Na administratorach danych spoczywa odpowiedzialność za wybór adekwatnych środków organizacyjnych i technicznych w celu zapewniania odpowiedniej ochrony danych osobowych. Ustawodawca ma świadomość, że mogą zdarzać się sytuacje niepożądane, które określane są w unijnym rozporządzeniu dotyczącym ochrony danych osobowych (RODO) jako naruszenia ochrony danych osobowych. Są one wynikiem naruszenia zasad bezpieczeństwa, a ich skutkiem może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do przetwarzanych danych.
Jak działać w przypadku naruszenia?
W sytuacji wystąpienia incydentu, administrator powinien przeprowadzić analizę w celu stwierdzenia czy doszło do naruszenia. Następnie konieczne jest przeprowadzenie oceny pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Uwzględnić należy przy tym m.in. wielkość szkody, która może zostać poniesiona przez osobę, której dane dotyczą, a także charakter i zakres danych które są objęte naruszeniem.
Wystąpienie naruszenia często związane jest z obowiązkiem zgłoszenia go do organu nadzorczego. Administrator musi to uczynić nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jeśli nie jest to możliwe – po upływie tego czasu należy dołączyć także wyjaśnienia dotyczące przyczyn opóźnienia. Kluczowym jest czas stwierdzenia naruszenia. Między innymi dlatego, na administratorze spoczywa obowiązek sporządzenia procedury dotyczącej wykrywania incydentów i skutecznego jej wdrożenia.
Nie każde naruszenie trzeba jednak zgłaszać. Jeśli administrator wykaże, że ryzyko naruszenia praw i wolności jest mało prawdopodobne, nie ma takiego obowiązku. Dokonanie takiej oceny nie jest łatwe. UODO zauważa, że administratorzy nadal mają problemy z oceną, jakie ryzyko może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych.
Pamiętać należy, że w celu wykazania rozliczalności administratorzy powinni rejestrować wszystkie naruszenia (podlegające zgłoszeniu lub nie) wraz z informacją o przyczynie, przebiegu naruszenia, a także konsekwencjach i środkach naprawczych podjętych przez administratora.
Czy powiadamiać o naruszeniu osobę, której dane dotyczą?
RODO nakazuje także zawiadomić o naruszeniu osobę, której dane dotyczą w sytuacji, gdy naruszenie może spowodować wysokie ryzyko naruszenia praw i wolności tej osoby. Oceny czy ryzyko jest wysokie powinien dokonać sam administrator. Zawiadomienie musi nastąpić bez zbędnej zwłoki, a jego celem jest przede wszystkim możliwość podjęcia działań zapobiegawczych przez osoby, których dane dotyczą. W myśl zaleceń Grupy Roboczej Art. 29, administrator powinien wybrać najszybszą formę utrwalonej komunikacji.
RODO, a także wytyczne UODO oraz Grupy Roboczej dają nam wskazówki co robić w przypadku wystąpienia naruszenia. Jednak w zależności od, chociażby rodzaju działalności jaką prowadzimy, kategorii i zakresu przetwarzanych danych, określenie stopnia ryzyka naruszenia może przysparzać problemów. Warto więc pamiętać o wytycznych Grupy Roboczej art. 29 RODO, zgodnie z którymi w przypadku wątpliwości co do obowiązku zgłoszenia naruszenia należy „ostrożnościowo” dokonać takiego zgłoszenia.