W jakich sytuacjach można mówić o naruszeniu ochrony danych osobowych i jak je dokumentować? Odpowiadamy na te pytania, a także wyjaśniamy, kiedy naruszenie należy zgłosić do UODO i jak wprowadzić odpowiednią procedurę w swojej firmie.
Definicja naruszenia ochrony danych osobowych
Co oznacza naruszenie ochrony danych osobowych według zapisów RODO? Jest nim każda sytuacja, kiedy naruszone zostaje bezpieczeństwo i prowadzi to do “zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Co istotne, naruszenie może być przypadkowe lub niezgodne z prawem.
Za zniszczenie danych uznaje się działanie, po którym dane przestają istnieć (w ogóle lub przybierają formę, uniemożliwiającą ich dalszej wykorzystanie). Utrata danych to sytuacja, gdy ich administrator przestaje sprawować nad nimi kontrolę lub nie ma do nich dostępu. Modyfikacja danych to każde działanie, które zmienia ich strukturę bądź też integralność. Nieuprawniony dostęp lub ujawnienie danych osobowych to przypadki, gdy nieuprawnionym do tego osobom ujawni bądź też udostępni się dane.
Szerszą wiedzę na temat naruszeń ochrony danych osobowych, a także innych zagadnień na temat przechowywania i przetwarzania danych osobowych, zagwarantują szkolenia RODO.
Klasyfikacja i rodzaje naruszeń
Według najbardziej podstawowej klasyfikacji naruszenia ochrony danych osobowych można podzielić na 3 rodzaje:
- naruszenie poufności,
- naruszenie integralności,
- naruszenie dostępności.
Pierwszą kategorię stanowią sytuacje ujawnienia lub udostępnienia danych osobom do tego nieuprawnionym. Z kolei integralność danych (nazywana również spójnością) to właściwość, która zapewnia, że dane nie zostały zmienione, uszkodzone lub zniszczone przez osobę do tego nieupoważnioną. Zatem naruszenie integralności to nieautoryzowana zmiana lub inny rodzaj modyfikacji treści danych. Dostępność danych to nieograniczona możliwość z nich korzystania przez uprawnionych do tego użytkowników. Naruszenie dostępności to pozbawienie osób do tego upoważnionych dostępu do danych.
Według RODO na każdym administratorze danych osobowych ciąży obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych. Czas na zgłoszenie naruszenia, od momentu jego stwierdzenia, to 72 godziny. Po upływie tego czasu do zgłoszenia należy dołączyć wyjaśnienie z przyczyną opóźnienia.
Jakiego rodzaju mogą być to sytuacje? Są to naruszenia:
- podlegające obowiązkowi poinformowania o nich organu nadzorczego,
- podlegające obowiązkowi poinformowania o nich organu nadzorczego, a także osoby, której dane dotyczą,
- niepodlegające konieczności zgłoszenia ich odpowiedniemu organowi nadzorczemu (Urzędowi Ochrony Danych Osobowych). Są to przypadki, których okoliczności występowania nie stanowią zagrożenia czy ryzyka naruszenia prawa lub wolności osób fizycznych.
Co w sytuacji, gdy podmiotem przetwarzającym dane nie jest administrator? Wówczas o wystąpieniu naruszenia danych należy niezwłocznie powiadomić administratora, w którego imieniu dane są przetwarzane. Jak liczyć czas zgłoszenia naruszenia danych w sytuacji, gdy administrator danych ich przetwarzanie zlecił innemu podmiotowi (np. firmie zewnętrznej)? Ten sam czas, czyli 72 godziny, jest liczony od momentu, gdy podmiot wykrył naruszenie, a nie wtedy, gdy administrator się o nim dowiedział.
Jak dokumentować naruszenia wewnątrz jednostki (np. firmy)? Wystarczy stworzyć odpowiednią procedurę, a następnie zapoznać z nią wszystkie osoby, które biorą udział w przetwarzaniu danych osobowych. W każdym przypadku, gdy istnieje możliwość naruszenia danych osobowych, należy zastosować ustaloną wcześniej procedurę.
Jak dokumentować naruszenia ochrony danych osobowych?
Administratorzy danych są zobowiązani do prowadzenia wewnętrznej ewidencji przypadków wymienionych w artykule 4, punkcie 12 RODO. Najlepszym narzędziem do dokumentowania wszelkich sytuacji, gdy dochodzi do naruszeń ochrony danych osobowych, jest rejestr naruszeń. Każdy z 3 rodzajów naruszeń (wymienionych powyżej) powinien znaleźć się w takim rejestrze. W jaki sposób opisać przypadek naruszenia ochrony danych osobowych? Rozporządzenie wymienia 3 obowiązkowe elementy, które powinny się znaleźć w dokumentacji. Przede wszystkim opisać należy okoliczności, w których doszło do naruszenia ochrony danych osobowych. Kolejne, obowiązkowe elementy to przedstawienie skutków naruszenia oraz podjętych działań zaradczych.
