Blog

Problematyką zgłaszania naruszeń zajmuje się art. 33 oraz 34 rodo w zw. z art. 4 pkt 12 rodo, przy czym aby być precyzyjnym i odróżnić zgłoszenie do UODO od zgłoszenia osobie, której dane dotyczą, to drugie nazywane jest zgodnie z rodo zawiadomieniem. Czyli zgłaszamy do UODO a zawiadamiamy osobę dotkniętą naruszeniem.

• Naruszenie ODO a naruszenie praw lub wolności
  • Motyw 75 zawierający zarówno przyczyny jak i skutki
• Analiza ryzyka którego przyczyną jest naruszenie a nie przetwarzanie
• Metodologia
  • Kradzież tożsamości
  • Modyfikacja metodologii ENISY
• Dochodzenie u procesora
• Przepisy

Naruszenie ODO a naruszenie praw lub wolności

Czym jest naruszenie ochrony danych osobowych definiuje art. 4 pkt 12 rodo:

„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

Należy to odróżnić od naruszenia praw lub wolności osoby (skutek), do którego naruszenie odo (przyczyna) może doprowadzić z różnym ryzykiem (prawdopodobieństwem i wagą skutku). I właśnie ryzyko naruszenia praw lub wolności stanowi powód zgłoszenia (zawiadomienia), a więc samo naruszenie odo jeszcze o tym nie przesądza. Dodatkowo czy w ogóle doszło do naruszenia odo, należy ustalić na podstawie dochodzenia spowodowanego uzasadnionym podejrzeniem, że zaobserwowane zdarzenie (incydent) stanowi naruszenie. W początkowej fazie kiedy pracownik, któregoś z działów organizacji, zaobserwuje jakieś anomalia np. w funkcjonowaniu stacji roboczej, nie wiadomo jeszcze czy doszło do naruszenia, ale mamy do czynienia z incydentem i informatyk (ASI) musi ustalić, czy jest to naruszenie.

Przykład:

Naruszenie odo (przyczyna): ujawnienie imienia, nazwiska i adresu zamieszkania

Naruszenie praw lub wolności (skutek): niepokój osoby, że stanie się coś złego, np. intruz odwiedzi ją pod adresem zamieszkania (naruszenie prawa do spokoju)

Prawdopodobieństwo skutku: małe (99 proc ludzi nie odczuwa niepokoju z powodu tak błahego, setki tysięcy ludzi dobrowolnie ujawnia swój pesel zestawiony z imieniem nazwiskiem i adresem prowadzenia działalności spółki w KRS, co dla intruza zainteresowanego i zdeterminowanego do śledzenia osoby prowadzi również do adresu jej zamieszkania)

Waga skutku: niska (w porównaniu z nieszczęściami (choroby, katastrofy, wypadki drogowe, kalectwo) jakie spadają na ludzi (osoby, których dane dotyczą) wartość takiego skutku jak niepokój jest znikoma)

Konkretne okoliczności mogą oczywiście zmienić ocenę tych wartości, w szczególności komu ujawniono, czy ujawniono osobie, która z popełniania przestępstw uczyniła sobie stałe źródło dochodu, czy osobie, która uprzednio dokonywała nieudanych zamachów na osobę, której dane dotyczą itd.

Należy zauważyć, że różne organy nadzorcze mogą różnie oceniać takie naruszenie. Jeszcze inaczej mogą oceniać to sądy administracyjne. Np. UODO wyraził takie stanowisko:

W ocenie Prezesa UODO, sytuacja, w której wspomniana w przykładzie korespondencja (zawierająca przynajmniej takie kategorie danych, jak imię, nazwisko i numer PESEL) jest dostarczana osobie znanej bądź nieznanej administratorowi, co do zasady wiąże się z wysokim ryzykiem dla osób, których dane dotyczą. Można przyjąć inne prawdopodobieństwo w sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi (np. innemu klientowi administratora, który poinformował o pomyłce bądź oświadczył, że nie wykorzystał przekazanych omyłkowo informacji do celów prywatnych i/lub niezgodnych z prawem), nie daje to jednak żadnej gwarancji, że intencje takiej osoby obecnie bądź w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące.

Zakres danych: imię nazwisko, adres zamieszkania, cena i wygląd butów, ujawniony jednej osobie, jako generujący niskie ryzyko ocenił EROD w Wytycznych 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych, przyjęte 14 grudnia 2021 r., wersja 2.0, pkt 106. To zostało oczywiście słusznie ocenione. Natomiast niesłusznie moim zdaniem w pkt 119 oceniono prawdopodobieństwo jako: od niskiego do średniego. Taki przedział nie powinien być stosowany. Albo niskie albo średnie, i tu było wg mnie też małe. W konsekwencji błędnie ustalono że podlega zgłoszeniu do organu. Natomiast prędzej za trafne można uznać ustalenie w pkt 111, że ujawnienie do 60 tyś osób, generuje wysokie ryzyko. Tylko w takim razie jaki poziom ryzyka generuje ujawnienie nr pesel w KRS, bo to jest ujawnione nie tysiącom, tylko milionom osób. Obowiązuje zasada pewności prawa, jeśli ustawodawca ocenia zestaw imię nazwisko pesel, jako powodujący małe prawdopodobieństwo naruszenia praw lub wolności, to nie może innej oceny oczekiwać od administratora i za ocenę zbieżną z oceną ustawodawcy na administratora nie powinna spaść kara. Taka dwuznaczna postawa państwa naruszała by też zasadę rozstrzygania wątpliwości prawnych na korzyść strony (art. 7a kpa) oraz zasadę zaufania do władzy publicznej (art. 8 kpa).

Motyw 75 zawierający zarówno przyczyny jak i skutki

W wyroku WSA z dnia 19.4.2022, sygn. II SA/Wa 3024/21, Sąd trafnie stwierdził że ujawnienie nr pesel do jednej osoby, nie stanowi wysokiego ryzyka naruszenia praw lub wolności, obligującego do zawiadomienia osoby. Błędnie jednak (i niekonsekwentnie) uznał, że doszło nie tylko do prawdopodobieństwa wyższego niż małe ale wręcz do naruszenia praw lub wolności osoby, w postaci utraty przez nią kontroli nad danymi, w rozumieniu art. 33 ust. 1 rodo, i dlatego naruszenie odo należało zgłosić do organu. Przy tym należy zwrócić uwagę na niekonsekwencję: naruszenie praw lub wolności (pewność) jest czymś więcej niż wysokie ryzyko (niepewność) naruszenia praw lub wolności, tym bardziej powinno więc skutkować zawiadomieniem. Sąd stwierdził, że to samo zdarzenie, czyli ujawnienie danych, nie stanowi wysokiego ryzyka naruszenia praw lub wolności (dlatego nie podlega zawiadomieniu osoby) i stanowi naruszenie praw lub wolności, w postaci utraty kontroli nad własnymi danymi przez osobę. Taka błędna wykładnia oznacza, że każde naruszenie odo (ujawnienie) jest naruszeniem praw lub wolności (utrata kontroli nad swoimi danymi) i zaciera różnicę między tymi pojęciami. Jest to stanowisko sprzeczne z pkt 106 wyżej zacytowanych Wytycznych EROD, gdzie utrata kontroli nad danymi nie została zakwalifikowana do zgłoszenia do organu nadzorczego. Błąd Sądu wynika prawdopodobnie z błędnego odczytania motywu 75 rodo. Motyw ten po pierwsze dotyczy etapu analizy ryzyka wynikającego z przetwarzania, a nie z naruszenia odo. Po drugie podaje przykłady przyczyn (a nie tylko skutków) które mogą prowadzić do naruszenia praw lub wolności z różnym prawdopodobieństwem, i wśród tych przyczyn wymienia utratę przez osobę kontroli nad danymi. Mylące jest to, że w akapicie pierwszym motyw ten podaje skutki np. dyskryminację, kradzież tożsamości itd. Mylący jest również motyw 85, który wprost, błędnie utratę kontroli nad własnymi danymi, wymienia jako postać szkody, obok np. dyskryminacji czy straty finansowej. Motyw 75 ponieważ dotyczy przetwarzania, to wymienia niekorzystne skutki przetwarzania w postaci naruszenia odo i dalsze skutki dla których naruszenie odo jest przyczyną – dopiero te dalsze skutki stanowią naruszenie praw lub wolności. Czyli patrząc na pokrętnie zredagowany motyw 75, wynika z niego, że: „(…) jeżeli osoby, których dane dotyczą, mogą zostać pozbawione (…) możliwości sprawowania kontroli nad swoimi danymi osobowymi„ może to „(…) prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych„. Dopiero prawdopodobieństwo i waga tego uszczerbku (szkody) podlega analizie i od wyniku tej analizy zależy obowiązek zgłoszenia do organu lub zawiadomienia osoby. Sama utrata kontroli nad danymi nie jest jeszcze żadną szkodą (naruszeniem praw lub wolności), każdy człowiek który funkcjonuje w jakimś zakresie utracił kontrolę nad swoimi danymi. Z tego względu słusznie w Wytycznych 01/2021 uznano, że utrata kontroli nad imieniem nazwiskiem, adresem zamieszkania, ceną i wyglądem butów (naruszenie odo) z małym prawdopodobieństwem prowadzi do np. dyskryminacji czy utraty dobrego imienia (naruszenie praw lub wolności). Słusznie również wyliczenie (katalog) skutków w KODEKSIE POSTĘPOWANIA DLA SEKTORA OCHRONY ZDROWIA WYDANYM ZGODNIE Z ART. 40 RODO, 11 grudnia 2023 r., na s. 87 pomija pierwszy przykład z motywu 85 rodo (utrata kontroli nad własnymi danymi osobowymi) i rozpoczyna od dyskryminacji (co prawda lepiej jakby zaczął od ograniczenia praw). Chociaż samo wyliczenie błędnie nazwano katalogiem skutków naruszenia praw lub wolności, ponieważ jest to katalog naruszeń praw lub wolności i jednocześnie katalog skutków naruszeń odo. Nie jest to pierwsza sytuacja gdzie dochodzi do omyłkowego użycia terminów „naruszenie odo” czyli przyczyna i „naruszenie praw lub wolności” czyli skutek naruszenia odo.

Jeśliby te pojęcia porównywać do przesłanek odpowiedzialności odszkodowawczej na gruncie k.c., to „naruszenie odo” jest bezprawnością, a „naruszenie praw lub wolności” szkodą (materialną lub niematerialną). I również na gruncie k.c. sąd cywilny nie zasądzi odszkodowania (zadośćuczynienia) z powodu samego doprowadzenia do utraty przez osobę kontroli nad jej danymi (bezprawności), musi jeszcze wystąpić szkoda (np. niepokój, utrapienie, strata finansowa) i adekwatny związek przyczynowy, czyli przyczyną utrapienia musi być utrata kontroli nad danymi, a nie nadzwyczajna wrażliwość osoby. Przesłanka adekwatnego związku przyczynowego każe brać pod uwagę obiektywne (normalne) skutki bezprawności, czyli skutki jakie występują u większości obywateli, o przeciętnej wrażliwości i stabilności psychicznej.

Art. 361. [Związek przyczynowy; Zakres obowiązku odszkodowawczego]
§ 1. Zobowiązany do odszkodowania ponosi odpowiedzialność tylko za normalne następstwa działania lub zaniechania, z którego szkoda wynikła.

Od momentu ustalenia, że doszło do naruszenia odo należy liczyć 72h na zgłoszenie do UODO i w tym czasie należy dokonać analizy ryzyka naruszenia praw lub wolności, która odpowie na pytanie czy naruszenie odo podlega zgłoszeniu.

Zgłoszeniu do UODO podlega tylko naruszenie odo, które będzie skutkowało naruszeniem praw lub wolności osoby z prawdopodobieństwem wyższym niż małe. Na etapie decyzji czy zgłaszać nie uwzględniamy więc wagi skutku (naruszenia praw lub wolności). Jest tak dlatego, że przepis nie precyzuje stopnia ryzyka (w przeciwieństwie do art. 35 ust. 1), mówi że zgłaszać trzeba jakiekolwiek ryzyko globalne, jeśli jego parametr prawdopodobieństwa przekracza małe: „chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem (o jakiejkolwiek wadze – przyp. wł.) naruszenia praw lub wolności osób fizycznych.”

Wagę skutku uwzględniamy przy decyzji czy zawiadomić osobę ponieważ przepis art. 34 rodo mówi o wysokim ryzyku, a takie powstaje z kombinacji średniej wagi i dużego prawdopodobieństwa albo wysokiej wagi i średniego prawdopodobieństwa. Wartość globalnego ryzyka wynika z przyjętej matrycy ryzyka.

Analiza ryzyka którego przyczyną jest naruszenie a nie przetwarzanie

Analiza ryzyka jakiej należy dokonać aby odpowiedzieć na pytanie czy i kogo informować o naruszeniu odo i wynikającym z niego ryzyku naruszenia praw lub wolności, różni się od analizy ryzyka prowadzonej na etapie przetwarzania, ponieważ analiza ta ma dać odpowiedź na pytanie jakie ryzyko wynika z konkretnego naruszenia odo, które przy poprzedniej ocenie (analizie ryzyka I i II stopnia) jeszcze nie było pewne, a więc wtedy istniała niepewność zarówno co do przyczyny (naruszenie odo) jak i co do jej skutku (naruszenie praw lub wolności osoby). Analizując jakie ryzyko dla praw i wolności wynika z przetwarzania, musimy uwzględniać zarówno jakie jest prawdopodobieństwo, że dojdzie do naruszenia odo, jak i to jakie jest prawdopodobieństwo, że naruszenie odo spowoduje naruszenie praw lub wolności z określoną wagą (dotkliwością) dla osoby, po naruszeniu odo interesuje nas już tylko to drugie.

Metodologia

Rodo nie daje odpowiedzi jak przeprowadzić analizę ryzyka po wystąpieniu naruszenia odo. Z pomocą przychodzą w szczególności cztery opracowania:

• Wytyczne PUODO (Stosowanie technicznych środków bezpieczeństwa  w aspekcie zgłoszeń naruszeń do UODO oraz ocena wagi naruszenie w oparciu o zalecenia Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA)
• Poradnik UODO: Obowiązki administratorów związane z naruszeniami ochrony danych osobowych (Wersja 1.0 | Maj 2019)
• Metodologia ENISY co do oceny wagi naruszenia oraz
• Wytyczne G29 w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679 przyjęte 3 października 2017 r. (WP 250)

Każde warte jest uwagi, jednak na szczególną zasługuje metodologia ENISY, na którą zresztą powołują się poradniki UODO.

Agencja proponuje wzór na wagę naruszenia odo (WN), WN=KPD*PI+ON, gdzie:

WN – Waga Naruszenia ODO

KPD (A+B) – Kontekst Przetwarzania Danych: rodzaj i wrażliwość danych (A) oraz kontekst przetwarzania (B)

PI- Prawdopodobieństwo Identyfikacji

ON – Okoliczności Naruszenia.

Metodologia ta jest przydatna jako wzorzec i źródło inspiracji, ma jednak istotny mankament, który można łatwo wyeliminować. Nie uwzględnia bowiem parametru prawdopodobieństwa wystąpienia naruszenia praw lub wolności w odpowiednim miejscu, a jedynie prawdopodobieństwo identyfikacji, które wpływa na kontekst przetwarzania danych i ostateczny wynik, ale wynik ten nie odpowiada na pytanie jakie jest prawdopodobieństwo (a od tego zależy zgłoszenie) tylko jaka jest waga naruszenia praw lub wolności. Zawiera więc błąd metodologiczny ponieważ ze stopnia prawdopodobieństwa wyciąga wniosek o stopniu wagi, co jest pozbawione sensu, ponieważ wielkości te dotyczą innych kategorii, które na siebie nie wpływają. Mogą na siebie wpływać ale jeśli dotyczą innych ryzyk, ale to też byłby błąd, bo każde ryzyko powinno być rozpatrywane z osobna pod względem wagi i prawdopodobieństwa jeśli ma dawać miarodajny wynik globalny. Tym niemniej jeśli mamy

• naruszenie odo: nieumyślne ujawnienie dokumentu z imieniem nazwiskiem adresem zamieszkania i nr pesel do 5 tyś przypadkowych osób
• naruszenie praw lub wolności nr 1: kradzież tożsamości (prawdopodobieństwo: małe; waga: wysoka, ryzyko: niskie)
• naruszenie praw lub wolności nr 2: niepokój osoby, że jej tożsamość zostanie skradziona (prawdopodobieństwo: średnie; waga: niska; ryzyko: niskie)
• naruszenie praw lub wolności nr 3: finansowe konsekwencje kradzieży tożsamości (prawdopodobieństwo: bardzo małe; waga: bardzo wysoka; ryzyko: niskie)

to oczywiście parametr prawdopodobieństwa ryzyka nr 1 wpłynie na parametr wagi ryzyka nr 2 – bo im większe jest prawdopodobieństwo kradzieży tożsamości tym większy (waga) niepokój osoby. Ale jeśli prawidłowo z osobna rozpatrujemy prawdopodobieństwo i wagę kradzieży tożsamości oraz prawdopodobieństwo i wagę niepokoju – to wtedy te wielkości nie wpływają na siebie, tylko pomnożone osobne parametry dają dwa osobne ryzyka globalne. Jeśli z jednego naruszenia odo mamy kilka ryzyk, to o konieczności zgłoszenia decyduje parametr prawdopodobieństwa któregokolwiek z tych ryzyk. W przykładzie powyżej jeśli prawdopodobieństwo kradzieży tożsamości (nr 1) jest małe, ale prawdopodobieństwo niepokoju osoby (nr 2) jest średnie, to naruszenie odo podlega zgłoszeniu nawet jeśli waga niepokoju jest niska. Niska waga niepokoju będzie wynikać z wiedzy osoby, której dane dotyczą że prawdopodobieństwo kradzieży tożsamości jest małe (jego waga jest wysoka), a jeszcze mniejsze jest prawdopodobieństwo poniesienia przez nią finansowych konsekwencji tej kradzieży (nr 3) (tu waga jest bardzo wysoka), ponieważ finansowe skutki tej kradzieży poniesie instytucja kredytowa, której zabezpieczenia antyfraudowe przełamał przestępca przy użyciu skradzionej tożsamości. Czyli mimo, że wynik ryzyka niepokoju jest na poziomie niskie, bo wynika z mnożenia średniego prawdopodobieństwa i niskiej wagi, naruszenie odo z którego to niskie ryzyko wynika – podlega zgłoszeniu do organu ale nie podlega zawiadomieniu osoby. Jest tak dlatego, że rodo nie wymaga żeby niepotrzebnie straszyć osobę, natomiast organ potrzebuje zgłoszenia naruszenia odo do tworzenia statystyk i ustalania obrazu naruszeń w kraju (ale też według rodo niepotrzebne są mu zgłoszenia na temat naruszeń odo zupełnie błahych – skutkujących małym prawdopodobieństwem ryzyka naruszenia praw lub wolności). Jeśli organ uzna, że jednak ryzyko dla osoby jest wysokie, wtedy poleci administratorowi zawiadomienie osoby. Tu warto też zwrócić uwagę, że o zawiadomieniu osoby, powinno decydować wysokie ryzyko ale naruszenia praw lub wolności innych niż prawo do spokoju, żeby przez zawiadomienie nie wywołać właśnie naruszenia prawa do spokoju.

Kradzież tożsamości

W interesie firm pożyczkowych jest takie zorganizowanie procesu zwierania umowy, żeby niemożliwe było wydanie środków na podstawie imienia nazwiska i nr pesel, bez pewności kto posługuje się tymi danymi. Tak jest ze względu na prawo cywilne, ale zaniechanie w tym względzie naruszałoby też rodo, w szczególności art. 5 ust. 1 lit. d i lit. f rodo, i świadczyłoby o nieprzeprowadzeniu albo błędnym przeprowadzeniu analizy ryzyka. Zaniedbania w tym względzie mogą skutkować takim scenariuszem: W postępowaniu upominawczym jest niższy standard dowodu niż w postępowaniu nakazowym, dlatego nakaz zapłaty może zostać wydany, choć już tu twierdzenia i dowody nie powinny budzić wątpliwości, ale jak pozwany (rzekomy dłużnik) wniesie sprzeciw od nakazu i sprawa trafi do trybu zwykłego to powód musi wykazać zasadność roszczenia w toku postępowania dowodowego, również w świetle twierdzeń pozwanego, ponieważ na powodzie spoczywa ciężar dowodu. Pozwany w sprzeciwie twierdzi, że nie brał pożyczki. Wtedy powód, nie mając dowodu pisemnego, bo umowa była zawierana zdalnie, wnosi o przeprowadzenie dowodu z załączonego nagrania jak dłużnik mówi, że bierze pożyczkę. Okazuje się, że głos z nagrania to nie głos pozwanego. Wtedy sąd oddala powództwo jako niewykazane, skoro nie ma dowodu, że strona pozwana jest stroną umowy, stanowiącej podstawę roszczenia. Czyli choć nakaz zostanie wydany, na podstawie twierdzeń i dowodów załączonych do pozwu, to przeprowadzenie tych dowodów, ze względu na zaprzeczenie pozwanego, spowoduje oddalenie powództwa. Z tym że jeśli dowodem była by umowa ze sfałszowanym podpisem osoby, której dane dotyczą, to zgodnie z art. 253 w zw. z 245 kpc, przeciwko domniemaniu prawdziwości dokumentu ona powinna wykazać się inicjatywą dowodową, czyli wnioskować o grafologa. Taki rozkład ciężaru dowodu przy dokumencie prywatnym, przypisuje się okoliczności że łatwiej jest udowodnić temu, kto zaprzecza.

Odkręcenie sprawy wymaga oczywiście pewnej aktywności (kłopot, stres) od ofiary, nie powinna przyjąć postawy: „a co mnie obchodzi, jak pożyczki nie brałem”. Może być konieczne wniesienie sprzeciwu od nakazu zapłaty, czasem z wnioskiem o przywrócenie terminu, zależnie od okoliczności, wniosek o zawieszenie postępowania egzekucyjnego. Przede wszystkim zgłoszenie na Policję. W ostateczności nawet po przeprowadzeniu egzekucji, osoba której dane dotyczą odzyska środki, na podstawie przepisów o bezpodstawnym wzbogaceniu. Chociaż obecnie, jak zlikwidowana jest fikcja doręczenia po podwójnym awizo, osoba nie powinna dowiadywać się dopiero na etapie egzekucji, że ktoś zaciągnął zobowiązanie na jej dane (z zastrzeżeniem, że nie dotyczy to EPU, tu nadal działa fikcja doręczenia na adres z bazy PESEL (505(34) kpc)). Nie można też całkiem wykluczyć, że czarna seria pechowych zdarzeń doprowadzi do uprawomocnienia się nakazu i upływu wszelkich terminów do jego wzruszenia, wtedy pozostają nadzwyczajne środki, jak skarga nadzwyczajna Prokuratora Generalnego. Z tych względów (żeby uniknąć tych kłopotów) należy chronić dane, ale nie można doprowadzać do absurdu (rażącej niekonsekwencji), że wyciek nr pesel do jednej znajomej (możliwej do identyfikacji) osoby generuje prawdopodobieństwo ryzyka wyższe niż małe, a ujawnienie publiczne w KRS milionom ludzi nie jest ryzykowne.

Należy też zwrócić uwagę na zamieszanie terminologiczne, waga naruszenia (WN) oznacza tu to samo co waga ryzyka (jeden parametr) tymczasem obliczana jest jako kombinacja prawdopodobieństwa (tu identyfikacji) i czynników dotyczących wagi naruszenia praw lub wolności, czyli stopień ryzyka, ale opis wyników jest taki jak opis wagi (jednego parametru), np. niedogodności możliwe do pokonania – czyli wzór jest wewnętrznie niekonsekwentny.

Modyfikacja metodologii ENISY

Prawidłowo zaprojektowana procedura zgłaszania naruszeń powinna polegać na modyfikacji metodologii ENISY, w ten sposób, że osobno powinna być policzona waga naruszenia praw lub wolności i ten rachunek powinien składać się z rodzaju danych i kontekstu przetwarzania, (np. dane finansowe i szeroki wolumen danych), a osobno prawdopodobieństwo naruszenia praw lub wolności i ten rachunek powinien składać się z okoliczności naruszenia oraz prawdopodobieństwa identyfikacji osoby, (np. intencjonalne działanie sprawcy ale nośnik zaszyfrowany). Dopiero te dwa osobne wyniki powinny być poddane działaniu mnożenia i jego wynik będzie nam mówił jaki jest stopień ryzyka, w metodologii zwany wagą naruszenia odo (WN), przy czym tak wyliczone globalne ryzyko jest istotne dla zawiadomienia osoby, bo przy zgłoszeniu do UODO polegamy tylko na parametrze prawdopodobieństwa.

Oczywiście zastosowanie metodologii bez modyfikacji też zwykle będzie dawało poprawną decyzją co do zgłoszenia, ale całość oceny przebiega w mniej czytelny sposób, trzeba po prostu patrzeć głównie na prawdopodobieństwo identyfikacji i odpowiadać sobie na pytanie jakie jest prawdopodobieństwo wystąpienia skutku, który przewidujemy – jeśli jest wyższe od małego trzeba dokonać zgłoszenia.

Wskazane wyżej opracowania podają jedynie propozycje i niewiążące wskazówki, administrator/procesor musi samodzielnie opracować procedurę, warto jednak wyraźnie wyodrębnić parametr prawdopodobieństwa, ponieważ dla zgłoszenia do UODO ma on kluczowe znaczenie.

Dochodzenie u procesora

W tym miejscu warto jeszcze zwrócić uwagę, że do incydentu może dojść u procesora. W takim wypadku art. 33 ust. 2 rodo stanowi, że „Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.”

Oznacza to, że procesor ma obowiązek przeprowadzić dochodzenie w celu ustalenia czy incydent jest naruszeniem odo, w jakim czasie tego przepis nie określa ani dla procesora ani dla administratora, stąd należy przyjąć że bez zbędnej zwłoki. Jeśli już ustali, że doszło do naruszenia odo, to tu wyraźnie cytowany wyżej przepis art. 33 ust. 2 stwierdza, że bez zbędnej zwłoki ma zgłosić naruszenie administratorowi. Od tego momentu (otrzymania zgłoszenia od procesora, czyli stwierdzenia naruszenia) rozpoczyna dla administratora bieg termin 72 h na ocenę (analizę ryzyka) czy naruszenie podlega zgłoszeniu do UODO lub również zawiadomieniu osoby, której dane dotyczą – tak, Wytyczne wp250, s. 13:

Co do zasady należy zatem uznać, że „stwierdza” naruszenie równocześnie z przekazaniem mu odnośnych informacji przez podmiot przetwarzający.

W analizie ryzyka procesor ma obowiązek pomagać administratorowi (art. 28 ust. 3 lit. f rodo), np. przez przekazanie własnego projektu analizy ryzyka bądź przez udzielanie administratorowi odpowiedzi na pytania dotyczące naruszenia.

Przepisy

Artykuł 33 Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

4. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki

5. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Motyw 85

(85) Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak

1. utrata kontroli nad własnymi danymi osobowymi lub
2. ograniczenie praw,
3. dyskryminacja,
4. kradzież lub sfałszowanie tożsamości,
5. strata finansowa,
6. nieuprawnione odwrócenie pseudonimizacji,
7. naruszenie dobrego imienia,
8. naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub
9. wszelkie inne znaczne szkody gospodarcze lub społeczne.

Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

(88) Przy określaniu szczegółowych przepisów o formie i procedurach mających zastosowanie do zawiadamiania o naruszeniu ochrony danych osobowych należy wziąć pod uwagę okoliczności naruszenia, w tym fakt, czy dane osobowe były zabezpieczone odpowiednimi  technicznymi środkami ochrony skutecznie ograniczającymi prawdopodobieństwo oszustwa dotyczącego tożsamości lub innych form nadużycia. W przepisach tych i procedurach należy ponadto uwzględnić prawnie uzasadnione interesy organów ścigania, jeżeli przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia ochrony danych osobowych.

Artykuł 34 Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).

3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:

a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;

c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

4. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

(86) Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej sobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie.

(87) Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu.