Naruszenie ochrony danych osobowych
Naruszenie ochrony danych osobowych
Art. 4 pkt 12 RODO
„Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Kiedy mamy do czynienia z naruszeniem ochrony danych osobowych?
- musi nastąpić naruszenie bezpieczeństwa – umyślne lub nieumyślne
- efektem naruszenia bezpieczeństwa jest przypadkowe lub niezgodne z prawem:
- zniszczenie lub
- utracenie lub
- zmodyfikowanie lub
- nieuprawnione ujawnienie lub
- nieuprawniony dostęp lub
- danych osobowych
Wskazane powyżej elementy muszą wystąpić łącznie.
Administrator, jak i podmiot przetwarzający mają obowiązek wdrożyć w swojej organizacji (firmie) odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa odpowiadający temu ryzyku. Wybór środków technicznych i organizacyjnych powinien uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze (art. 32 ust. 1 RODO).
Bezpieczeństwo informacji, a więc zarówno danych osobowych, jak i nieosobowych, to zachowanie poufności, integralności i dostępności informacji. Naruszeniem ochrony danych osobowych jest więc sytuacja, w której zastosowane przez administratora lub podmiot przetwarzający środki zawodzą i dochodzi do naruszenia poufności danych osobowych, integralności danych osobowych lub dostępności danych osobowych.
Motyw 87 RODO
Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu.
Rodzaje naruszeń
- naruszenie dotyczące poufności danych – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
- naruszenie dotyczące integralności danych – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;
- naruszenie dotyczące dostępności danych – naruszenie, w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych[1]
Przykłady naruszenia poufności danych
- Pracownik administratora omyłkowo przesyła skan zawartej z klientem do osoby nieuprawnionej (błędny adres e-mail).
- Na stronie internetowej znajduje się formularz kontaktowy, z którego korzysta klient. Niestety strona internetowa nie jest zabezpieczona i komunikacja z klientem zostaje przechwycona przez osobę nieuprawnioną.
- Podczas podróży służbowej, pracownik zostawia teczkę wraz z dokumentacją zawierającą dane osobowe w pociągu.
- Wysłanie niezaszyfrowanej wiadomości zawierające dane pracowników dotyczących wysokości wynagrodzenia do osoby nieuprawnionej.
- Pozostawienie niezaszyfrowanego laptopa/ komórki w kawiarni.
- Ustne ujawnienie danych osobowych osobie nieuprawnionej.
Przykłady naruszenia integralności danych
- Pracownik omyłkowo zmienia nazwiska klientów bazie danych.
- Pomieszanie danych osobowych dwóch różnych klientów.
- Zainstalowanie złośliwego oprogramowania na komputerze, które spowodowało błędy w posiadanej dokumentacji
Przykłady naruszenia dostępności danych
- Pracownik nieumyślnie usuwa plik Excel zawierający dane osobowe pracowników, w tym informacje o wynagrodzeniach. Z uwagi na niewykonywanie w organizacji kopii zapasowych w organizacji, plik jest nie do odzyskania.
- Administrator korzysta z rozwiązań chmurowych w organizacji do prowadzenia projektów (wraz z pełną dokumentacją). W związku z nieopłaceniem faktury, usługodawca blokuje dostęp do narzędzia informatycznego.
- Pracownik otwiera niebezpieczny plik pdf dołączony do komunikacji elektronicznej, w efekcie czego dochodzi do zaszyfrowania komputera przy użyciu oprogramowania typu ransomware.
- Zgranie na szyfrowany pendrive jedynej bazy klientów, a następnie przypadkowe wyrzucenie pendrive do kosza.
- Brak możliwości zalogowania się do systemu zawierającego dane klientów przez dłuższy czas, np. 2 dni.
Motyw 85 RODO
Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.
Przykładowe skutki naruszenia ochrony danych osobowych:
- utrata kontroli nad własnymi danymi osobowymi
- ograniczenie możliwości realizowania praw, o których mowa w art. 15-22 RODO
- dyskryminacja
- kradzież lub sfałszowanie tożsamości
- strata finansowa
- nieuprawnione odwrócenie pseudonimizacji
- naruszenie dobrego imienia
- naruszenie poufności danych osobowych chronionych tajemnicą zawodową
[1] Wg Grupy Roboczej Art. 29, w: wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, przyjęte w dniu 3 października 2017 r., 18/PL, WP250rev.01 (online:) https://uodo.gov.pl/pl/file/1432 [dostęp:] 20.10.2020 r.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
- Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, przyjęte w dniu 3 października 2017 r., 18/PL, WP250rev.01 (online:) https://uodo.gov.pl/pl/file/1432 [dostęp:] 20.10.2020 r.
- Prezentacja PUODO, Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, wersja 1.0, czerwiec 2019 (online:) https://uodo.gov.pl/134 [dostęp: 20.10.2020 r.].
- Co stanowi naruszenie ochrony danych i co należy w takim przypadku zrobić? (online:) https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_pl#przykady [dostęp: 20.10.2020 r.]
- Lubasz, Naruszenie ochrony danych osobowych, w: Ochrona danych osobowych. Meritum, pod red. D. Lubasz, Warszawa 2020, s. 105-108.