Identyfikacja zdarzenia, zgłoszenie i obsługa naruszenia, zakończenie postępowania, zalecenia i działania pokontrolne - Przedstawiamy procedurę postępowania dla podmiotów przetwarzających dane osobowe.
W 2022 r. do UODO wpłynęło 6995 skarg, w których wydano 1830 decyzji administracyjnych. Dotyczyły nieprawidłowości w zakresie przetwarzania danych osobowych przez administratorów danych zarówno z sektora publicznego jak i prywatnego. Łączna kwota kar wyniosła 7 850 861 zł. Częstą przyczyną nałożenia administracyjnej kary pieniężnej jest brak współpracy z organem (nieodbieranie korespondencji również jest traktowane w ten sposób) oraz niezgłoszenie naruszenia przez administratora, który miał świadomość jego zaistnienia. W tym krótkim tekście przedstawimy w jaki sposób właściwie podejść do kwestii identyfikacji oraz obsługi naruszenia zgodnie z obowiązującymi przepisami.
Od czasu przekształcenia organu nadzorczego z Generalnego Inspektora Ochrony Danych Osobowych, Prezes Urzędu Ochrony Danych Osobowych, co roku, do 31 sierpnia publikuje sprawozdanie ze swojej działalności za rok ubiegły.
W 2022 r. do Urzędu Ochrony Danych Osobowych wpłynęło 6995 skarg, w których wydano 1830 decyzji administracyjnych. W porównaniu do roku 2021 nastąpił wzrost o niemal 100 decyzji. Skargi składane do UODO związane są z zarzutem nieprawidłowości w zakresie przetwarzania danych osobowych przez administratorów danych zarówno z sektora publicznego jak i prywatnego.
Większe wrażenie robi liczba odnosząca się do zgłoszonych naruszeń oraz konsekwencji finansowych jakie poniosło 20 podmiotów, na które nałożono kary. W roku 2022 do UODO wpłynęło 12 722 zgłoszenia naruszeń. Łączna kwota kar nałożonych w związku z tym wyniosła 7 850 861 zł.
Identyfikacja zdarzenia
Przyjmijmy, że pod pojęciem naruszenia będziemy rozumieli sytuację, w której będziemy zobowiązani do zgłoszenia jej do organu nadzorczego, czyli takie zdarzenie, które może skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Oznacza to, że po zaistnieniu zdarzenia, polegającego np. na przesłaniu danych osobowych do niewłaściwego odbiorcy, musimy dokonać jego oceny. Dokonując oceny musimy uwzględnić m.in.:
kategorie przesyłanych danych,
ilość odbiorców nieuprawnionych do podjęcia określonych informacji,
ilość rekordów, które zostały przesłane,
czy przesyłane dane były wcześniej dostępne publicznie,
prawdopodobieństwo identyfikacji danej osoby,
możliwość odzyskania danych,
zastosowane środki techniczne uniemożliwiające wgląd w dane (szyfrowanie).
Na tym etapie jako narzędzie pomocnicze można wykorzystać jedną z metodyk oceny zdarzenia, która pozwoli nam na uzyskanie wyniku liczbowego wskazującego na wagę naruszenia, od której zależeć będzie czy dane zdarzenie kwalifikuje się do zgłoszenia go.
Obsługa naruszenia
Okazuje się, że po przeprowadzonej ocenie zdarzenia uznaliśmy, że zachodzi wysokie ryzyko naruszenia praw lub wolności osób, których danych dotyczy naruszenie. W pierwszej kolejności musimy przeprowadzić działania wyjaśniające, które pozwolą nam ustalić szczegóły niezbędne do zgłoszenia. W tym celu sporządzamy raport, który powinien zawierać:
określenie daty stwierdzenia naruszenia (najlepiej jak najdokładniej, gdyż czas na złożenie zgłoszenia wynosi 72 godziny od momentu stwierdzenia, że do naruszenia doszło)
określenie osoby, która dostrzegła lub zgłosiła nam naruszenie,
lokalizację zdarzenia,
rodzaj naruszenia oraz okoliczności mu towarzyszące,
wskazanie możliwych konsekwencji do osób, których danych dotyczyło naruszenie,
określenie przyczyn wystąpienia naruszenia,
opis postępowania wyjaśniającego,
wskazanie podjętych działań naprawczych.
Powyższe elementy stanowią wyczerpujący opis, który będzie bardzo przydatny podczas kolejnego kroku, czyli zgłoszenia naruszenia do UODO. Zanim jednak to nastąpi warto skupić się na jeszcze jednej kwestii. Jest nią powiadomienie osób, których dotyczyło naruszenie o jego zaistnieniu. Jest to o tyle istotne, że po pierwsze osoba ta powinna mieć szansę jak najszybciej zabezpieczyć się przed negatywnymi skutkami naruszenia, po drugie, jest to krok, który dość często jest pomijany w trakcie zgłaszania, a który powoduje, że odnosząc się do zgłoszenia urzędnik reprezentujący UODO, wskaże brak powiadomienia osoby jako nieprawidłowość. Powiadomienie osoby powinno zatem nastąpić albo równolegle ze zgłoszeniem albo tuż przed nim.
Powiadomienie powinno zawierać:
dane administratora danych osobowych,
dane IOD (o ile został powołany),
datę i miejsce naruszenia,
opis charakteru naruszenia,
możliwe konsekwencje naruszenia,
środki zastosowane w celu minimalizacji skutków naruszenia,
rekomendacje dla osoby zagrożonej.
Po podjęciu wszystkich wymienionych kroków możemy przejść do właściwego zgłoszenia. Dokonać go można zarówno drogą elektroniczną jak i tradycyjną. Na stronie internetowej UODO (https://uodo.gov.pl/pl/492/2278) wskazano, że zgłoszenia dokonuje się:
korzystając z dedykowanego formularza,
wysyłając wypełniony formularz na skrzynkę podawczą UODO
korzystając z pisma ogólnego,
przesyłając zgłoszenie drogą pocztową,
Zgłoszenie zawiera, zgodnie z art. 33 ust. 2 RODO:
opis charakteru naruszenia,
kategorie danych oraz liczbę osób, których naruszenie dotyczyło,
liczbę rekordów danych, których naruszenie dotyczyło,
imię i nazwisko oraz dane kontaktowe IOD lub innego punktu kontaktowego,
opis możliwych konsekwencji naruszenia,
opis zastosowanych lub proponowanych środków minimalizujących negatywne skutki naruszenia.
Jak zatem widać, wszystkie te informacje możemy przepisać z wcześniej sporządzonego raportu. Raport jest jednym z elementów dokumentowania działań podjętych przez administratora, które mogą być weryfikowane przez organ nadzorczy w ramach sprawdzenia przestrzegania art. 33 RODO. Każdy raport powinien być ewidencjonowany.
Przykładowy rejestr naruszeń może zawierać takie informacje jak:
data zdarzenia,
kategorie danych uczestniczących w zdarzeniu,
ilość osób, których zdarzenie dotyczyło,
ilość rekordów,
nr raportu,
datę zawiadomienia organu nadzorczego,
w przypadku braku zawiadomienia, podanie przyczyny.
Podchodząc do kwestii dokumentowania zdarzeń warto przyjąć zasadę, zgodnie z którą odnotowaniu podlegają wszystkie zdarzenia, nawet te, których ostatecznie nie zakwalifikowaliśmy jako naruszenie. Takie podejście umożliwi, po czasie, weryfikację czy określone rodzaje zdarzeń powtarzają się i z jaką częstotliwością się to dzieje. Załóżmy, że raz w miesiącu dochodzi do błędnego wysłania pliku z danymi osobowymi i trafiają one do osoby nieuprawnionej. Być może przyczyną tego stanu rzeczy jest jakiś aspekt techniczny lub organizacyjny, który można wyeliminować.
Zakończenie postępowania
Po przesłaniu zgłoszenia powinniśmy się spodziewać pisma z UODO, w którym wskazuje się, czy wszczęto postępowanie administracyjne związane ze zgłoszeniem oraz czy je zakończono. Może zdarzyć się, że urzędnik wyda zalecenia, które należy wykonać we wskazanym terminie oraz udowodnić, że zostały one istotnie zastosowane. Takim zaleceniem może być przeprowadzenie szkolenia personelu, zastosowanie określonych rozwiązań technicznych lub organizacyjnych lub wspomniane wcześniej powiadomienia osoby/osób, których danych naruszenie dotyczyło.
W każdym przypadku zakończenie postępowania zostanie nam zakomunikowane pisemnie. Wystąpienie naruszenia może być powodem stresu, zważywszy na potencjalną karę finansową, jednak prawidłowo przeprowadzona procedura, w tym udokumentowanie podjętych działań oraz współpraca z UODO z całą pewnością sprawią, że ryzyko nałożenia administracyjnej kary pieniężnej będzie odpowiednio niższe.
Masz problem z naruszeniem ochrony danych? Szukasz doradztwa i pomocy w tym zakresie? U nas otrzymasz pilną POMOC. Prosimy o kontakt:
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOgrupa.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.
Dodatkowe informacje: