Administrator danych osobowych, jako podmiot samodzielnie określający cele i sposoby przetwarzania, pełni zawsze kluczową funkcję w procesie ochrony danych. To do niego odnosi się większość przepisów RODO i to na nim w związku z tym spoczywa najwięcej obowiązków. Najważniejszymi z nich są przede wszystkim odpowiednie zabezpieczenie danych oraz zapewnienie ich właściwego przetwarzania, zgodnego z zasadami wskazanymi w rozporządzeniu 2016/679. Nie można również zapominać o działaniu na podstawie właściwej podstawy prawnej, wdrożeniu odpowiednich środków technicznych i organizacyjnych, a także realizowaniu praw osób, których dane dotyczą.
W codziennej praktyce najbardziej problematyczne mogą okazać się jednak kwestie związane z naruszeniami ochrony danych. Do ich wystąpienia może dojść nie tylko w wyniku świadomego nieprzestrzegania przepisów, ale również przez zwykłe ludzkie pomyłki czy drobne błędy. Dodatkowo każdy podmiot niezmiennie narażony jest na działania zewnętrzne, takie jak ataki hakerskie, czy socjotechniczne. Naruszenia stanowią więc dla administratorów poważny, realny problem, który, jak wskazują statystki ZFODO[1], z każdym rokiem narasta. W 2019 roku odnotowano bowiem 127 incydentów bezpieczeństwa, w kolejnym roku liczba ta zwiększyła się do 297, następnie do 309, a najnowsze badanie wskazuje, że w roku 2022 w 435 organizacjach mieliśmy do czynienia z aż 466 naruszeniami. Dało to średnią 1,07 incydentu przypadającego na organizację (dla porównania w 2019 było
to jedynie 0,46, a w latach 2020 i 2021 odpowiednio 0,65 i 0,89).
Zignorowanie zagrożeń wynikających z występowania naruszeń danych osobowych może nieść za sobą duże nieprzyjemności i ostatecznie doprowadzić do poważnych konsekwencji w postaci kar finansowych czy utraty wizerunku. Kluczowe jest więc, aby mieć świadomość co robić
w przypadku wystąpienia incydentu bezpieczeństwa i dysponować odpowiednim systemem reagowania opracowanym na taką okoliczność.
Jak sklasyfikować naruszenia? Czy i jak je zgłaszać? Jak poprawnie je ewidencjonować? Jak zawiadomić osoby, które dotyczy naruszenie? Jak zapobiegać potencjalnym skutkom? Na wszystkie te pytania odpowiemy w tym cyklu. Rozważania dotyczące naruszeń należy jednak rozpocząć od kwestii absolutnie podstawowej. Żeby bowiem w ogóle stwierdzić czy naruszenie wystąpiło i móc zdecydować jakie kroki ewentualnie podjąć dalej, trzeba wiedzieć czym takie naruszenie w ogóle jest.
RODO nie pozostawia w tym przypadku większych wątpliwości, ponieważ pojęcie naruszenia jest wprost zdefiniowane w rozporządzeniu. Zgodnie z Art. 4 pkt 12 RODO naruszenie ochrony danych oznacza:
„Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”
Z tak sformułowanej definicji, można następnie wyodrębnić 3 elementy, które pomogą jeszcze lepiej zrozumieć istotę zagadnienia i które decydują o tym, czy dany przypadek możemy zakwalifikować jako naruszenie. Zdarzenie musi więc:
- Wiązać się z przetwarzaniem danych osobowych;
Dla przypomnienia, zgodnie z RODO, przetwarzanie oznacza: „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych
w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie” (art. 4 pkt 2 RODO).
- Nastąpić w wyniku złamania zasad bezpieczeństwa;
Każdy taki przypadek będzie prowadził do wystąpienia incydentu bezpieczeństwa, jednak nie każdy incydent będzie wiązał się automatycznie z powstaniem skutku
w postaci naruszenia ochrony danych (choć każde naruszenie danych będzie jednocześnie incydentem bezpieczeństwa), dlatego każdy przypadek zawsze należy rozpatrywać indywidualnie.
- Prowadzić do skutku w postaci:
– zniszczenia,
– utracenia
– zmodyfikowania
– nieuprawnionego ujawnienia lub
– nieuprawnionego dostępu do danych osobowych.
Należy na koniec również podkreślić, że dla samego stwierdzenia czy dane zdarzenie stanowi naruszenie ochrony danych osobowych, nie ma znaczenia czy doszło do niego w wyniku działania umyślnego (działanie celowe) czy nieumyślnego (działanie przypadkowe, niezamierzone). Może to mieć jednak duże znaczenie przy wymierzaniu ewentualnej kary dla administratora, dlatego warto o tym pamiętać.
[1] ZFODO, Raport Związku Ochrony Danych Osobowych, Incydenty ochrony danych osobowych, 2019-2022