Zarządzanie incydentami zgodnie z RODO

Marcin Pietkiewicz radca prawny, Wardyński i Wspólnicy

materiały prasowe

Incydentami w przypadku ochrony danych osobowych są przypadki naruszenia poufności, integralności lub dostępności danych osobowych. Takie sytuacje przepisy RODO określają jako naruszenie ochrony danych osobowych. Jest ono definiowane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Nie tylko zatem „wyciek" czy kradzież danych osobowych są naruszeniem ich ochrony.

Grupa Robocza Art. 29 (aktualnie Europejska Rada Ochrony Danych, EROD) w swoich wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych (WP 250 rev. 01) dzieli naruszenia ochrony danych osobowych na trzy rodzaje, w zależności od powodowanych przez nie skutków:

- naruszenie dotyczące poufności danych stanowiące nieuprawnione lub przypadkowe ujawnienie lub nieuprawniony dostęp do danych osobowych (np. kradzież pamięci USB, na której przechowywana była kopia danych osobowych; omyłkowe przesłanie PIT-u pracownika innemu pracownikowi);

- naruszenie dotyczące integralności danych stanowiące nieuprawnione lub przypadkowe zmodyfikowanie danych osobowych (np. udostępnienie listy uczestników wydarzenia w formie edytowalnego dokumentu, w którym osoba nieuprawniona nanosi zmiany);

- naruszenie dotyczące dostępności danych stanowiące przypadkowy lub nieuprawniony dostęp do danych osobowych lub ich zniszczenie (np. zainfekowanie oprogramowaniem typu ransomware, które doprowadziło do utraty danych, nawet jeżeli utrata była tymczasowa, gdyż dane udało się odzyskać z kopii bezpieczeństwa).

Naruszenie może dotyczyć jednocześnie poufności, integralności i dostępności albo dowolnej kombinacji tych kategorii.

Jak duże jest ryzyko zajścia incydentu?

W dłuższej perspektywie ryzyko naruszenia ochrony danych osobowych w każdym podmiocie wydaje się w zasadzie nieuniknione. Istotne jest jednak, aby każdy podmiot, który przetwarza dane osobowe, wdrożył rozwiązania i procedury, które pozwolą szybko zidentyfikować incydent i na niego zareagować. Ważne jest także, aby zarówno kierownictwo, jak i personel podmiotu potrafili rozpoznać, że konkretne zdarzenie może stanowić naruszenie ochrony danych osobowych, oraz wiedzieli, komu w organizacji należy taką informację przekazać do dalszej oceny (i że należy ją przekazać niezwłocznie).

Jakie kroki powinniśmy podjąć po zarejestrowaniu incydentu i ile mamy na to czasu?

Administrator powinien w każdym przypadku stwierdzenia incydentu ocenić ryzyko dla osób fizycznych związane z danym naruszeniem ochrony danych osobowych. Jednocześnie powinien podjąć działania zaradcze w celu zniwelowania lub ograniczenia skutków naruszenia ochrony danych. W praktyce powinno to oznaczać, że wszelkie informacje dotyczące potencjalnego naruszenia powinny w ramach organizacji administratora zostać niezwłocznie przekazane osobie/osobom wyznaczonym do reagowania na incydenty, osoby te zaś powinny dokonać odpowiedniej oceny i podjąć działania zaradcze.

Administrator powinien bez zbędnej zwłoki, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłosić je do organu nadzorczego, chyba że oceni, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. Powinien także ocenić, czy zaistniały przesłanki zawiadomienia osób, których danych osobowych dotyczy naruszenie, tj. czy ryzyko to jest na poziomie wysokim, i ewentualnie – bez zbędnej zwłoki – dokonać takiego zawiadomienia.

Organem nadzorczym w Polsce, do którego administrator powinien dokonać zgłoszenia, jest prezes Urzędu Ochrony Danych Osobowych. Należy jednak pamiętać, że jeżeli w grupie kapitałowej został wybrany wiodący organ nadzorczy inny niż PUODO, to może się okazać, że zgłoszenia należy dokonać do takiego wiodącego organu nadzorczego.

Inaczej wygląda sytuacja w przypadku podmiotu pełniącego rolę tzw. podmiotu przetwarzającego, który dowie się, że nastąpiło naruszenie ochrony danych osobowych. Podmioty przetwarzające nie zawiadamiają PUODO, mają natomiast obowiązek zgłosić naruszenie administratorowi niezwłocznie po jego stwierdzeniu. Termin na dokonanie zgłoszenia jest zazwyczaj ustalony w umowie powierzenia przetwarzania.

Przepisy RODO nie wskazują, jak ustalić moment, w którym dochodzi do „stwierdzenia" naruszenia ochrony danych osobowych. Wskazówki w tym zakresie znajdujemy ponownie w ww. wytycznych Grupy Roboczej Art. 29 (obecnie EROD), zgodnie z którymi stwierdzenie wystąpienia naruszenia następuje w momencie, w którym administrator „...uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych". Wydaje się, że odwołanie do „ujawnienia danych" należy traktować jedynie jako przykład możliwego naruszenia ochrony danych osobowych.

Stwierdzenie wystąpienia naruszenia ochrony danych osobowych za każdym razem zależy od okoliczności, w jakich doszło do naruszenia. Nie zawsze będzie to od razu oczywiste i łatwe do stwierdzenia. Dlatego Grupa Robocza Art. 29 dopuściła możliwość zbadania incydentu w celu ustalenia, czy nastąpiło naruszenie ochrony danych osobowych. Takie badanie należy jednak przeprowadzić szybko. Jeżeli badanie wymaga więcej czasu, administrator może rozważyć dokonanie do PUODO tzw. zgłoszenia wstępnego, a dalsze informacje zgłaszać uzupełniająco po uzyskaniu pozostałych wyników badania. W razie wątpliwości, czy naruszenie nastąpiło, Grupa Robocza Art. 29 zaleca zawiadomienie organu nadzoru. Może to wpłynąć na obniżenie wysokości ewentualnej kary, którą organ nadzorczy może nałożyć za naruszenie przepisów RODO.

Niezależnie od ewentualnej konieczności zawiadomienia PUODO lub osób fizycznych dotkniętych naruszeniem administrator powinien podjąć działania, które ograniczą skalę incydentu i przywrócą stan sprzed naruszenia. Wszelkie działania i informacje związane z procedurą stwierdzania i reagowania na incydenty powinny być dokumentowane, by w razie konieczności móc taką dokumentację przedstawić organowi nadzoru.

Czy reakcja firmy na incydent powinna być zawsze taka sama?

W zasadzie tak. Administrator powinien w każdym przypadku ocenić ryzyko dla osób fizycznych związane z danym naruszeniem ochrony danych osobowych i podjąć działania zaradcze mające na celu zniwelowanie lub ograniczenie skutków naruszenia.

Jeśli administrator oceni, że naruszenie ochrony danych wiąże się z większym niż małe prawdopodobieństwem naruszenia praw i wolności osób fizycznych, powinien zawiadomić organ nadzorczy (PUODO), na co ma 72 godziny od stwierdzenia naruszenia. W razie opóźnienia powinien wyjaśnić organowi jego przyczyny.

Jeśli administrator oceni, że zaistniałe naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, powinien zawiadomić o naruszeniu także osoby fizyczne, aby umożliwić im podjęcie działań zapobiegawczych (np. ograniczenie ryzyka kradzieży tożsamości). Wcześniej powinien jednak ocenić, czy nie zachodzą przesłanki wyłączające konieczność zawiadamiania osób fizycznych.

Każdy przypadek naruszenia ochrony danych osobowych, niezależnie od tego, czy wymaga zgłoszenia do organu lub zawiadomienia osób fizycznych, powinien być dokumentowany przez administratora, z uwzględnieniem okoliczności naruszenia, jego skutków i podjętych działań zaradczych.

Jak ocenić wpływ incydentu na osoby, których dane zostały ujawnione?

Trzeba się zawsze zastanowić, co dane naruszenie ochrony danych osobowych może oznaczać dla osoby, której danych dotyczy naruszenie. W szczególności należy rozważyć, czy naruszenie może skutkować powstaniem uszczerbku fizycznego albo szkód majątkowych lub niemajątkowych u osób fizycznych. Przykładem takich szkód może być utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową, a także wszelkie inne znaczne szkody gospodarcze lub społeczne.

Czy spółka giełdowa powinna wysłać raport bieżący o zaistnieniu incydentu?

Każdy incydent dotyczący naruszenia ochrony danych osobowych powinien zostać oceniony pod kątem spełniania przesłanek informacji poufnej w rozumieniu rozporządzenia MAR, czyli rozporządzenia UE nr 596/2014 z 16 kwietnia 2014 r. w sprawie nadużyć na rynku. Można przyjąć, że w praktyce tylko zdarzenia o najwyższej wadze i skali będą spełniać kryteria informacji poufnej MAR, aczkolwiek wiele zależy od rodzaju działalności prowadzonej przez emitenta i tego, na ile istotnym czynnikiem w jej wykonywaniu są dane osobowe. Dlatego trudno o generalną odpowiedź na to pytanie, a każdy przypadek będzie musiał zostać przeanalizowany osobno. Uważamy, że procedury spółki giełdowej dotyczące raportowania MAR powinny obejmować swym zakresem również incydenty z zakresu danych osobowych.

Jeżeli spółka uzna zdarzenie za informację poufną MAR, będzie zobowiązana niezwłocznie przekazać ją rynkowi. W tym przypadku termin 72 godzin wydaje się zbyt długi i upublicznienie takiej informacji powinno mieć miejsce wcześniej. Trzeba jednak pamiętać, że rozporządzenie MAR daje spółkom giełdowym możliwość opóźnienia publikacji informacji poufnej MAR. Powstaje tu jednak pytanie, czy możliwość ta nie będzie ograniczona albo wyłączona ze względu na obowiązek zawiadomienia PUODO, a zwłaszcza osób, których danych naruszenie dotyczy. Kwestia ta wymaga odrębnej analizy.

Jaką dokumentację firma powinna posiadać po zarządzeniu incydentem?

Każdy administrator sam decyduje, jak dokumentować naruszenia ochrony danych osobowych. Rejestr naruszeń powinien zawierać informacje dotyczące okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Wskazane jest także dokumentowanie uzasadnień decyzji podjętych w związku z zaistnieniem naruszenia, w tym dotyczących niezgłaszania naruszenia organowi nadzoru.

Zasadne jest też wyciągnięcie wniosków z zaistniałego naruszenia i podjęcie działań, które ograniczyłyby powtórzenie naruszenia w przyszłości (np. weryfikacja stosowanych procedur, zwiększenie świadomości personelu).

Jak zachęcić pracowników do zgłaszania incydentów?

Przede wszystkim konieczne są akcje uświadamiające pracownikom, czym są incydenty dotyczące ochrony danych osobowych, z czym się wiążą i jakie mogą mieć skutki. Pracownicy powinni umieć rozpoznać sytuacje naruszenia ochrony danych osobowych i wiedzieć, jak na nie szybko reagować. Powinni znać procedury obowiązujące w tym zakresie w zakładzie pracy, a pracodawca może rozważyć odebranie od nich oświadczenia o zapoznaniu się z ich treścią.