Administrator danych powinien przeprowadzić dokładną analizę ryzyka wystąpienia naruszeń ochrony danych osobowych, biorąc pod uwagę takie czynniki, jak:

  • liczba osób, których dane zostały naruszone,
  • rodzaj ujawnionych informacji,
  • potencjalne zagrożenia dla osób, których dane dotyczą.

Nawet w przypadku wątpliwości lepiej zgłosić incydent do UODO, niż ryzykować zapłatę kary. Takie otwarte podejście do organu nadzorczego i wyjaśnienie wszelkich okoliczności incydentu może złagodzić ewentualne konsekwencje. Brak transparentności najczęściej działa na niekorzyść przedsiębiorstwa podczas postępowania wyjaśniającego.

Poważne konsekwencje niezgłoszenia naruszenia ochrony danych osobowych

Za brak zgłoszenia naruszenia lub opieszałość w tym zakresie UODO może nałożyć kary sięgające nawet 10 milionów euro lub 2 proc. całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Co więcej, jeśli organ dowie się o naruszeniu z innych źródeł, np. z mediów lub od osób trzecich, ryzyko nałożenia kary jest jeszcze wyższe. Aż 1,44 mln zł administracyjnej kary pieniężnej organ nałożył ostatnio na jeden z banków za to, że ten nie zgłosił naruszenia ochrony danych osobowych po utracie przesyłki z dokumentami zawierającej dane osobowe 158 osób (została ona skradziona firmie kurierskiej). Według UODO takie działanie stanowiło zaniedbanie. Choć bank argumentował, że przesyłka została odnaleziona przez konkretną osobę, która zawiadomiła o tym policję i oświadczyła, że nie zrobiła żadnej kopii odnalezionych danych, to UODO uznał, że istniało wysokie ryzyko wykorzystania danych do celów przestępczych przez inne osoby, które potencjalnie również mogły się zapoznać z zawartością skradzionych plików. A znajdowały się w nich m.in. takie dane identyfikacyjne, jak numer PESEL, numer i seria dokumentu tożsamości, numery rachunków bankowych, dane dotyczące posiadanego majątku.

Inny przypadek z ostatnich miesięcy dotyczył instytucji finansowej, która zgłosiła naruszenie danych osobowych po prawie 1,5 roku od wystąpienia incydentu. Skarga klientki ujawniła, że jej dane osobowe zostały wysłane do niewłaściwego odbiorcy. Choć administrator wiedział o zdarzeniu i przeprowadził wewnętrzną ocenę ryzyka naruszenia, dopiero interwencja UODO, który skierował do niego pytania o zdarzenie, skłoniła go do zgłoszenia incydentu. Opóźnienie instytucja finansowa uzasadniała zmianą zasad dokonywania oceny ryzyka wystąpienia naruszenia praw lub wolności osób fizycznych przez organ nadzorczy. W rezultacie organ uznał opóźnienie za poważne naruszenie przepisów i nałożył na firmę karę w wysokości 78 575 zł za zgłoszenie naruszenia po wymaganym terminie. Nie bez znaczenia pozostawało również to, że administratorem danych osobowych była instytucja finansowa, na której ciążyły podwyższone obowiązki ochrony danych osobowych.

Najwyższą karę w ub.r. UODO wymierzył jednemu z największych banków w Polsce. Było to 4,05 mln zł. Bank nie zawiadomił klientów o wycieku ich danych, które trafiły do innej instytucji finansowej. Ta, w opinii banku, była jej zaufanym podmiotem, zobowiązanym do przestrzegania tajemnicy bankowej. Administrator uznał, że przekazanie informacji właśnie do takiego zaufanego podmiotu nie stwarza ryzyka dla poszkodowanych, i dlatego nie powiadomił ich o incydencie. UODO jednak nie zgodził się z tą oceną, wskazując, że brak powiadomienia mógł prowadzić do poważnych konsekwencji dla osób, których dane zostały ujawnione. Warto zaznaczyć, że w przypadku tego typu naruszenia maksymalna kara, jaką mógł wymierzyć organ, mogła przekroczyć 300 mln zł.

Jak uniknąć problemów?

Aby uniknąć wysokich kar za naruszenie ochrony danych osobowych, przedsiębiorcy powinni stosować się do kilku podstawowych zasad.

Trzeba zachować ostrożność i zgłaszać naruszenia – w przypadku jakichkolwiek wątpliwości co do ryzyka naruszenia, lepiej zgłosić incydent niż ryzykować zapłatę kary. Zgłoszenie naruszenia może pomóc w szybkim podjęciu działań naprawczych.

Jasne procedury postępowania – należy opracować krok po kroku plan dla załogi, z którego będzie wynikać, co należy zrobić w przypadku wykrycia incydentu: od ustalenia, jakiego rodzaju dane wyciekły, przez ocenę ryzyka, aż po kontakt z Urzędem Ochrony Danych Osobowych. Tym samym trzeba zadbać, by pracownicy wiedzieli, kogo natychmiast powiadomić w razie incydentu (np. wyznaczonego inspektora ochrony danych, przełożonego, dział IT).

Dokładna analiza ryzyka – każde naruszenie danych powinno być oceniane pod kątem zagrożenia dla praw osób fizycznych. Administratorzy powinni uwzględnić liczbę poszkodowanych osób, rodzaj danych oraz możliwe konsekwencje.

Konieczna jest szybka reakcja – terminowe zgłoszenie naruszenia (w ciągu 72 godzin) jest kluczowe. Pozwala to UODO podjąć odpowiednie działania zabezpieczające, np. zablokować wykorzystanie danych.

Wstępne zgłoszenie incydentu – jeśli administrator nie jest w stanie zgłosić wszystkich szczegółów w terminie, dobrze jest zgłosić incydent wstępnie i później uzupełnić zgłoszenie.

Powiadomienie osób poszkodowanych, jeśli jest to konieczne – oprócz zgłoszenia do UODO administrator może być zobowiązany przez organ również do poinformowania osób, których dane zostały naruszone. Musi przekazać im wówczas jasną i zrozumiałą instrukcję, co mogą zrobić, by chronić się przed ewentualnymi nadużyciami (np. zastrzec numer PESEL, zachować szczególną ostrożność przy otwieraniu podejrzanych wiadomości e-mail itp.).

Prowadzenie rejestru naruszeń – niezależnie od tego, czy administrator danych zgłasza incydent do UODO, czy nie, musi prowadzić rejestr naruszeń. Dzięki niemu łatwiej będzie udokumentować, że podjął wszelkie niezbędne działania. Systematyczne prowadzenie rejestru umożliwi także analizę przyczyn wystąpienia naruszenia i wdrożenie działań naprawczych. ©℗

UODO radzi: do oceny ryzyka trzeba podchodzić racjonalnie, ale i krytycznie

UODO podkreśla, że trzeba zachować szczególną ostrożność w tzw. przypadkach pośrednich kwalifikujących się na pograniczu prawdopodobieństwa wystąpienia naruszenia praw lub wolności osób fizycznych. Wówczas sytuacje, w których nie ma obowiązku poinformowania organu nadzorczego, należy traktować jako wyjątek. Występują one wyłącznie wtedy, gdy przeprowadzona ocena ryzyka pozwoli uznać, że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych.

Zgłoszenie do UODO jest już obowiązkowe, gdy naruszenie danych może spowodować ryzyko dla praw i wolności osób fizycznych, takich jak np.:

złośliwe wykorzystanie danych w celach przestępczych. ©℗