Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony ich danych
Obowiązek informowania o wycieku danych to istotna zmiana wprowadzona przez RODO. Przed wejściem w życie Rozporządzenia takie zawiadomienie było całkowicie fakultatywne i niezależne od skali naruszenia i zakresu ujawnionych danych.
Obecnie, jeżeli ujawnienie danych może powodować wysokie ryzyko naruszenia praw i wolności osób objętych naruszeniem, administrator ma bezwzględny obowiązek poinformowania tych osób jasnym i prostym językiem o:
- charakterze i rodzaju naruszenia ochrony danych osobowych,
- imieniu, nazwisku oraz danych kontaktowych inspektora ochrony danych lub danych innego punktu kontaktowego, od którego można uzyskać więcej informacji,
- możliwych konsekwencjach naruszenia dla osób, których dane ujawniono,
- środkach zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środkach w celu zminimalizowania jego ewentualnych negatywnych skutków.
Obowiązek informowania o wycieku danych – aspekt praktyczny
Informowanie o wycieku i innych naruszeniach ochrony danych osobowych spowodowane jest przede wszystkim obawą o kradzież tożsamości osób, których dane dotyczą.
Tego typu działania mogą obejmować tworzenie fałszywych dokumentów czy podszywanie się przed instytucjami, ale również wykorzystanie przejętych tożsamość w sieci, chociażby w postaci profilu lub konta w mediach społecznościowych. Głośnym przykładem kradzieży tożsamości w sieci był atak hakerski przeprowadzony na konta znanych osób na platformie Twitter. Przestępcy namawiali za pośrednictwem profili znanych osób do zakupu kryptowalut. Takie ataki z wykorzystaniem więzi emocjonalnej są coraz częstsze.
Obowiązek notyfikacyjny wynika z naruszenia bezpieczeństwa danych, rozumianych jako ich integralność, poufność, dostępność i autentyczność. Funkcjonalnie informowanie osób, których dane dotyczą najbardziej związane jest z naruszeniem poufności. Zachodzi wtedy największe prawdopodobieństwo kradzieży tożsamości lub innych naruszeń przeciwko osobie, której dane dotyczą. Jednak nie da się wykluczyć konieczności komunikacji z osobami fizycznymi w przypadku utraty danych.
Sprawdź jak wdrożyć RODO w twojej organizacji
Obowiązek informowania o wycieku danych – czy zawsze musi być spełniony?
Artykuł 34 RODO wymienia też sytuacje, w których administrator nie musi informować osób o powstałym naruszeniu. Pierwszą przesłanka jest zastosowanie odpowiednich środków ochrony danych – przykładowo ich zaszyfrowania. Jeżeli bowiem administrator utraci kontrolę nad bazą danych, która będzie zaszyfrowana, osoby trzecie nie będą w stanie łatwo odczytać utraconych danych.
Z obowiązku informowania zwalniają również kroki następcze, które uniemożliwiają dostęp do danych. Przykładem może być sytuacja, w której administrator rozsyła od osób, których dane dotyczą aktywne linki, prowadzące na stronę z danymi osobowymi. Wskutek nieprawidłowości linki zostały jednak wygenerowane błędnie. Administrator natychmiastowo podejmuje działania dezaktywujące linki i uniemożliwia tym samym zapoznanie się z ujawnionymi danymi.
Trzecią przesłanką jest niewspółmiernie duży wysiłek związany z informowaniem każdej osoby, której dane dotyczą. Można zastąpić to wówczas publicznym komunikatem lub podobnym środkiem – przykładowo jedna z sieci fast food wykupiła w tym celu ogłoszenie w mediach. Naruszenie dotyczyło bowiem archiwalnych danych pracowników z okresu kilkudziesięciu lat. Dotarcie do tych pracowników było wręcz niemożliwe, stąd też administrator skorzystał z ogłoszenia publicznego. Decyzja o tym, że zamiast zawiadomienia, administrator zastosuje ogłoszenie, powinna być dokumentowana oraz uargumentowana.
Obowiązek informowania i wycieku danych a forma zawiadomienia
W takim razie w jakiej formie należy powiadomić o naruszeniu?
Obowiązek informowania o wycieku i innych naruszeniach ochrony danych osobowych nie ma narzuconej żadnej formy. Wskazuje się jedynie, że informacja powinna być przekazana jasnym i prostym językiem opisującym elementy związane z naruszeniem.
Dopuszczalne jest dokonanie zgłoszenia w formie pisemnej lub elektronicznej. W tym drugim przypadku zwykle mowa o drodze e-mailowej. Grupa Robocza Art. 29 w swoich wytycznych dopuszcza także udokumentowane formy, np. wiadomości sms czy wiadomości komunikatorów elektronicznych, a także banery na stronie internetowej.
Obowiązek informowania o wycieku danych- ile mamy czasu?
Osoby, których dane dotyczą powinny być zawiadomione o zdarzeniu bez zbędnej zwłoki, to znaczy tak szybko jak będzie to możliwe (art. 34 ust. 1 RODO). Przy obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, europejski ustawodawca wskazał, że określenie bez zbędnej zwłoki nie powinno przekraczać 72 godzin. W przypadku zawiadomienia osób, których dane dotyczą o incydencie, czas na zgłoszenie nie został określony.
W praktyce zawiadomienia osób dotkniętych naruszeniem często następuje po zawiadomieniu organu nadzorczego. Zgodnie z motywem 86 RODO poinformowanie osób powinno być bowiem dokonywane w uzgodnieniu z organem nadzorczym. Oczywiście zdarzają się sytuacje, w których zawiadomienie osób może nastąpić przed zgłoszeniem naruszenia organowi, przykładowo, gdy szkoda dla osób fizycznych może wystąpić od razu.
Dodatkowo, w myśl zaleceń Grupy Roboczej Art. 29, administrator powinien wybrać najszybszą formę utrwalonej komunikacji.
Informowanie o wycieku i innych naruszeniach ochrony danych osobowych powoduje utratę zaufania ze strony klientów i podmiotów współpracujących, jednak ukrycie takiego naruszania i brak transparentności może powodować jeszcze większe szkody. Warto więc wypełnić obowiązki wynikające z przepisów RODO w sposób kompletny, a w razie wątpliwości poprosić o wsparcie profesjonalistów zajmujących się ochroną danych osobowych.