trzecie, muszą wystąpić określone skutki takiego naruszenia, czyli: zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.
Tym samym naruszeniem ochrony danych osobowych nie jest zdarzenie, które nie spełnia któregoś z tych warunków.
I tak dla przykładu, naruszeniem ochrony danych osobowych nie będzie m.in.:
- zagubienie dokumentacji niezawierającej danych osobowych, np. dokumentów zawierających dane finansowe, których nie można powiązać z osobą fizyczną (zdarzenie nie dotyczy danych osobowych);
- chwilowy brak dostępu do danych osobowych związany z zaplanowaną aktualizacją systemu informatycznego (zdarzenie nie jest incydentem bezpieczeństwa);
- omyłkowe wysłanie e-maila zawierającego dane osobowe do niewłaściwego – ale uprawnionego – odbiorcy wewnątrz organizacji (zdarzenie nie prowadzi do nieuprawnionego ujawnienia danych osobowych).
Rodzaje naruszeń ochrony danych osobowych
Zgodnie z trzema powszechnie uznawanymi zasadami bezpieczeństwa informacji naruszenia można podzielić na następujące kategorie: [Wytyczne 9/2022 dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO str. 8, 9]
- „naruszenie dotyczące poufności danych” – naruszenie, w rezultacie którego dochodzi do
nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych, np. wysyłka maila z załączonymi danymi osobowymi do nieuprawnionego adresata.
- „naruszenie dotyczące integralności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych, np. przypadkowe przeniesienie kartoteki jednego klienta do kartoteki zawierającej dane innego klienta.
- „naruszenie dotyczące dostępności danych” – naruszenie, w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych, np. utrata klucza lub hasła dostępu do zaszyfrowanych wcześniej danych.
Na podstawie art. 4 pkt 12 RODO definiującego naruszenia ochrony danych osobowych, wyróżnić można pięć odrębnych następstw naruszenia bezpieczeństwa, a mianowicie:
- zniszczenie danych osobowych – sytuacja, w której dane przestają istnieć w formie nadającej się do użytku administratora;
Przykład: spalenie archiwum z dokumentami, zniszczenie dokumentu w niszczarce, trwałe uszkodzenie twardego dysku uniemożliwiające odczyt lub odtworzenie zapisanych danych,
- utrata danych osobowych – sytuacja, w której dane mogą wprawdzie nadal istnieć, ale administrator utracił nad nimi kontrolę lub dostęp do nich lub nie jest już w ich posiadaniu;
Przykład: utrata klucza lub hasła dostępu do zaszyfrowanych wcześniej danych, kradzież niezabezpieczonego hasłem laptopa firmowego, atak randsomware (rodzaj cyberataku, który m.in. blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych, wysuwając następnie żądanie zapłaty w zamian za pomoc w przywróceniu stanu pierwotnego);
- zmodyfikowanie danych – uszkodzenie (przypadkowe lub niezgodne z prawem) danych, co oznacza, że dane osobowe uległy zmianie lub zepsuciu, a w konsekwencji stały się niekompletne, częściowo nieczytelne, nieprawidłowe;
Przykład: nieuprawniona osoba wprowadza zmiany w bazie danych tak, że stają się one nieprawidłowe np. dane kontaktowe, nieuprawniona manipulacja zapisanymi wynikami badań pacjenta
- nieuprawnione ujawnienie i nieuprawniony dostęp do danych – niedozwolone
lub niezgodne z prawem przetwarzanie obejmuje przypadki ujawnienia lub udostępnienia danych osobowych odbiorcom nieupoważnionym do ich otrzymania lub uzyskania do nich dostępu, a także wszelkie inne formy przetwarzania naruszające postanowienia RODO.
Przykład: kradzież dokumentacji lub uzyskanie dostępu do danych w systemie informatycznym przez osobę trzecią na skutek złamania zabezpieczeń technicznych, wysyłka maila
z załączonymi danymi osobowymi do nieuprawnionego adresata.
„Naruszenie może potencjalnie wywrzeć szereg negatywnych skutków dla osób fizycznych, które mogą skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub szkód niemajątkowych. W RODO wskazuje się, że takie skutki mogą obejmować utratę kontroli nad własnymi danymi osobowymi, ograniczenie praw, dyskryminację, kradzież lub sfałszowanie tożsamości, stratę finansową, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia oraz naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Mogą one również wiązać się z wszelkimi innymi znacznymi szkodami gospodarczymi lub społecznymi dla tych osób fizycznych” [Wytyczne 9/2022 dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO, str. 6]
Wiedza na temat naruszeń ochrony danych osobowych jest szczególnie ważna dla administratorów, czyli podmiotów, które decydują o celach i sposobach przetwarzania. To na nich bowiem spoczywa największa odpowiedzialność za ochronę danych osobowych. Znacząca rolę w zapewnieniu bezpieczeństwa przetwarzania pełnią także podmioty przetwarzające i inspektorzy ochrony danych.
Jednym z najistotniejszych obowiązków administratora danych jest ocena tych zagrożeń dla praw i wolności osób, których dane dotyczą, oraz wdrożenie odpowiednich środków technicznych i organizacyjnych w celu ich wyeliminowania.
W każdym przypadku, w którym prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych w związku z określonym naruszeniem ochrony danych osobowych jest wyższe od małego, administrator jest zobowiązany do dokonania zgłoszenia takiego naruszenia organowi nadzorczemu. W Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych.
Obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu reguluje art. 33 RODO, zaś obowiązek zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, art. 34 RODO.
Ogólne rozporządzenie o ochronie danych precyzyjnie określa terminy zgłoszenia naruszenia ochrony danych. Incydent powinien być zgłoszony do Prezesa UODO w ciągu 72 godzin od stwierdzonego naruszenia. Po upływie 72 godzin należy dołączyć także wyjaśnienie przyczyn opóźnienia, w którym stwierdzone zostanie naruszenie ochrony danych osobowych.
Konkludując, w przypadku naruszenia bezpieczeństwa danych konieczna jest zmiana postępowania i wyciągnięcie wniosków na przyszłość. Ogromne znaczenie ma nie tylko analiza źródła i przyczyny powstałego incydentu, ale także wprowadzenie takich środków technicznych i organizacyjnych, które pozwolą skutecznie wyeliminowywać ryzyko występowania takich zdarzeń.
Opracowano na podstawie:
Poradnik na gruncie RODO „obowiązki administratorów związane z naruszeniem danych osobowych” wersja 2.0, luty 2025 r.
Wytyczne 9/2022 dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO, wersja 2.0, przyjęta 28 marca 2023 r.
Wytyczne 01/2021w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych, przyjęte 14 grudnia 2021 r.
Podstawa prawna:
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).