Przepisy dotyczące ochrony danych osobowych mają w założeniu zapewnić bezpieczeństwo osobom, których dane osobowe są wykorzystywane przez inne podmioty – Administratorów danych – w określonych celach. Odpowiednie regulacje: RODO i nasza krajowa ustawa o ochronie danych osobowych z 2018 r. nakładają na Administratorów danych odpowiednie obowiązki i wymogi, w celu zapewnienia należytej ochrony danych osobowych. Może się jednak zdarzyć, że mimo stworzenia i wdrożenia odpowiednich zabezpieczeń, dojdzie do naruszenia ochrony danych osobowych.
Zgodnie z definicją wynikającą z przepisów, naruszeniem ochrony danych jest naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych – przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przekładając powyższe na praktykę, naruszeniem będzie w szczególności:
- nieautoryzowany dostęp do danych osobowych – np. przez pracownika bez upoważnienia;
- utratę nośników zawierających dane osobowe – np. zgubienie laptopa, płyty, pendrive’a, dokumentu;
- nieautoryzowaną zmianę lub zniszczenie danych osobowych;
- pozyskiwanie danych osobowych z nielegalnych źródeł,
- bezpodstawne udostępnianie danych osobowych – nie mając ku temu podstawy prawnej.
Ważne, by mieć świadomość, że do naruszenia może dojść także wówczas, gdy Administrator dołożył należytej staranności w odpowiednim zabezpieczeniu danych i podjął działania mające zminimalizować ryzyko naruszeń. Innymi słowy, do naruszenia może dojść bez winy Administratora.
Każdy Administrator powinien prowadzić rejestr naruszeń, w którym ewidencjonuje się nie tylko stwierdzone naruszenia, ale także sytuacje, które uzasadniają samo podejrzenie wystąpienia naruszenia ochrony danych. Obie te sytuacje to tzw. Incydenty i należy je zamieścić w rejestrze.
Jednocześnie, w przypadku wystąpienia lub podejrzenia wystąpienia Incydentu, należy niezwłocznie podjąć działania mające na celu wykrycie przyczyn zdarzenia, zabezpieczenie materiału dowodowego, usunięcie skutków naruszenia oraz zapobieżenie jego ponownemu wystąpieniu. Pomocne może być stworzenie stosownej procedury, która zawierać będzie instrukcję postępowania w przypadku naruszenia lub podejrzenia naruszenia.
Należy również dokonać oceny, czy ewentualne naruszenie wiąże z ryzykiem naruszenia praw i wolności osób, których dane dotyczą, a jeśli tak, to czy jest to ryzyko standardowe, czy wysokie. Jest to o tyle istotne, że RODO nakłada na Administratorów obowiązek zgłaszania do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) tych naruszeń ochrony danych, które wiążą się z wystąpieniem ryzyka naruszenia praw i wolności osób fizycznych. Zawiadomienia należy dokonać w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli zgłoszenie jest dokonywane później, należy wówczas uzasadnić przyczynę opóźnienia. Z kolei, jeżeli ww. ryzyko oceniliśmy jako wysokie, należy również zawiadomić o naruszeniu osobę, której dane dotyczą – podając informacje niezbędne do podjęcia przez tę osobę działań, mogących to ryzyko zmniejszyć lub zapobiec negatywnym konsekwencjom związanym z dokonanym naruszeniem.
Podsumowując, jeżeli dojdzie do naruszenia ochrony danych lub podejrzenia jego wystąpienia – należy tę okoliczność odzwierciedlić w rejestrze naruszeń. Jeżeli w wyniku oceny naruszenia, Administrator dojdzie do wniosku, że naruszenie wiąże się z ryzykiem naruszenia praw i wolności osób fizycznych, dokonuje przy tym zawiadomienia PUODO, a jeżeli ryzyko jest wysokie, to oprócz organu nadzorczego zawiadamia o tym fakcie również podmiot danych.
Każdorazowo Incydent naruszenia ochrony danych należy także zgłaszać Inspektorowi Ochrony Danych, jeśli został on powołany. Inspektor może pomóc Administratorowi dokonać oceny naruszenia – które może nie być oczywiste w każdym przypadku. Pomoc Inspektora może polegać też na zaproponowaniu wdrożenia odpowiednich działań następczych i zapobiegawczych w organizacji.