Pytanie o sankcje było jedną z wielu wątpliwości zgłoszonych przez uczestników webinarium. Przedstawiciel UODO wyjaśniał, że organ nie nakłada kar administracyjnych za same incydenty, np. wyciek danych, tylko za naruszenia RODO.

Naruszenie RODO a naruszenie ochrony danych osobowych

- Z powodu naruszenia RODO może dochodzić do naruszenia ochrony danych osobowych. RODO nie tworzy jednak mechanizmu, żeby karać za samo naruszenie ochrony danych – mówił przedstawiciel urzędu. Dodał, że samo zgłoszenie naruszenia nie przesądza o winie administratora lub podmiotu przetwarzającego. - Poradnik nie wprowadza zaostrzenia stanowiska prezesa UODO, lecz ujednolica i standaryzuje dotychczasowe wymagania – stwierdził.

Najwięcej pytań dotyczyło tego, jakie naruszenia zgłaszać urzędowi. Zgodnie z RODO zasadą jest zgłoszenie naruszenia ochrony danych bez zbędnej zwłoki, chyba że jest „mało prawdopodobne”, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1). Natomiast poradnik UODO mówi, że zgłoszenia nie wymagają naruszenia „w przypadku których ryzyko prawdopodobnie nie wystąpi”. Stwierdza też, że brak obowiązku zgłoszenia to wyjątkowe sytuacje i administratorzy muszą być w stanie „wykazać brak ryzyka”.

Bartłomiej Kowalski wyjaśniał, że organ woli posługiwać się określeniem, że „ryzyko nie jest prawdopodobne”, niż „małe prawdopodobieństwo, by naruszenie skutkowało ryzykiem”, gdyż to drugie może być mylące i prowadzić do błędnego przekonania o braku obowiązku zgłoszenia przy niskim ryzyku. - W wyjątku RODO nie występuje kategoria niskiego ryzyka. Małe prawdopodobieństwo to brak realnych szans na wystąpienie ryzyka – podkreślał.

Czy zgubiony telefon to naruszenie, które trzeba zgłaszać do UODO?

Przedstawiciel UODO nie podał uniwersalnych kryteriów pozwalających jednoznacznie zidentyfikować naruszenia, przy których ryzyko nie jest prawdopodobne. - Nie widzę możliwości, żeby to dokładniej wyjaśnić. Zawsze będą sytuacje graniczne – przyznał też dr Mirosław Gumularz, przewodniczący Społecznego Zespołu Ekspertów przy prezesie UODO.

Bartłomiej Kowalski radził, aby w sytuacjach granicznych z ostrożności zgłosić naruszenie. Przeanalizował pod tym kątem przykład podany przez uczestnika webinarium: pracownik zgubił służbowy telefon z dostępem do służbowej skrzynki e-mail.

Z naruszeniem ochrony danych osobowych mamy do czynienia, gdy zdarzenie jest incydentem bezpieczeństwa, dotyczy przetwarzanych danych osobowych i może doprowadzić do ich nieuprawnionego zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu do nich. Zgubienie telefonu spełnia pierwszy warunek, a jeśli w skrzynce e-mail lub pamięci urządzenia były dane osobowe – także drugi. Wątpliwości budzi trzecia przesłanka.

- Jeżeli telefon nie był zabezpieczony lub był słabo zabezpieczony i mógł wpaść w niepowołane ręce, to mogło dojść do nieuprawnionego dostępu do danych – stwierdził przedstawiciel UODO. Dodał, że jako administrator w takiej sytuacji zgłosiłby naruszenie.

... a gdy telefon się znajdzie?

Jak postąpić, jeśli po dokonaniu zgłoszenia znaleziono telefon i nie ma logów świadczących o udanej próbie odblokowania go i dostępu do danych?

- Tutaj nie ma prostych ścieżek i zero-jedynkowych sytuacji. To kwestia wyczucia – zastrzegł Bartłomiej Kowalski. - Administrator najlepiej będzie wiedział, czy brak logów oznacza, że nikt nie miał dostępu do danych. Może ktoś usunął logi? - zastanawiał się. Zaznaczył, że często nie sposób ustalić, czy mogło dojść do nieuprawnionego dostępu do danych. Jeśli np. pracownik zostawi teczkę z dokumentami zawierającymi dane osobowe na ławce w parku, gdzie nie ma monitoringu, a po jakimś czasie odnajdzie ją tam w stanie wyglądającym na nienaruszony – to nie wiadomo, czy w międzyczasie ktoś do niej zajrzał.

- Ja bym w takim wypadku zgłosił naruszenie, z ostrożności – wskazywał Bartłomiej Kowalski. Administrator może być jednak przekonany, że nikt nie miał dostępu do tych danych – i nie zgłosi naruszenia. Tymczasem może okazać się, że się pomylił, ryzyko się zmaterializuje i ktoś zgłosi skargę na skutki niezgłoszonego naruszenia. – To może być podstawą do podjęcia dalszych kroków przez prezesa UODO, łącznie z karą pieniężną – ostrzegł przedstawiciel urzędu.

Mirosław Gumularz zastrzegł, że nawet przy należytej staranności trudno ściśle oszacować prawdopodobieństwo ryzyka. - Jak ryzyko się jednak zmaterializuje, to niekoniecznie świadczy o tym, że administrator źle ocenił to prawdopodobieństwo – stwierdził.