Ogólne Rozporządzenie o Ochronie Danych, zwane także RODO nakłada na przedsiębiorców wiele obowiązków związanych z ochroną przetwarzanych przez nich danych osobowych. Obowiązki te mają na celu odpowiednie zabezpieczenie danych osób fizycznych, tak aby nieuprawnione podmioty nie miały do nich dostępu. Jednakże nawet w organizacji, która odpowiednio wdrożyła RODO, w sposób chociażby przypadkowy może pojawić się incydent bezpieczeństwa. Dlatego każdy przedsiębiorca powinien dysponować właściwą procedurą obsługi takich incydentów oraz przeszkolić pracowników w tym zakresie.

Czym jest incydent bezpieczeństwa w ochronie danych osobowych?

Zgodnie z definicją zawartą w RODO, naruszeniem danych osobowych jest naruszenie bezpieczeństwa danych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
Incydentem bezpieczeństwa będzie natomiast każde zdarzenie, które może powodować zagrożenie lub naruszenie danych osobowych, na przykład stwierdzenie obecności osoby nieuprawnionej w obszarze przetwarzania danych osobowych czy zgubienie klucza do pomieszczenia lub szafy, gdzie jest przechowywana dokumentacja pracownicza. Oznacza to, że nie wszystkie incydenty będą naruszeniem danych osobowych, ale na każdy incydent bezpieczeństwa należy odpowiednio zareagować.

Jak należy zareagować w przypadku incydentu?

Jeżeli jesteś administratorem danych osobowych, to przede wszystkim powinieneś dysponować właściwą procedurą obsługi incydentów bezpieczeństwa. Taka procedura powinna z kolei zawierać wszystkie kroki wskazane poniżej, dostosowane do struktury Twojej organizacji. Pracownicy są zapoznawani z treścią procedury, tak aby mogli właściwie zareagować na zaistniałe incydenty.
Obsługa incydentu bezpieczeństwa powinna wyglądać następująco:
1. Przekazanie informacji o zdarzeniu (incydencie) do osoby odpowiedzialnej za ochronę danych osobowych w organizacji (może być to inspektor ochrony danych lub inna wyznaczona osoba).
2. Ocena przez wyznaczoną osobę czy doszło do naruszenia ochrony danych osobowych.
3. Stwierdzenie naruszenia (jeżeli miało miejsce).
4. Zebranie informacji w celu oceny ryzyka naruszenia praw i wolności podmiotów danych i jego poziomu (kategorie podmiotów danych, zakres, rodzaj i ilość danych, źródło naruszenia i inne okoliczności).
5. Przeprowadzenie oceny ryzyka naruszenia praw i wolności podmiotów danych:

a) jeżeli w wyniku przeprowadzonej oceny jest prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych, należy je zgłosić do PUODO w ciągu 72 h od czasu uzyskania informacji o wystąpieniu naruszenia,
b) w przypadku, gdy wynikiem analizy będzie stwierdzenie prawdopodobieństwa wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz nie zachodzi wyłączenie z art. 34 ust. 3 RODO (wyłączeniem jest łączne spełnienie następujących przesłanek: zostały wdrożone odpowiednie środki techniczne i organizacyjne ochrony danych, zastosowano środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz zawiadomienie wymagałoby niewspółmiernie dużego wysiłku), należy niezwłocznie poinformować osoby, których dane dotyczą; powiadomienie takie powinno w szczególności zawierać opis charakteru naruszenia danych osobowych, dane punktu kontaktowego administratora, opis możliwych konsekwencji naruszenia oraz środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu oraz zminimalizowania negatywnych skutków naruszenia.

6. Wprowadzenie środków ograniczających/eliminujących podobne naruszenia.
7. Wpis zdarzenia do rejestru naruszeń.

Przeprowadzenie oceny ryzyka naruszenia

Powyższy opis działań wskazuje jednoznacznie, że niezwykle istotne jest właściwe przeprowadzenie oceny ryzyka naruszenia praw i wolności osób fizycznych, których dotyczą dane osobowe, gdyż prawdopodobieństwo lub wysokie prawdopodobieństwo ich wystąpienia wiąże się dla przedsiębiorcy z dodatkowymi obowiązkami. Metodyka oceny ryzyka może się różnić w zależności od organizacji. Przykładowo może ona opierać się na równaniu:

PR = KP x IP + ON
gdzie:
PR – Prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych.
KP – Kontekst przetwarzania danych – należy wziąć pod uwagę czynniki zaostrzające ryzyko (np. zakres danych) oraz czynniki obniżające ryzyko (np. powszechna dostępność), a także rodzaje danych osobowych (zwykłe, finansowe, behawioralne, wrażliwe, w tym dane dzieci).
IP – Łatwość identyfikacji podmiotu danych – określenie poziomu łatwości, z jaką można zidentyfikować osobę fizyczną na podstawie danych, których dotyczy naruszenie.
ON – Okoliczności naruszenia, jako suma ocen dla pięciu czynników (utraty poufności, utraty integralności, utraty dostępności, złośliwego działania, skali incydentu).

Administrator danych osobowych powinien również określić, jaki wynik prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych będzie stanowił małe prawdopodobieństwo (np. PR<4), wymagające jedynie wprowadzenia odpowiednich środków naprawczych i wpisu do rejestru naruszeń, a jakie średnie (np. 4 ≤ PR < 8 ), wymagające również notyfikacji do organu nadzorczego oraz wysokie (np. 8 ≤ PR), zobowiązujące także do zawiadomienia podmiotów danych.

Jak odpowiednio zabezpieczyć się przed incydentami?

Oprócz wprowadzenia procedury obsługi incydentów bezpieczeństwa i przeszkolenia pracowników w tym zakresie, przedsiębiorcy przetwarzający dane osobowe powinni stosować wszelkie środki umożliwiające prawidłowe zabezpieczenie danych osobowych. Środki te będą zależne od rodzaju przetwarzanych danych osobowych, ich zakresu oraz celu tego przetwarzania. Niezwykle ważne przy określaniu właściwych zabezpieczeń jest wcześniejsze przeprowadzenie analizy ryzyka. Analiza ryzyka ma bowiem na celu ustalenie, jakie są potencjalne zagrożenia związane z przetwarzaniem danych osobowych oraz wybranie takich zabezpieczeń, których wdrożenie pozwoli zneutralizować te zagrożenia i osiągnąć odpowiedni poziom ochrony danych osobowych.

Autorka:
Patrycja Bądek – radca prawny dla branży IT i e-commerce, partner w J. Mlekodaj P. Bądek Kancelaria Radców Prawnych sp. p. z siedzibą w Krakowie. Specjalizuje się w umowach IT, regulaminach usług świadczonych drogą elektroniczną, wdrożeniach RODO oraz tłumaczeniach prawniczych. Prowadzi także bloga o prawie dla przedsiębiorczych – www.legalnyprzedsiebiorca.pl.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *