Naruszenie ochrony danych przez podmiot przetwarzający. Czym jest i jak postępować, kiedy do niego dojdzie

Administrator danych osobowych (ang. controller) i podmiot przetwarzając (ang. processor) to podstawowe role, w których występują firmy i inne organizacje w prawie ochrony danych osobowych.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej „RODO”, definiuje oba te pojęcia.

Administrator

W myśl RODO administratorem jest podmiot (osoba fizyczna, prawna lub jednostka organizacyjna), który samodzielnie ustala cele i sposoby przetwarzania danych osobowych. W myśl tej definicji, każdy podmiot, który korzysta z danych osobowych do własnych celów jest administratorem danych. O tym, że dany podmiot jest administratorem danych, decyduje zatem to, że przetwarza dane osobowe, czyli np. wykorzystuje je w swoich procesach biznesowych, samodzielnie ustalając cele, w jakich dane przetwarza oraz sposoby tego przetwarzania danych. 

Rola podmiotu przetwarzającego w procesie przetwarzania danych przez administratora

Rola w procesie przetwarzania danych i obowiązki podmiotu przetwarzającego określone są odmiennie od roli administratora danych osobowych.  Podmiot przetwarzający działa w imieniu i na rzecz administratora, a jego obowiązki względem administratora wynikają z umowy zawartej z administratorem i z przepisów RODO. W znakomitej większości przypadków rolę podmiotu przetwarzającego w procesie przetwarzania danych przez administratora określa umowa zawarta pomiędzy administratorem, a tym podmiotem przetwarzającym.

Jednym z istotnych wymogów stawianych  podmiotowi przetwarzającemu,  jest obowiązek współpracy z administratorem w przypadku wystąpienia naruszenia ochrony danych osobowych.

Podstawowym obowiązkiem podmiotu przetwarzającego jest zgłaszanie administratorowi przypadków naruszeń ochrony danych osobowych, jakie miały miejsce w odniesieniu  do danych przetwarzanych na polecenie tego administratora.  Obowiązek ten wynika wprost z art. 33 ust. 2 RODO, który przewiduje, że po stwierdzeniu naruszenia ochrony danych osobowych podmiot przetwarzający bez zbędnej zwłoki zgłasza je administratorowi. Najczęściej obowiązek ten jest także wprost wskazywany w umowie pomiędzy administratorem i podmiotem przetwarzającym.  Podmiot przetwarzający ma zatem obowiązek niezwłocznego informowania administratora o stwierdzonych przypadkach naruszenia bezpieczeństwa danych osobowych.

W celu należytego wykonywania tych obowiązków względem administratora podmiot przetwarzający powinien zatem umieć identyfikować sytuacje, w których doszło do naruszenia ochrony danych osobowych.

Naruszenie ochrony danych osobowych – identyfikacja

Umowa powierzenia przetwarzania danych, nakładając na podmiot przetwarzający określone obowiązki związane z naruszeniem, nie określa, na czym polega „naruszenie ochrony danych osobowych”, czyli jakie przypadki naruszenia ma zgłaszać podmiot przetwarzający. Zatem to na podmiocie przetwarzającym spoczywa obowiązek każdorazowego ustalenia, czy konkretny incydent dotyczący danych osobowych stanowił przypadek naruszenia ochrony danych osobowych. Pomocna w ustaleniu, czy doszło do naruszenia ochrony danych osobowych,  jest definicja zawarta w art. 4 pkt 12) RODO. W myśl tej definicji „naruszenie” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przepisy RODO, określając pojęcie „naruszenia” odnoszą się wyłącznie do takich przypadków, w których doszło do naruszenia bezpieczeństwa zabezpieczeń, rozumianych jako techniczne i organizacyjne środki służące zabezpieczeniu przetwarzanych danych, pociągającego za sobą określone w tym przepisie skutki. Naruszeniem bezpieczeństwa danych nie będzie więc jakiekolwiek naruszenie przepisów o ochronie danych, a tylko takie, które stanowi naruszenie bezpieczeństwa mające określone skutki dla danych osobowych.

Przepisy RODO wymagają zatem, aby naruszenie było przypadkowe, czyli  nieumyślne, niezamierzone. Naruszeniem bezpieczeństwa danych osobowych nie będzie więc działanie podmiotu przetwarzającego, a więc działanie celowe, zamierzone, np. celowe zniszczenie lub zmodyfikowanie danych, które jest zgodne z prawem, czyli np. jest efektem usunięcia lub modyfikacji danych, a wyłącznie takie, które było poza kontrolą przetwarzającego.

Jakie skutki dla danych osobowych może powodować naruszenie bezpieczeństwa danych?

Zawarta w RODO definicja naruszenia przewiduje, że o naruszeniu ochrony danych mówimy w przypadkach, gdy wywołuje ono co najmniej jeden z poniższych skutków:

• przypadkowe lub niezgodne z prawem zniszczenie danych – czyli sytuację, w której dane przestają istnieć w formie nadającej się do użytku.

Przykładem „zniszczenia danych” może być  zniszczenie nośnika, na którym dane zostały zapisane, lub skasowanie danych zapisanych na nośniku informatycznym w sposób, który uniemożliwi ich odzyskanie. Do przykładów zniszczenia danych możemy zakwalifikować także spalenie się archiwum z dokumentami, wykasowanie plików z pamięci komputera i fizyczne zniszczenie kopii zapasowych,  czy zalanie archiwum zgód na przetwarzanie danych osobowych.

• przypadkową lub niezgodną z prawem utratę danych – czyli sytuację, w której dane mogą wprawdzie nadal istnieć, ale podmiot przetwarzający utracił nad nimi kontrolę lub dostęp do nich, lub nie jest już w ich posiadaniu. Utrata danych nie musi jednak wiązać się z ich zniszczeniem, a jedynie ze zmianą podmiotu, który staje się dysponentem danych (jeden podmiot uzyskuje dane, a inny je traci).
• przypadkową lub niezgodną z prawem modyfikację danych – modyfikacja danych oznacza dokonanie zmiany treści informacji, które są zawarte w danych, w konsekwencji czego stały się niekompletne, częściowo nieczytelne, nieprawidłowe.
• nieuprawnione ujawnienie danych – czyli sytuację, w której dostęp do danych ma osoba, która nie posiada stosownego uprawnienia, nadanego przez podmiot uprawniony. Dochodzi do niego np. w przypadku udostępnienia korespondencji mailowej osobie nieuprawionej, czyli wysyłki korespondencji na nieprawidłowy adres.  
• nieuprawniony dostęp do danych – uzyskanie nieuprawnionego dostępu do danych to najczęstszy i najbardziej typowy przypadek naruszenia bezpieczeństwa danych. W praktyce do nieuprawnionego dostępu do danych dochodzi w przypadku kradzieży danych.

Wspomniany na wstępie obowiązek zgłoszenia administratorowi naruszenia ochrony danych osobowych wymusza na podmiocie przetwarzającym ustalenie, czy konkretne zdarzenie dotyczące danych osobowych, stanowi przypadek naruszenia ochrony danych osobowych. Ocena, czy doszło do naruszenia, to obowiązek podmiotu przetwarzającego.

Moment stwierdzenia naruszenia następuje w przypadku, gdy podmiot przetwarzający ma wystarczający stopień pewności co do tego, że doszło do zdarzenia zagrażającego bezpieczeństwu, które doprowadziło w konsekwencji do naruszenia bezpieczeństwa danych osobowych. W tym celu podmiot przetwarzający, z uwzględnieniem powyższych wytycznych powinien ocenić, czy doszło do naruszenia bezpieczeństwa prowadzącego do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

Zgłoszenie naruszenia administratorowi

Zgłaszanie przez podmiot przetwarzający stwierdzonego przypadku naruszenia powinno nastąpić niezwłocznie (czyli bez zbędnej zwłoki) po stwierdzeniu naruszenia.  Przepisy RODO nie nakładają na podmiot przetwarzający obowiązku powiadomienia administratora w konkretnym przedziale czasu, jednakże umowa powierzenia przetwarzania najczęściej taki termin wyznacza. Wiąże się to z tym, że w przypadku stwierdzenia naruszenia, administrator ma obowiązek rozważyć, czy dany przypadek należy zgłosić do Urzędu Ochrony Danych Osobowych.

Zgłoszenie przypadku naruszenia administratorowi powinno zawierać co najmniej informacje o:

1. dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;
2. charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie, a w razie możliwości, także wskazania podmiotów danych, których dotyczyło naruszenie;
3. systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);
4. przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
5. charakterze i zakresie danych osobowych objętych naruszeniem;
6. możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
7. środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;
8. danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.

Jeśli w organizacji powołano inspektora ochrony danych, to na nim zwykle spoczywa obowiązek komunikacji z administratorem, w szczególności z wyznaczonym przez niego inspektorem ochrony danych.  Komunikacja odbywa się zwykle elektronicznie  w sposób uzgodniony w umowie powierzenia.

Procedury wewnętrzne i dokumentacja naruszenia

W celu zapewnienia prawidłowego współdziałania pomiędzy podmiotem przetwarzającym a administratorem, każdy z nich powinien opracować i wdrożyć (a więc także przeszkolić osoby odpowiedzialne)  procedury zapewniające:

1. wykrycie i natychmiastowe powstrzymanie naruszenia,
2. ocenę ryzyka dla osób, których dane zostały naruszone,
3. ustalenie, czy konieczne jest powiadomienie właściwego organu nadzoru,
4. powiadomienie o naruszeniu osób, których dane zostały naruszone (w razie potrzeby),
5. prowadzenia wewnętrznego rejestru naruszeń.

Obowiązek prowadzenia rejestru naruszeń spoczywa na każdym podmiocie przetwarzającym. Poprawne prowadzenie tego rejestru ułatwia realizację obowiązków względem administratora i upraszcza proces zgłoszenia naruszenia administratorowi. Rejestr  naruszeń prowadzony jest przez podmiot przetwarzający w formie elektronicznej.  Powinien on zawierać następujące informacje:

1. informacje o wystąpieniu zdarzenia i stwierdzeniu naruszenia, czyli: data zdarzenia, data i źródło uzyskania informacji o zdarzeniu, data i godzina stwierdzenia naruszenia;
2. okoliczności naruszenia – w tym opis charakteru naruszenia (opis, na czym polegało), opis kategorii i liczby osób, których dotyczyło naruszenie, opis kategorii i liczby wpisów);  
3. skutki naruszenia (czyli opis konsekwencji naruszenia);
4. środki naprawcze i zaradcze, w tym informację, czy poinformowano osoby, których dane dotyczą;
5. zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych, obejmujące informację, czy dokonano zgłoszenia, a w przypadku odpowiedzi twierdzącej wskazanie daty tego zgłoszenia.

Zgłaszanie naruszenia do Prezesa Urzędu Ochrony Danych

RODO wymaga, aby niektóre naruszenia były zgłaszane do Urzędu Ochrony Danych. Decyzję w tej sprawie podejmuje administrator danych i to on dokonuje zgłoszenia. Podmiot przetwarzający, u którego w związku z powierzeniem mu danych doszło do przypadku naruszenia bezpieczeństwa danych, samodzielnie nie zgłasza nigdy naruszenia do Urzędu Ochrony Danych, a jedynie powiadamia administratora o naruszeniu.

Kiedy administrator zgłasza naruszenie do Urzędu Ochrony Danych?

Z chwilą stwierdzenia, że doszło do naruszenia ochrony danych administrator jest zobowiązany przeprowadzić analizę, pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą̨. Właśnie ta pozwoli administratorowi stwierdzić́, czy należy wypełnić obowiązek z art. 33 ust. 1 RODO (tj. zgłosić naruszenie organowi nadzorczemu) oraz art. 34 ust. 1 RODO (tj. zawiadomić́ o naruszeniu osoby, których dane dotyczą).

Naruszenie należy zgłosić w terminie 72 godzin od chwili stwierdzania naruszenia. 

Kiedy mimo wystąpienia incydentu naruszenia ochrony danych nie trzeba powiadamiać organu nadzorczego?

RODO określa przypadki, w których mimo wystąpienia naruszenia ochrony danych administrator nie musi zgłaszać incydentu organowi nadzorczemu. Ma to miejsce wtedy, kiedy „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (art. 33 ust. 1 RODO). 

Jedną z najprostszych i mierzalnych metod oceny ryzyka naruszenia prowadzącego do podjęcia decyzji, czy dane naruszenie należy zgłosić do organu nadzoru, jest rozważenie negatywnych skutków naruszenia. Należy wtedy odpowiedzieć na pytanie, czy jest możliwe wystąpienie, któregokolwiek z poniższych ryzyk:

1. dyskryminacji,
2. kradzieży tożsamości lub oszustwo dotyczące tożsamości,
3. straty finansowej dla podmiotu danych,
4. naruszeniadobrego imienia podmiotu danych,
5. wystąpienia znaczącej szkody gospodarczej lub społecznej,
6. utraty kontroli nad danymi,
7. możliwości pozbawienia podmiotu danych przysługujących praw i wolności.

Dokonując oceny ryzyka, należy także ocenić, czy dotyczyło ono danych, które podlegają szczególnej ochronie przewidzianej w przepisach, tzn.:

1. danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych,
2. danych osobowych ujawniających dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa,
3. danych, z wykorzystaniem których oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych,
4. danych dotyczących osób wymagających szczególnej opieki, w tym dzieci,
5. danych osobowych prawnie chronionych, np. tajemnicą zawodową.

A także, czy naruszenie dotyczy:

1. danych, które uległy nieuprawnionemu odwróceniu pseudonimizacji lub odszyfrowaniu,
2. dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą. 

Jeśli analiza doprowadzi do stwierdzenia, że naruszenie dotyczyło którejkolwiek z grup danych wymienionych powyżej, to ryzyko tego naruszenia jest wysokie. Takie podejście umożliwia szybkie i obiektywne ocenienie, jakie konsekwencje mogą grozić osobie, której dane dotyczą, i jaka jest szansa wystąpienia negatywnych skutków tego naruszenia. 

Generalną zasadą wynikającą z RODO jest obowiązek zgłoszenia naruszenia do organu nadzorczego. W razie wątpliwości, czy dany przypadek należy zgłosić, rekomendujemy raczej podjąć działania w celu dokonania zgłoszenia, niż ich zaniechać. Z niezgłoszenia wynika bowiem duże ryzyko, a z decyzji o zgłoszeniu tylko konieczność uzupełnienia formularza, w oparciu o dane, które zostały już ustalone w procesie ustalenia naruszenia.

Ponadto RODO określa przypadki, w których, mimo że wystąpiło naruszenie ochrony danych,  praw i wolności podmiotów danych w wyniku incydentu, administrator jest zwolniony z obowiązku powiadamiania osób, których dane dotyczą. Chodzi o sytuacje, gdy administrator wdrożył takie środki ochrony jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych, lub zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności. 

Zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych

O ile nie zachodzą przesłanki opisane w akapicie powyżej na administratorze danych spoczywa także kolejny obowiązek, a mianowicie powiadomienia osoby, której dane dotyczą o takim naruszeniu. Obowiązek ten istnieje w przypadku, jeśli naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Administrator rozważając czy w danym przypadku jest zobowiązany do powiadomienia podmiotów powinien uwzględnić kryteria podobne jak w przypadku zgłaszania naruszeń organowi nadzorczemu. 

Zawiadomienie powinno mieć formę pisemną lub e-mailową, tak aby podmiot danych miał możliwość wielokrotnego przeczytania treści powiadomienia. Forma ta jest też istotna pod względem rozliczalności działań administratora i ewentualnej możliwości wykazania przed UODO dokonanych czynności. Zawiadomienie należy skierować do podmiotu danych „bez zbędnej zwłoki”, tzn. właściwie tak szybko, jak to możliwe. Administrator w zawiadomieniu do podmiotu danych wykorzysta opis i charakter naruszenia, który przekazany został mu przez podmiot przetwarzający. Do sytuacji, w których należy powiadomić podmiot danych zalicza się  utratę kontroli nad danymi na przykład na skutek działań hakerskich. W takiej sytuacji jest wysoce prawdopodobne, że dane zostaną wykorzystane w sposób, który naruszy prawa klientów np. staną się oni ofiarami późniejszych kradzieży (wysokie ryzyko naruszenia praw lub wolności osób).   

Monika Macura

radca prawny, Partner w Kancelarii Konieczny Wierzbicki Spółka Partnerska, specjalista w zakresie ochrony danych i nowych technologii

Przeczytaj więcej takich artykułów w strefie wiedzy PARP

Artykuł pochodzi z Biuletynu Euro Info 4/2021