Baza wiedzy
Naruszenie ochrony danych osobowych – czy obawy administratorów przed dokonywaniem zgłoszeń są uzasadnione?
Realizacja obowiązku zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych („Prezes UODO”) jest jednym z tych obowiązków wynikających z RODO, które w praktyce sprawiają administratorom najwięcej praktycznych trudności. Artykuł 33 RODO dopuszcza bowiem możliwość odstąpienia od tego obowiązku, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Oceny takiego prawdopodobieństwa zobowiązani są dokonywać administratorzy, co w świetle mnogości rodzajów naruszeń powoduje istotne problemy. Zwłaszcza, że czas na dokonanie zgłoszenia jest ograniczony – zasadniczo są to bowiem 72 godziny.
1. Czym jest naruszenie ochrony danych osobowych?
Zgodnie z art. 4 ust. 12 termin „naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przyjęło się, że naruszenia ochrony danych osobowych można podzielić na trzy kategorie, tj.:
naruszenie poufności, które polega na ujawnieniu danych osobowych nieuprawnionej osobie;
naruszenie dostępności, które polega na czasowej bądź trwałej utracie lub zniszczeniu danych osobowych;
naruszenie integralności, które polega na zmianie treści danych osobowych w sposób nieautoryzowany.
Z powyższego wynika więc wniosek, że nie każde naruszenie przepisów RODO będzie zawsze stanowiło naruszenie ochrony danych osobowych. Przykładowo, w art. 30 RODO zawarty został obowiązek prowadzenia przez administratorów danych osobowych rejestru czynności przetwarzania danych osobowych. Brak prowadzenia takiego rejestru niewątpliwie stanowi naruszenie obowiązków wynikających z RODO, ale takie zaniechanie samo w sobie nie stanowi naruszenia ochrony danych osobowych.
2. Obowiązek notyfikowania naruszeń do Prezesa UODO
Obowiązek zgłaszania naruszeń do właściwych organów nadzorczych wynika z art. 33 ust. 1 RODO, który stanowi, że: „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”.
Administratorom danych dostarcza wiele trudności i wątpliwości ocena czy dane zdarzenie należy kwalifikować jako naruszenie podlegające zgłoszeniu do właściwego organu nadzoru (tj. czy zachodzi małe prawdopodobieństwo naruszenia praw i wolności osób fizycznych). Przeprowadzenie rzetelnej analizy ryzyka wymaga przede wszystkim przyjęcia w organizacji odpowiedniej metodologii pozwalającej na dokonanie właściwej oceny, a co za tym idzie takie odpowiedniego zaangażowania czasowego.
Jak pokazują wyniki analizy przeprowadzonej przez Związek Firm Ochrony Danych Osobowych1, średnio około 60% naruszeń nie jest zgłaszana do Prezesa UODO. Badanie to co prawda było przeprowadzane w okresie, kiedy RODO dopiero zaczynało obowiązywać, a od tego czasu świadomość administratorów w zakresie obowiązków wynikających z RODO znacznie wzrosła, jednak jak pokazuje praktyka – problem związany z brakiem realizacji obowiązku, o którym mowa w art. 33 ust.1 RODO wciąż jest aktualny.
Wciąż wielu administratorów obawia się przed prowadzeniem jakiejkolwiek komunikacji z organem nadzoru, a tym bardziej w sytuacji, w której niejako należy „przyznać się” do nieprawidłowości w organizacji, które doprowadziły do naruszenie bezpieczeństwa. Często można spotkać się z opinią, że zgłoszenie naruszenia z pewnością wiązać będzie się z kontrolą ze strony organu nadzoru.
3. Przegląd najnowszych decyzji Prezesa UODO
Z opublikowanego Sprawozdania z działalności Prezesa UODO w roku 20232 wynika, że Prezes UODO w minionym roku przeprowadził jedynie trzy postępowania kontrolne w związku ze zgłoszonymi przez administratorów naruszeniami ochrony danych. Warto tutaj podkreślić, że liczba wszystkich zgłoszeń naruszeń ochrony danych osobowych wyniosła 14 069. Wszczynanie postępowań kontrolnych przez Prezesa UODO w wyniku dokonania zgłoszenia przez administratora stanowi zatem wyjątek od reguły.
Przykładem decyzji, w ramach której Prezes UODO zdecydował się na nałożenie kary pieniężnej na administratora mimo spełnienia przez niego obowiązku z art. 33 ust. 1 RODO jest decyzja Prezesa UODO z dnia 20 grudnia 2023 r.3. Były Minister Zdrowia opublikował w serwisie społecznościowym X (dawniej Twitter) wpis zawierający informację na temat lekarza, który wystawił receptę „pro auctore” na lek z grupy psychotropowych i przeciwbólowych. W związku z ww. wydarzeniem, do Prezesa UODO wpłynęło najpierw wstępne zgłoszenie naruszenia ochrony danych osobowych dokonane przez Ministra Zdrowia, a następnie zgłoszenie uzupełniające. W wyniku otrzymanego zgłoszenia Prezes UODO zwrócił się do administratora o dalsze wyjaśnienia, a następnie w związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz wyjaśnieniami złożonymi przez administratora wszczął z urzędu postępowanie administracyjne.
Ostatecznie Prezes UODO wydał decyzję, w ramach której nałożył na Ministra Zdrowia administracyjną karę finansową w wysokości 100 tysięcy złotych, stwierdzając naruszenie:
art. 6 ust. 1 oraz art. 9 ust. 1 RODO, polegające na niezgodnym z prawem przetwarzaniu danych osobowych, w tym danych szczególnej kategorii, poprzez ich pozyskanie z Elektronicznej Platformy oraz opublikowanie na platformie społecznościowej X bez podstawy prawnej;
art. 24 ust. 1, art. 25 ust 1 oraz art. 32 ust. 1 i 2 RODO, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy wykorzystaniu Elektronicznej Platformy, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym;
art. 34 ust. 2 w związku z art. 33 ust. 3 RODO, polegające na nieprzedstawieniu osobie, której dane naruszono informacji, o których mowa w art. 33 ust. 3 lit. c) i d) RODO, to jest opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Powyższy przykład tym bardziej potwierdza, że wszczynanie postępowań kontrolnych przez Prezesa UODO w wyniku dokonania zgłoszenia, o którym mowa w art. 33 ust. 1 RODO, ma miejsce w wyjątkowych przypadkach (np. gdy naruszenie dotyczy tzw. danych szczególnej kategorii).
Znacznie więcej kontroli ze strony Prezesa UODO i decyzji administracyjnych nakładających kary pieniężne dotyczy przypadków, w ramach których administratorzy nie decydują się na dokonanie zgłoszenia w trybie art. 33 ust. 1, mimo że nie zachodziły przesłanki pozwalające na odstąpienie od takiego obowiązku, a organ dowie się o naruszeniu z innych źródeł (np. od osoby dotkniętej naruszeniem).
Przykładem jednej z nowszych decyzji, w ramach której Prezes UODO nałożył administracyjną karę pieniężną za naruszenie art. 33 ust. 1 RODO, jest decyzja wydana wobec Stowarzyszenia „Maraton”4. W tym przypadku naruszenie ochrony danych osobowych polegało na udostępnieniu na profilu Stowarzyszenia na portalu Z., listy uczestników zawodów sportowych zawierającej nadmiarowe dane osobowe osób biorących udział w tych zawodach. Prezes UODO dowiedział się o powyższym naruszeniu w wyniku otrzymania pisma od członka rodziny osób, których dane osobowe zostały objęte tym naruszeniem.
W toku postępowania wyjaśniającego, Prezes UODO próbował m.in. ustalać czy w związku z ww. zdarzeniem dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. Wobec braku uzyskania wyczerpującej odpowiedzi Prezes UODO wszczął wobec Stowarzyszenia postępowanie administracyjne w sprawie naruszenia przez Administratora przepisu art. 33 ust. 1 RODO.
Ostatecznie Prezes UODO ustalił, że Stowarzyszenie nie dokonało analizy ryzyka naruszenia w celu jego zgłoszenia. Doszedł także do wniosku, że „[u]jawnienie takich danych nie jest co prawda związane z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (a co za tym idzie, Stowarzyszenie nie miało obowiązku zawiadomić o naruszeniu osób, których dane dotyczą, zgodnie z art. 34 rozporządzenia 2016/679), tym niemniej nie jest to równoznaczne z brakiem ryzyka jako takiego – stąd zaistniała konieczność zawiadomienia Prezesa UODO o naruszeniu ochrony danych osobowych”. W tym miejscu warto jednak zauważyć, że zgodnie z art. 33 ust. 1 RODO, przesłanką do odstąpienia od obowiązku zgłoszenia naruszenia jest małe prawdopodobieństwo naruszenia praw i wolności osób fizycznych, nie zaś jego „brak”.
W decyzji zostało także wskazane, że bez wpływu na ocenę ryzyka naruszenia praw lub wolności osób fizycznych, związanego z zaistniałym zdarzeniem, pozostaje fakt, że po otrzymaniu przez Stowarzyszenie jednego z pism w ramach postępowania wyjaśniającego, niezwłocznie usunięto listę startową. Zdaniem Prezesa UODO, „[s]amo dokonanie czynności wskazanych przez Stowarzyszenie nie daje zatem żadnych gwarancji, że dane osobowe uczestników zawodów sportowych zostały usunięte ze wszystkich możliwych nośników danych i że nie zostaną one w przyszłości wykorzystane przez osoby nieuprawnione”.
Przykład powyższej decyzji pokazuje, jak kluczowe z perspektywy zapewnienia zgodności z przepisami RODO jest należyte przeprowadzenie procesu analizy ryzyka danego naruszenia. Administratorzy powinni w szczególności zadbać, aby proces oceny danego naruszenia dokonywany był z uwzględnieniem konkretnych okoliczności dotyczących danego naruszenia (np. z uwzględnieniem wielkości szkody, jaką dane naruszenie może spowodować czy charakteru i wrażliwości danych osobowych związanych z naruszeniem).
4. Podsumowanie
Pomimo przeświadczenia wielu administratorów, że dokonanie zgłoszenia naruszenia ochrony danych do organu nadzorczego zazwyczaj wiąże się z wszczęciem kontroli – twierdzenie takie nie znajduje potwierdzenia w rzeczywistości. Przykładowo, w 2023 r. Prezes UODO przeprowadził jedynie trzy postępowania kontrolne w związku ze zgłoszonymi przez administratorów naruszeniami ochrony danych, natomiast liczba wszystkich zgłoszeń naruszeń ochrony danych osobowych wyniosła 14 069.
Należy jednocześnie przypomnieć, że zgodnie z art. 83 ust. 4 lit. a) RODO, administratorzy, którzy naruszą obowiązek dokonania zgłoszenia naruszenia ochrony danych (mimo, że nie zachodzą przesłanki pozwalające na odstąpienie od tego obowiązku) narażają się na nałożenie administracyjnej kary pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
______________________________
1Raport Związku Firm Ochrony Danych Osobowych, Incydenty ochrony danych osobowych (https://www.zfodo.org.pl/wp-content/uploads/2020/02/raport_zfodo_naruszenia-16.02.20.pdf; dostęp: 23.10.2024).
2Urząd Ochrony Danych Osobowych, Sprawozdania z działalności Prezesa Urzędu Ochrony Danych Osobowych w roku 2023 (https://uodo.gov.pl/pl/487/2279; dostęp: 23.10.2024r.)
3Decyzja PUODO z 20.12.2023 r., DKN.5131.32.2023, LEX nr 3646392.
4Decyzja PUODO z 30.04.2024 r., DKN.5131.58.2022, LEX nr 3714067.
_______
Autor artykułu
