Naruszenie danych w nowym świetle – wytyczne UODO
W lutym br. na stronie internetowej Urzędu Ochrony Danych Osobowych („UODO”) pojawił się zaktualizowany poradnik dotyczący zgłaszania naruszeń. Zawarto w nim szereg wytycznych dotyczących identyfikacji naruszeń, ich oceny oraz dokumentowania. Poradnik zawiera również wskazówki dotyczące tego, które naruszenia zgłaszać oraz na co zwrócić uwagę przy zawiadamianiu o naruszeniu osób, których dane dotyczą. Mimo że Urząd Ochrony Danych Osobowych podkreślał, że jego intencją nie było wprowadzanie rewolucyjnych zmian w praktyce zgłaszania naruszeń, warto zwrócić uwagę na kilka istotnych kwestii poruszonych w poradniku.
Artykuł opublikowany został w sierpniowym wydaniu Magazynu CRN, a jego autorką jest radca prawny Ewa Kuczyńska.
Bardzo ważne jest to, w jaki sposób UODO rozumie naruszenie. W poradniku wskazano, że „naruszenie pojawia się zawsze, gdy dochodzi do zdarzenia, które: (i) jest incydentem bezpieczeństwa, (ii) dotyczy przetwarzanych danych osobowych, (iii) może prowadzić do ich nieuprawnionego zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu do nich.”. Kluczowe jest tutaj użycie słowa „może”. Podczas webinarium zorganizowanego przez UODO w celu wyjaśnienia wytycznych opisanych w poradniku wytłumaczono, że nie chodziło tutaj o potencjalną możliwość wystąpienia negatywnych konsekwencji wymienionych powyżej, a o „dostateczną pewność”. Innymi słowy z naruszeniem będziemy mieli do czynienia m.in. w przypadku, gdy nie mamy wprawdzie pewności, że doszło do skutku w postaci nieuprawnionego zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu do danych, jednak na podstawie posiadanych informacji możemy stwierdzić, że jest duża szansa, że mogło do niego dojść.
RESTRYKCYJNIE CZY ŁAGODNIE?
Kolejną kontrowersyjną kwestią poruszoną w poradniku jest kwestia tego w jakich sytuacjach należy zgłaszać naruszenia do UODO. Literalna lektura poradnika wskazywałaby na zaostrzenie stanowiska UODO w tym zakresie. Poradnik wskazuje bowiem na trzy możliwe scenariusze:
- brak ryzyka związanego z naruszeniem (a w konsekwencji brak obowiązku zgłaszania naruszenia do UODO);
- ryzyko (co wymaga zgłoszenia naruszenia do UODO);
- wysokie ryzyko (co wymaga zgłoszenia naruszenia do UODO oraz zawiadomienia osób, których dane dotyczą).
Biorąc pod uwagę treść art. 33 RODO, w którym wskazano, że administrator jest zobowiązany zgłosić naruszenie „chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” stanowisko UODO wydaje się być bardzo restrykcyjne. Podczas webinarium przedstawiciel UODO sprecyzował jednak, że przez „brak ryzyka” Urząd rozumie małe prawdopodobieństwo jego wystąpienia. W konsekwencji zgodnie z aktualnymi wytycznymi UODO, aby ocenić, czy istnieje obowiązek zgłoszenia naruszenia, należy ocenić prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Jeśli prawdopodobieństwo jest niskie (a więc brak realnych szans na materializację ryzyka), to naruszenia nie trzeba będzie zgłaszać do Urzędu (nawet, jeśli waga potencjalnych skutków jest duża). Jako przykłady niskiego prawdopodobieństwa wskazano:
- ujawnienie danych, które są już publicznie dostępne;
- ujawnienie lub utracenie danych zaszyfrowanych w sposób zapewniający ich nieczytelność dla osób nieupoważnionych
- incydenty, którym administratorzy definitywnie zaradzili.
Do tej ostatniej kategorii można zaliczyć przykładowo sytuację, w której dokumenty kadrowe lub finansowe zostałyby wyrzucone do kontenera na odpady znajdującego się na zamkniętym, monitorowanym terenie firmy. Jeśli pracownik w dość krótkim czasie zdałby sobie sprawę w błędu (wyrzucenia danych do śmieci) i podjęto by natychmiast działania mające na celu odzyskanie i zabezpieczenie dokumentów przed dostępem do nich przez osoby nieuprawnione oraz sprawdzono by na nagraniach z monitoringu, że nikt nie miałby do nich dostępu, to można byłoby stwierdzić małe prawdopodobieństwo wystąpienia ryzyka.
ENISA DO LAMUSA?
W tym kontekście pojawia się pytanie o możliwość dalszego korzystania z metodyki ENISA, która to metodyka jest dość powszechnie stosowana przy ocenie naruszeń. Stanowisko UODO nie przekreśla możliwości wspierania się metodyką ENISA – możemy wykorzystać ją do oceny wagi skutków naruszenia. Decyzja, czy zgłosić naruszenie do UODO, czy nie powinna być jednak podjęta po weryfikacji prawdopodobieństwa wystąpienia ryzyka.
Biorąc pod uwagę powyższe stanowisko, warto przeanalizować dotychczas stosowaną w organizacji metodykę oceny naruszeń i w razie potrzeby uaktualnić ją. Zgłaszając naruszenia należy pamiętać o tym, że niskie ryzyko również stanowi ryzyko, które obliguje do zgłoszenia naruszenia (o ile prawdopodobieństwo wystąpienia tego ryzyka nie jest niskie).
Kolejną ważną kwestią, na którą zwrócono uwagę w poradniku jest rola inspektora ochrony danych w procesie oceny naruszenia. UODO podtrzymał dotychczas wyrażane stanowisko, zgodnie z którym inspektor ochrony danych nie powinien realizować czynności, które przepisy zastrzegają dla administratora. W poradniku wskazano dodatkowo przykłady działań (w kontekście zgłaszania naruszeń), których inspektor nie powinien wykonywać. Warto zwrócić uwagę w szczególności na punkt dotyczący dokumentowania naruszeń w imieniu administratorów lub podejmowania zobowiązań dotyczących bezpieczeństwa przetwarzania danych. O ile więc inspektor ochrony danych może prowadzić swoją dokumentację naruszenia, o tyle nie powinna ona być prowadzona „za” administratora. Inspektor ochrony danych nie powinien również zgłaszać naruszeń dotyczących ochrony danych, zawiadamiać podmioty danych o naruszeniu, czy działać jako pełnomocnik w sprawach dotyczących ochrony danych osobowych. Powyższe jest uzasadnione ryzykiem popadnięcia w konflikt interesów lub naruszeniem niezależności inspektora. Rolą inspektora jest z kolei monitorowanie procesu obsługi naruszenia, doradzanie i udzielanie wskazówek.
ZAUFANY ODBIORCA, CZYLI JAKI?
W poradniku opisano również kogo należy uznać za zaufanego odbiorcę – jest to podmiot, który przypadkowo otrzymał dane osobowe, ale dzięki dotychczasowej, pozytywnej współpracy z administratorem można go uznać za godnego zaufania. Prawidłowe określenie czy mamy do czynienia z zaufanym odbiorcą jest bardzo ważne, bowiem może przyczynić się do stwierdzenia, że naruszenia nie trzeba zgłaszać z uwagi na niskie prawdopodobieństwo wystąpienia ryzyka. Są to sytuacje, gdy administrator ma pewność, że ten podmiot zareaguje właściwie i przyczyni się do ograniczenia ryzyka naruszenia praw i wolności osób, których dane dotyczą. Jako kryteria uznawania kogoś za zaufanego odbiorcę UODO wskazał pozostawanie z nim w stałych stosunkach (np. w bliskiej współpracy biznesowej lub wspólnej strukturze organizacyjnej) i posiadanie przez administratora wiedzy na temat istotnych szczegółów dotyczących odbiorcy (np. procedur bezpieczeństwa, historii dotychczasowej, pozytywnej współpracy w podobnych sytuacjach. Co istotne, nie można automatycznie uznawać kogoś za zaufanego odbiorcę – każdy przypadek należy oceniać indywidualnie. Za zaufanych odbiorców mogą być uznane np. inne działy w organizacji administratora, sprawdzony, długoletni dostawca administratora, profesjonalny i blisko współpracujący z administratorem podmiot przetwarzający.
UODO wypowiedział się również co do tego przez jaki okres informacje o naruszeniach ochrony danych osobowych powinny być przechowywane. Według UODO – jak najdłużej. Wobec czego UODO nie rekomenduje wskazywania w wewnętrznym rejestrze naruszeń jakichkolwiek danych osobowych (np. osób zaangażowanych w proces zarządzania naruszeniem lub osób, których dotyczy naruszenie). Jeśli dane takich osób pojawią się w rejestrze, należy pamiętać o zastosowaniu zasady minimalizacji danych.
UODO nie rekomenduje też informowania osób, których dane dotyczą o zdarzeniach, które nie stwarzają wysokiego ryzyka. W ocenie UODO nadmiar komunikatów dotyczących naruszeń może skutkować niepotrzebnym stresem lub przeciążeniem informacyjnym prowadzącym do ignorowania podobnych wiadomości.
Przydatne może być również zapoznanie się z sekcją poradnika dotyczącą zapobiegania naruszeniom ochrony danych, w której wskazano praktyczne przykłady środków organizacyjnych i technicznych, które służą zapobieganiu naruszeniom. Wprawdzie są to jedynie przykłady, jednak warto rozważyć, czy nie będą odpowiednie w przypadku określonej organizacji. A przede wszystkim polegać na zdrowym rozsądku.
Artykuł dostępny także na stronie Magazynu CRN – kliknij TUTAJ.
Materiał prasowy: radca prawny Ewa Kuczyńska.
