Opublikowana w minionym tygodniu nowa wersja poradnika Urzędu Ochrony Danych Osobowych dotyczącego naruszeń ochrony danych osobowych przynajmniej dla części administratorów może oznaczać konieczność przeglądu dotychczasowych procedur. Bez wątpienia zwiększy też liczbę zgłoszeń dotyczących incydentów bezpieczeństwa.

rozwiń

Incydent bezpieczeństwa a naruszenie ochrony danych osobowych

UODO zwraca uwagę, że naruszenie ochrony danych osobowych jest szczególnym przypadkiem incydentu bezpieczeństwa. Jak wskazuje w wielu miejscach poradnika, nie jest tak, że każdy incydent dotyczący bezpieczeństwa informacji jest naruszeniem ochrony danych osobowych. Naruszeniem jest incydent, który dotyczy przetwarzanych danych osobowych oraz prowadzi do ich nieuprawnionego zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu do nich. Urząd jednocześnie podaje sytuacje, gdy incydent bezpieczeństwa nie jest naruszeniem ochrony danych osobowych. Może nim być omyłkowe wysłanie e-maila zawierającego dane osobowe do niewłaściwego – ale uprawnionego – odbiorcy wewnątrz organizacji (zdarzenie nie prowadzi do nieuprawnionego ujawnienia danych osobowych). Oczywiście administrator będzie musiał „rozliczyć się” z tego, jak kwalifikuje zdarzenia jako incydenty bezpieczeństwa i kiedy przyjmuje, że dochodzi do naruszenia ochrony danych osobowych.

Naruszenie ochrony danych a naruszenie RODO

RODO w kontekście incydentów bezpieczeństwa posługuje się pojęciem „naruszenia ochrony danych osobowych”, czyli szczególnego przypadku incydentu bezpieczeństwa. Naruszenie ochrony danych osobowych może dotyczyć poufności (np. ujawnienie danych osobowych do osoby nieuprawnionej), integralności (zmiana danych przez osobę nieuprawnioną) czy dostępności (np. utrata danych).

Może to sugerować, że chodzi o zdarzenia, które zawsze stanowią naruszenie RODO np. w związku z brakiem odpowiednich zabezpieczeń. UODO w poradniku podkreśla jednak, że wystąpienie naruszenia ochrony danych osobowych nie zakłada automatycznie błędu administratora. Konsekwentnie zgłoszenie do UODO takiego zdarzenia nie oznacza, że doszło do naruszenia RODO i urząd będzie wyciągał konsekwencje. Przykładowo w poradniku wskazano, że działanie nawet najlepiej zabezpieczonych systemów informatycznych może zostać zakłócone przez nieprzewidziane zdarzenia, takie jak pomyłki, katastrofy naturalne czy zaawansowane ataki hakerskie.

Jest to bardzo ważne, ponieważ określenie „naruszenie ochrony danych osobowych” może sugerować (nawet w warstwie semantycznej), że jest to pojęcie tożsame z naruszeniem RODO. Oczywiście wystąpienie naruszenia może świadczyć o tym, że doszło do naruszenia RODO (np. ze względu na brak zastosowania właściwych metod szyfrowania).

Naruszenie czy możliwość naruszenia?

Co istotne, UODO kwalifikuje naruszenie ochrony jako coś, co (nie tylko narusza), ale też może naruszać poufność, integralność lub dostępność. Nie chodzi więc o to, czy faktycznie doszło do naruszenia poufności (np. wycieku), integralności czy dostępności, a o to, czy mogło do tego dojść. Czyli moment naruszenia to nie tylko sytuacja, gdy wiemy, że np. dane zostały ujawnione osobie nieuprawnionej, ale także wtedy, gdy wiemy, że mogło do tego dojść. Jest to istotne, bo moment stwierdzenia naruszenia uruchamia wiele obowiązków, m.in. kwalifikacji zdarzenia pod kątem zgłoszenia do UODO.

Jest to pozornie drobna kwestia, ale rodzi bardzo istotne konsekwencje. Już sama możliwość (jak wskazuje UODO na schemacie na s. 12) powinna uruchomić działanie m.in. w zakresie oceny ryzyka potencjalnych negatywnych konsekwencji. Należy zadać pytanie, czy nie jest to podejście dalej idące niż wskazanie Europejskiej Rady Ochrony Danych, która w wytycznych dotyczących zgłaszania naruszeń (9/2022) utożsamia moment stwierdzenia naruszenia z dostateczną pewnością co do tego, że doszło do utraty poufności, integralności lub dostępności danych (zob. np. przykład na s. 13). Jak się zdaje, zwiększy to liczbę spraw, które będą zgłaszane do UODO. Z pewnością będzie to wyzwanie dla urzędu, aby tę zwiększoną ilość spraw „obsłużyć”. Jednocześnie da Urzędowi bardziej pełny obraz incydentów bezpieczeństwa występujących w naszym kraju.

Naruszenie ochrony danych osobowych a negatywne konsekwencje

UODO podkreśla w poradniku, że nie każde naruszenie ochrony danych osobowych musi lub może rodzić negatywne konsekwencje dla osób fizycznych. Może być tak, że pojawia się naruszenie, które mimo wszystko nigdy nie zrodzi ryzyka naruszenia praw lub wolności osób fizycznych (nie zrodzi negatywnych konsekwencji dla osób fizycznych). Te potencjalnie negatywne konsekwencje UODO identyfikuje w ramach trzech obszarów: uszczerbek fizyczny, szkody majątkowe, szkody niemajątkowe.

UODO dodatkowo zwraca uwagę, że do naruszenia ochrony danych osobowych dochodzi niezależnie od tego, czy niepożądane konsekwencje dla osoby fizycznej rzeczywiście wystąpią. Innymi słowy, nawet jeśli osoby fizyczne nie odczuły negatywnych konsekwencji zaistniałego naruszenia, administrator musi ocenić ryzyko, czy do tego dojdzie.

Niskie ryzyko czy jego brak?

Istotne jest także zaprezentowane w poradniku podejście do oceny ryzyka. Ogólnie rzecz biorąc, administrator po stwierdzeniu naruszenia ma obowiązek przeprowadzić ocenę ryzyka, aby ustalić, czy musi zawiadomić o tym naruszeniu UODO i powiadomić osoby, których to dotyczyło (jeżeli ryzyko jest wysokie). I tu się pojawia bardzo istotne stwierdzenie. UODO wskazuje trzy progi w ramach oceny ryzyka. Zdaniem UODO administratorzy muszą ustalić, czy naruszenie ochrony danych osobowych może wiązać się z:

brakiem ryzyka;

▪ ryzykiem, co wymaga zgłoszenia go prezesowi UODO;

▪ wysokim ryzykiem, co oznacza obowiązek zgłoszenia go prezesowi UODO oraz zawiadomienia osób, których dane dotyczą.

Oznacza to, że zdaniem UODO wystąpienie jakiegokolwiek ryzyka naruszenia praw lub wolności (czyli inna sytuacja niż brak ryzyka) zrodzi konieczność zgłoszenia naruszenia do UODO. Ujmując inaczej, tylko zupełny brak ryzyka naruszenia praw lub wolności (np. szkód majątkowych lub niemajątkowych) wyłącza obowiązek zgłoszenia zdarzenia do UODO. Jest to o tyle istotne, że wiele popularnych metodyk (np. ENISY) zdaje się wskazywać, że niskie ryzyko (a nie jego brak) wyłącza obowiązek złożenia zawiadomienia. Ujmując inaczej – zidentyfikowanie niskiego ryzyka nie wyłącza automatycznie obowiązku zgłoszenia zdarzenia do UODO.

Przykład

Laptop pracownika kliniki dentystycznej zawierający dane pacjentów został zgubiony. Urządzenie było zabezpieczone szyfrowaniem przy użyciu niezawodnej metody (przy ówczesnym stanie wiedzy technicznej), a klucz szyfrowania nie został utracony ani złamany. Ponadto klinika dysponowała kopią zapasową wszystkich informacji o pacjentach. W takim przypadku można było jednoznacznie stwierdzić brak ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Powyższe oznacza, że UODO restrykcyjnie wykłada art. 33 RODO. Zgodnie z treścią tego przepisu nie ma wymogu zgłoszenia naruszenia do UODO, jeżeli jest mało prawdopodobne, aby wystąpiło ryzyko naruszenia praw lub wolności.

Podobnie jak kwestia wskazana w pkt 3, także ten aspekt podejścia UODO z pewnością zwiększy liczbę zgłoszeń do urzędu, bo większa jest potencjalna pula zdarzeń wymagających zgłoszenia.

W praktyce będzie to wymagało przeglądu dotychczasowych dokumentacji ochrony danych osobowych. Obserwacja rynku wskazuje, że wiele organizacji przyjęło bardziej elastyczne podejście, że wystąpienie niskiego ryzyka (a więc czegoś więcej niż jego brak) nie rodzi obowiązku zgłoszenia naruszenia do UODO.

Dodatkowo należy zwrócić uwagę, że UODO podaje wiele przykładów dotyczących wysokiego ryzyka. Czyli progu wymagającego poinformowania osób, których dane są przetwarzane. Co ciekawe, kontrowersyjna kwestia dotycząca nr PESEL została nieco złagodzona. UODO podaje przykłady, gdy dopiero połączenie nr PESEL z innymi danymi rodzi wysokie ryzyko.

Rola inspektora ochrony danych a właściwe jej ograniczenie

UODO zwraca uwagę na to, jakie działania inspektorów ochrony danych (IOD) mogą być uznane za naruszające RODO w kontekście incydentów. Zgodnie z wytycznymi IOD nie powinni:

▪ zgłaszać naruszeń ochrony danych osobowych prezesowi UODO w imieniu administratorów ani podpisywać i wysyłać takich zgłoszeń;

▪ zawiadamiać w imieniu administratorów osób, których dane dotyczą, o naruszeniach ochrony danych osobowych;

▪ dokumentować naruszeń ochrony danych osobowych w imieniu administratorów (w szczególności jeśli wiązałoby się to z ustalaniem celów i sposobów przetwarzania danych osobowych albo określaniem działań zaradczych);

▪ podejmować zobowiązań dotyczących bezpieczeństwa przetwarzania w imieniu administratorów lub podmiotów przetwarzających;

▪ działać na podstawie pełnomocnictwa w sprawach dotyczących ochrony danych osobowych.

Powyższe podejście z pewnością musi zostać odnotowane przez administratorów, którzy powinni zweryfikować swoje wewnętrzne procedury dotyczące funkcji IOD.

Zaufany odbiorca

Bardzo dużo miejsca UODO poświęca pojęciu zaufanego odbiorcy. Jest to o tyle istotne, że ujawnienie danych do zaufanego odbiorcy może wyłączać obowiązek poinformowania o zdarzeniu UODO.

„Zaufany odbiorca” to podmiot, który przypadkowo otrzymał dane osobowe, ale dzięki dotychczasowej, pozytywnej współpracy z administratorem można uznać go za godny zaufania. Istnieje bowiem wystarczająca pewność, że zareaguje on na zdarzenie właściwie i przyczyni się do ograniczenia ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Aby stwierdzić, że nieuprawniony odbiorca danych jest „zaufany”, administratorzy muszą co najmniej:

▪ pozostawać z nim w stałych stosunkach (np. w bliskiej współpracy biznesowej lub wspólnej strukturze organizacyjnej);

▪ znać istotne szczegóły dotyczące odbiorcy (np. procedury bezpieczeństwa i historię dotychczasowej, pozytywnej współpracy w podobnych sytuacjach).

Zdaniem UODO każdy przypadek wymaga indywidualnej analizy i żadnego podmiotu nie można z góry uznać za „zaufanego odbiorcę”. Jest to bardzo ważne, ponieważ administratorzy często przyjmują, np. że każdy podmiot w sektorze publicznym jest potencjalnie zaufanym odbiorcą. Wskazane podejście wymagać będzie m.in. przeglądu zasad współpracy z poszczególnymi kategoriami kontrahentów. ©℗