Autor: Łukasz Kolatorski

Reklama

Naruszenie ochrony danych osobowych to coś, czego zapewne każdy Administrator, Podmiot Przetwarzający czy Inspektor Ochrony Danych, chcieliby uniknąć. Niestety jest wysoce prawdopodobne, iż patrząc przez pryzmat rozwoju nowych technologii i możliwości, jakie nam dają, nie unikniemy tego typu sytuacji. W przypadku naruszeń  ochrony danych osobowych należy sobie zadać pytanie nie „czy”, ale „kiedy” i „jak” do niego dojdzie oraz „kto” będzie za to odpowiedzialny; ewentualnie „jaka będzie skala naruszenia oraz skutków” dla osób, których dane dotyczą oraz dla organizacji.

Nawet jeśli jesteście organizacją o bardzo wysokiej kulturze bezpieczeństwa i strzeżecie swoich danych niczym najlepsze na świecie służby (celowo nazwy nie wymieniam, ponieważ każda z postrzeganych za najlepsze ma swoje plusy i minusy, więc to kwestia gustu, a o nim się nie dyskutuje), to i tak do wycieku danych i naruszenia u was doszło (gorzej, jeśli o tym nie wiecie) lub dojdzie (tu nie macie pewności kiedy, jak i kto). Można jednak przyjąć założenie, że będzie to wynikało z błędu ludzkiego (wewnątrz organizacji), celowego działania (ataku z zewnątrz, np. działania hakerów lub kradzież) lub w dalszej kolejności błędu systemowego (oprogramowania), przy czym katalog pozostawiam otwarty. Znane powiedzenie mówi, że „Polak potrafi”, a za naszą specjalność można uznać wyszukiwanie luk w systemie.

Stało się… i co teraz?

Pominę aspekt rozważań teoretycznych na temat samych naruszeń, ich genezy, podstaw i całej towarzyszącej im otoczki. Zajmiemy się natomiast zgłaszaniem naruszeń. Z reguły jest to bardzo proste. Wystarczy wejść na stronę Urzędu Ochrony Danych Osobowych i w zakładce dla Administratorów mamy link do artykułu: W jaki sposób powiadomić Prezesa UODO o naruszeniu. Mamy 4 możliwości zgłoszenia, a mianowicie:

  1. Elektronicznie, poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl, będącego odwzorowaniem formularza dostępnego w załączniku.
  2. Elektronicznie, poprzez wysłanie wypełnionego formularza na skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
  3. Elektronicznie, poprzez wysłanie wypełnionego formularza (dostępnego w załączniku poniżej) za pomocą pisma ogólnego, dostępnego na platformie biznes.gov.pl (Jak znaleźć Urząd w formularzu pisma ogólnego?) lub platformie epuap.gov.pl
  4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Dodatkowo, na stronie UODO znajdziemy potrzebne do wykonania zgłoszenia:

  1. Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego (WP 244 rew. 01);
  2. Zgłoszenie naruszenia ochrony danych osobowych – formularz alternatywny;
  3. Zgłoszenie naruszenia ochrony danych osobowych – formularz interaktywny.

Kolejny klickbajt?

W zasadzie w tym miejscu mógłbym zakończyć niniejszy artykuł, dodając, że pomocy możecie szukać w art. 33 i 34 RODO oraz motywach 85-88, ale z szacunku dla czytających tego nie zrobię. Przejdźmy zatem do analizy formularza.

  1. Typ zgłoszenia

Wskazujemy sygnaturę sprawy, przy okazji UODO sprawdza, czy mamy własny rejestr naruszeń. Określamy zgłoszenie jako kompletne, wstępne lub uzupełniające w zależności od okoliczności sprawy – informacje o naruszeniu możemy przekazywać stopniowo. Ponadto możemy poinformować, czy zgłoszenie miało miejsce dodatkowo w innym państwie oraz czy wymagane było poinformowanie innych organów, np. Policji czy któregoś z resortowych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego.

  1. Podmiot zgłaszający

W dostępnych polach wpisujemy dane rejestrowe administratora zgłaszającego sprawę – chodzi o dane z KRS lub CEIDG oraz dane kontaktowe – w tym dane pełnomocnika i inspektora ochrony danych osobowych, jeśli został wyznaczony (tu UODO od razu sprawdzi, czy powołaliśmy IODa, gorzej dla nas, jeśli nasza działalność wymaga jego powołania, a jego brak) oraz podmiotu przetwarzającego, jeśli brał udział w zgłaszanym naruszeniu.

  1. Czas naruszenia

Opisujemy czas stwierdzenia naruszenia, to bardzo ważne w kontekście wymogu 72h na zgłoszenie od momentu jego stwierdzenia – celowo podkreślam to słowo, co wynika z zawodowej traumy po przerobieniu licznych umów powierzenia i jałowych dyskusji na temat tego, czym jest faktycznie stwierdzenie naruszenia. Ponadto sposób stwierdzenia naruszenia, datę powiadomienia przez podmiot przetwarzający oraz ewentualnie powód opóźnienia, jeśli od momentu stwierdzenia do momentu zgłoszenia upłynęło wspomniane 72h (przy rozsądnym powodzie opóźnienia, możemy złożyć zgłoszenie później). Na koniec opisujemy czas trwania naruszenia- od kiedy do kiedy miało miejsce lub wskazujemy, iż trwa nadal, co w przypadku ataków ransomware i braku odpowiednich zabezpieczeń danych jest wysoce prawdopodobną sytuacją.

  1. Charakter naruszenia

W tym miejscu opisujemy szczegółowo naruszenie, podajemy, z jakim zdarzeniem było powiązane (mamy możliwość wybrania ze wskazanych przez UODO w formularzu opcji). Jeśli naruszenie wynikło z działania złośliwego oprogramowania, możemy to w tym punkcie opisać. Dodatkowo wskazujemy przyczyny naruszenia i jego charakter oraz zaznaczamy, czy dotyczy ono dzieci, jeśli miało związek ze świadczeniem usług w ramach społeczeństwa informacyjnego (dla przypomnienia- w Polsce granicę wieku ustalono na lat 16). Swoją drogą, zapisy niniejszego punktu w formularzu można wykorzystać do podnoszenia świadomości pracowników w ramach szkoleń i akcji informacyjnych. Nie spotkałem się, aby dało się prościej zobrazować współpracownikom, co rozumieć przez naruszenie, a przede wszystkim, że to już naruszenie, a nie incydent.

  1. Lista osób i wpisów

Jak nazwa wskazuje, określamy ilościowo osoby oraz wpisy, jakich dotyczy naruszenie. Warto zapoznać się z wyjaśnieniem dla liczy wpisów.

  1. Kategorie danych osobowych

Z kolei w tym miejscu wskazujemy na kategorie danych, które UODO podzieliło wg przyjętej klasyfikacji rodzajów danych osobowych w RODO – w tym, na dane szczególnych kategorii, dane dotyczące wyroków skazujących i naruszeń prawa oraz dane podstawowe (w naszej nomenklaturze bardziej rozpoznawalne jako dane zwykłe).

  1. Kategorie osób

Wybieramy z zaproponowanych przez UODO w formularzu, ewentualnie mamy możliwość dodatkowego opisania kategorii osób zastosowanej na nasze wewnętrzne potrzeby organizacji. Tu RODO daje nam swobodę, a UODO podpowiada.

  1. Możliwe konsekwencje

Opisujemy, jakie możliwe konsekwencje naruszenia mogą dotknąć osoby, których danych dotyczy naruszenie. W tym miejscu UODO kolejny raz wychodzi naprzeciw zgłaszającym, zamieszczając listę konsekwencji do wyboru wraz z pozostawieniem miejsca do wpisania innej potencjalnej konsekwencji, jeśli taka wyszła nam przy ocenie skutków dla ochrony danych osobowych, wynikłej z analizy ryzyka dla operacji przetwarzania danych – zwłaszcza tych z użyciem nowych technologii. Ponadto wskazujemy, czy naruszenie, jakie miało miejsce, stwarza wysokie ryzyko naruszenia praw i wolności osób.

  1. Środki bezpieczeństwa i środki zaradcze

W tym punkcie mamy za zadanie opisać trzy rzeczy, odnoszące się do zastosowanych w naszej organizacji technicznych i organizacyjnych środków bezpieczeństwa, mających zabezpieczyć przetwarzane przez organizację dane osobowe. Musimy wskazać, jakie działania naprawcze podjęliśmy, aby „uszczelnić” system na przyszłość oraz wskazać, jakie środki zaradcze podjęliśmy i zaproponowaliśmy poszkodowanym po naruszeniu. W celu zminimalizowania negatywne skutków dla osób, których dane dotyczą, a które zostały dotknięte naruszeniem. Przy okazji w połączeniu z pkt. 8 mamy wstęp do punktu 10 i powiadomienia osób.

  1. Czy osoby, których dane dotyczą, zostały zawiadomione o naruszeniu?

Jeśli powaga sytuacji tego dotyczy to mamy w tym punkcie określić, czy poinformowaliśmy osoby o wycieku danych osobowych vide wymagania art. 34 RODO. Opisujemy podjęte czynności i czas, a także formę powiadomienia. W punkcie tym możemy dodatkowo wskazać, iż nie poinformowaliśmy osób, jeśli sytuacja tego nie wymaga lub że jeszcze nie analizowaliśmy potrzeby poinformowania osób, których dane dotyczą.

  1. Przetwarzanie transgraniczne

Na koniec wskazujemy – o ile dotyczy – czy naruszenie, które zgłaszamy, ma charakter przetwarzania transgranicznego. Niech Was nie zmyli fakt, iż do wyboru mamy kraje EOG, ponieważ w punkcie tym chodzi o „przetwarzanie”, a nie „przekazanie” do państw trzecich. Swoja drogą w formularzu brakuje mi osobnego miejsca do wskazania, że naruszenie miało miejsce w związku z przekazaniem danych – modne w kontekście wyroku ws. Schrems II i unieważnienia Privacy Shield oraz wykazania zastrzeżeń co do zasad ochrony danych osobowych rezydentów UE przekazywanych do USA. Można sobie jednak i z tym poradzić, opisując szczegóły, np. w punkcie 4 formularza.

Podsumowanie

Tym sposobem docieramy do końca naszego zgłoszenia. Pozostał już tylko podpis tradycyjny lub elektroniczny i możemy wysyłać formularz, a potem czekać na dalszą komunikację ze strony Urzędu. Na pewno sam fakt wystąpienia naruszenia nie będzie działał na naszą korzyść. Jednakże  fakt złożenia zawiadomienia do UODO będzie środkiem łagodzącym przy ewentualnej wysokości kary, jaką UODO może na nas nałożyć na gruncie art. 83 RODO. Co wcale nie oznacza, że musi karę nałożyć vide art. 58 RODO.