Jak już sygnalizowaliśmy we wcześniejszych wpisach z naszego cyklu, w Polsce od wejścia RODO nałożono kilkadziesiąt kar finansowych. Istotna część z nich była wynikiem naruszenia przez administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.
Kolejnym uczestnikiem naszego niechlubnego rankingu przepisów RODO sprawiających największe trudności przedsiębiorcom jest więc art. 33 RODO. Poniżej nasze uwagi do niego w świetle dotychczasowej praktyki Prezesa UODO.
Jakie dokładnie obowiązki nakłada art. 33 RODO na administratora danych?
Omawiany przepis jest dość rozbudowany. My skupimy się jedynie na tych elementach, które okazują się najbardziej kłopotliwe w praktyce.
Zgodnie z art. 33 ust. 1 RODO administrator w przypadku stwierdzenia naruszenia ochrony danych osobowych zobowiązany jest dokonać zgłoszenia takiego naruszenia do organu nadzorczego, którym w Polsce jest Prezes UODO. Szczegółowe wytyczne co do treści zgłoszenia zawiera art. 33 ust. 3 RODO.
Warto też przypomnieć, że przez naruszenie ochrony danych osobowych – zgodnie z art. 4 pkt 12 RODO – należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Tak więc właśnie w takich sytuacjach administrator danych zobligowany jest zawiadamiać Prezesa UODO.
Trzeba również pamiętać, że posługiwanie się przy przetwarzaniu osobami trzecimi (procesorami), nie zwalnia administratora z tego obowiązku. Podmiot przetwarzający naruszenie zgłasza administratorowi – w umowie przetwarzania dobrze jest opisać odpowiednią procedurę, która umożliwi administratorowi pełne i terminowe wywiązania się z obowiązku zgłoszenia do Prezesa UODO.
Jak szybko administrator musi dokonać zgłoszenia?
Poprawna odpowiedź na to pytanie jest tylko jedna – zgłoszenie musi być dokonane bez zbędnej zwłoki. Jedynie doprecyzowując w przepisie wskazano, że – w miarę możliwości – ma być ono dokonane nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Przekroczenie terminu 72 godzin nie musi zatem wiązać się automatycznie z naruszeniem omawianego przepisu. Wymaga ono jednak każdorazowo zamieszenia w zgłoszeniu dodatkowych wyjaśnień w zakresie przyczyn opóźnienia.
W przypadku gdy nie mamy od razu wszystkich niezbędnych informacji, to i tak powinniśmy zgłoszenia dokonać. Jeśli bowiem informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki (art. 33 ust. 4 RODO).
Czy każde naruszenie ochrony danych osobowych musi być zgłaszane Prezesowi UODO?
Każda reguła ma swoje wyjątki, tak więc także obowiązek zgłaszania naruszeń organowi nadzorczemu nie ma charakteru absolutnego. Zgłoszenie jest konieczne, chyba że jest mało prawdopodobne, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jak pokażemy poniżej (i jak wynika z dotychczasowej praktyki Prezesa UODO), to właśnie o ten wyjątek najczęściej potykają się administratorzy danych.
Na czym polegały naruszenia art. 33 RODO, za które karał Prezes UODO?
Analiza decyzji Prezesa UODO pokazuje, że kary pieniężne były do tej pory nakładane zarówno w przypadku zupełnego zaniechania zgłoszenia, jak i też za dokonanie zgłoszenia z opóźnieniem (tj. dopiero po wszczęciu postępowania administracyjnego).
Jakieś przykłady?
Poniżej najświeższe przypadki nałożenia kary:
- Śląski Uniwersytet Medyczny (treść decyzji)
Naruszenie polegało na udostępnieniu nieuprawnionym odbiorcom (na platformie uniwersyteckiej) nagrań z egzaminów, na których widoczne były m.in. wizerunki studentów, ale też dane z ich dokumentów (legitymacji lub dowodów osobistych) okazywanych egzaminatorom.
Prezes UODO o naruszeniu dowiedział się od osób trzecich. Administrator nie kwestionował, iż naruszenie miało miejsce. Nie dokonał jednak zgłoszenia, gdyż po dokonaniu oceny zdarzenia pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych uznał, że zachodzi wyjątek od tego obowiązku.
Prezes UODO w postępowaniu wyjaśniającym dał administratorowi szansę na dokonanie ponownej oceny zdarzenia. Administrator podtrzymał jednak swoje dotychczasowe stanowisko.
W dokonanych ocenach administrator powoływał się na wąski krąg osób, które uzyskały nieuprawniony dostęp do danych, wąski zakres ujawnionych danych oraz podjęte działania zaradcze (mające zapobiec podobnym incydentom w przyszłości).
- ENEA (treść decyzji)
Naruszenie polegało na wysłaniu przez osobę związaną z ENEA do nieuprawnionego adresata e-maila z niezaszyfrowanym załącznikiem zawierającym dane osobowe (imiona, nazwiska, adresy e-mail, numery telefonów, daty rejestracji w systemie ENEA) kilkuset klientów tej spółki (w tym adresata wiadomości).
Prezes UODO o naruszeniu dowiedział się od osoby, która stała się nieuprawnionym adresatem danych osobowych. Administrator nie kwestionował zdarzenia. Uznał jednak (po dokonaniu oceny zdarzenia pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych), że zachodzi wyjątek od obowiązku zgłoszenia.
Prezes UODO w postępowaniu wyjaśniającym zasugerował administratorowi ponowną ocenę incydentu. Administrator podtrzymał jednak swoje dotychczasowe stanowisko. Wskazał, że analizy dokonał w oparciu o wytyczne European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches. Wskazał również, że stosując je, uzyskał wynik ryzyka na poziomie WN < 2, czyli: „Osoby nie zostaną dotknięte naruszeniem lub wywoła ono drobne niedogodności”.
Administrator powołał się na nasypujące okoliczności:
- podstawowy charakter udostępnionych danych, tj. danych niedotyczących zachowań (tzw. danych behawioralnych);
- ograniczoną możliwość identyfikacji (niewielki krąg odbiorców oraz nieujawnienie danych ewidencyjnych typu PESEL);
- uzyskanie od nieuprawnionego odbiorcy oświadczenia o zachowaniu poufności.
- TUiR WARTA (treść decyzji)
Naruszenie polegało na wysłaniu e-mailem przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla TUiR WARTA, polisy ubezpieczeniowej zawierającej dane osobowe do nieuprawnionego adresata. W wyniku tego doszło do naruszenia poufności danych dwóch osób w zakresie imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy.
Prezes UODO o naruszeniu dowiedział się od osoby trzeciej. Administrator nie kwestionował zdarzenia. Powołał się jednak na brak konieczności zgłoszenia (w związku z wynikiem dokonanej oceny pod kątem prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych).
Administrator, wyjaśniając dokonaną ocenę, wskazywał na to, że:
- klient (podmiot danych osobowych) sam podał błędny adres e-mail, na który został wysłany dokument polisy ubezpieczeniowej;
- nieuprawniony odbiorca sam zwrócił się do administratora, a więc można wnioskować, iż jest on świadomy przepisów i wagi informacji, jakie otrzymał i ich nie ujawni.
Prezes UODO w postępowaniu wyjaśniającym dał administratorowi szansę na dokonanie ponownej oceny zdarzenia. Po przeprowadzeniu takiej oceny administrator dokonał zgłoszenia naruszenia ochrony danych osobowych w toku postępowania.
Jakie kary nakładał Prezes UODO za niezgłoszenie naruszenia ochrony danych osobowych?
Dla przypomnienia – Prezes UODO może nałożyć karę pieniężną w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 4 lit a RODO). Tyle w teorii.
Wymierzając karę, organ musi jednak uwzględnić szereg czynników: stopień współpracy z organem, charakter i waga stwierdzonego naruszenia, czas jego trwania, ewentualna umyślność działania, sposób dowiedzenia się o naruszeniu, liczba poszkodowanych, kategorie danych objętych naruszeniem, możliwości poniesienia kary przez dany podmiot.
W praktyce nałożone kary były zatem dużo niższe niż maksymalne limity. W omawianych przypadkach oscylowały w przedziale od 25.000 zł (Śląski Uniwersytet Medyczny) do blisko 140.000 zł (TUiR WARTA otrzymało karę wynoszącą równowartość 20.000 EUR, zaś ENEA 30.000 EUR).
Warto także pamiętać, że w każdym z tych przypadków administrator – jak to zazwyczaj bywa – naruszył także inne przepisy RODO i wysokość nałożonej kary uwzględniała także te pozostałe naruszenia.
Co sprawiało administratorom największą trudność?
Zarówno niedokonanie zgłoszenia, jak i jego dokonania z opóźnieniem najczęściej było wynikiem nieprawidłowej oceny prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych na skutek naruszenia ochrony danych osobowych. Administratorzy w sposób nieuprawniony uznawali, że nie zachodzi takie ryzyko lub że jego wystąpienie jest mało prawdopodobne.
Jak zatem uniknąć błędów przy weryfikacji, czy konieczne jest dokonanie zgłoszenia do Prezesa UODO?
Analizując incydent prowadzący do naruszenia ochrony danych osobowych i sprawdzając, czy konieczne jest zgłoszenie do Prezesa UODO, czy też można zastosować wyjątek od tego obowiązku, należny pamiętać o następujących kwestiach (błędach ukaranych dotychczas administratorów), które przewijają się we wszystkich decyzjach Prezesa UODO:
- podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia (oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia);
- możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować – samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, oznacza obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu (przykładowo – nie jest ważne, czy odbiorca omyłkowo wysłanych danych się z nimi zapoznał – wystarczy, że miał taką możliwość);
- należy prawidłowo określić zakres danych objętych naruszeniem – administratorzy wielokrotnie skupiając się na najbardziej oczywistych danych osobowych, pomijają mnóstwo rodzajów danych, a przez to nieprawidłowo szacują ryzyko naruszenia praw i wolności osób, których dane dotyczą;
- z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślnie; to, że naruszenie jest wynikiem błędu osoby trzeciej (nawet jeśli jest to błąd osoby, której dane dotyczą) nie zwalnia administratora z obowiązku dokonania zgłoszenia;
- okoliczność, że naruszenie dotyczy niewielkiej liczby osób (czy wręcz jednej osoby), nie przesądza automatycznie, że nie jest wymagane jego zgłoszenie;
- dla oceny konieczności dokonania zgłoszenia nieistotne są działania administratora mające uniemożliwić powtórzenie zaistniałego naruszenia (te bowiem są podejmowane na przyszłość i w ogóle nie dotyczą ryzyka naruszenia praw i wolności podmiotów danych objętych naruszeniem).
Dobra rada na zakończenie…
Ponieważ prędzej czy później każdemu przydarzy się naruszenie ochrony danych osobowych, konieczna jest dobra procedura, by sprawnie i prawidłowo przeprowadzić ocenę ryzyka i dokonać ewentualnego zgłoszenia. I na sam koniec coś, co – jak mantra – przewija się we wszystkich decyzjach Prezesa UODO dotyczących naruszenia ochrony danych: w przypadku jakichkolwiek wątpliwości należy naruszenie zgłosić, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.