to, jakie kroki będzie należało podjąć (w szczególności czy niezbędne będzie zawiadomienie organu nadzorczego), zależeć będzie od poziomu ryzyka naruszenia praw lub wolności podmiotów danych,
kluczowe jest więc przeprowadzenie i udokumentowanie ryzyka związanego z naruszeniem – w praktyce PUODO często weryfikuje sposób jej przeprowadzenia,
jeśli zgodnie z RODO trzeba będzie zawiadomić organ nadzorczy, to na stronie PUODO opublikowany jest oficjalny formularz zawiadomienia, którym należy się posłużyć.
Czym jest naruszenie ochrony danych osobowych?
„Naruszenie ochrony danych osobowych” oznacza „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Pojęcie to obejmuje potencjalnie bardzo szeroki katalog różnorodnych zdarzeń o zróżnicowanym charakterze, przyczynach i skutkach. Naruszeniem może być zarówno cyberatak przeprowadzony przez hakera, jak i omyłkowe przesłanie danych do niewłaściwego adresata przez pracownika administratora czy kradzież lub zagubienie nośnika danych w postaci dokumentów lub dysku przenośnego.
Co powinien zrobić administrator danych, gdy wystąpiło naruszenie ochrony danych?
Niezbędne działania administratora zależą od poziomu ryzyka związanego z naruszeniem.
Jeśli jest bardziej niż mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – administrator musi poinformować o naruszeniu organu nadzoru. Musi też odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze.
Jeżeli naruszenie może powodować wysokieryzyko naruszenia praw lub wolności osób fizycznych – administrator musi poinformować o naruszeniu organu nadzoru, a także osoby, których naruszenie dotyczy. Musi też odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze
Jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – administrator nie musi informować o naruszeniu organu nadzoru ani podmiotów danych. Musi jednak odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze.
Jak ocenić ryzyko związane z naruszeniem?
RODO nie wskazuje wyraźnie, w jaki sposób – czy też posługując się jaką metodyką – administrator powinien przeanalizować ryzyko związane z naruszeniem.
Bez wątpienia konieczne jest, by przeprowadzone analizy ryzyka, niezależnie od metodyki, były odpowiednio udokumentowane, a wnioski i podjęte działania uzasadnione. Dokumentowanie analiz i działań konieczne jest chociażby z uwagi na zasadę rozliczalności, ale może też okazać się bardzo pomocne w przypadku pytań organu nadzoru czy ewentualnej kontroli. W praktyce, w przypadku zgłoszenia naruszenia, organ nadzoru często faktycznie weryfikuje, czy i w jaki sposób administrator dokonał analizy ryzyka dla podmiotów danych związanego z naruszeniem.
Analiza ryzyka związanego z wystąpieniem naruszenia powinna być przeprowadzona z punktu widzenia ryzyk związanych z naruszeniem dla podmiotu danych (a nie ryzyk dla administratora, np. finansowych, biznesowych czy reputacyjnych).
Przy ocenie ryzyk związanych z naruszeniem pomocne mogą być wytyczne w sprawie naruszeń opracowane przez Europejską Radę Ochrony Danych (Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0, Adopted 28 March 2023). Natomiast przykładem metodologii, która może być pomocna przy ocenie ryzyk związanych z naruszeniem, jest metodologia zawarta w opracowaniu Recommendations for a methodology of the assessment of severity of personal data breaches przygotowanym przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa, która rekomendowana jest chociażby w wytycznych w sprawie naruszeń. Metodologia ta posługuje się stosunkowo przystępnym sposobem oszacowania poziomu naruszenia (zasadniczo stosując wzór: poziom naruszenia = kontekst przetwarzania x łatwość identyfikacji + okoliczności naruszenia).
Jednak ocena naruszenia nigdy nie jest jedynie kwestią kalkulacji. Zgodnie z wytycznymi w sprawie naruszeń administrator, dokonując oceny naruszenia, powinien przede wszystkim wziąć pod uwagę okoliczności naruszenia, w tym doniosłość potencjalnych negatywnych skutków oraz ryzyko ich faktycznego wystąpienia. W wytycznych w sprawie naruszeń wskazano również następujące kryteria, które administrator powinien brać pod uwagę, dokonując oceny naruszenia:
Rodzaj naruszenia – ogólnie rzecz biorąc, rodzaj i charakter naruszenia mogą wpływać na poziom ryzyka. Jako przykład w wytycznych wskazano, że inny poziom ryzyka dla podmiotów danych związany będzie z naruszeniem poufności polegającym na ujawnieniu informacji medycznych nieuprawnionym osobom, a inny z naruszeniem polegającym na zagubieniu informacji medycznych danej osoby.
Rodzaj, wrażliwość oraz ilość danych, których dotyczy naruszenie – w wytycznych wskazano, że:
zazwyczaj im bardziej „wrażliwe” dane dotknięte są naruszeniem, tym wyższe ryzyko jest związane z takim naruszeniem, przy czym przy ocenie powinno się brać pod uwagę również nie tylko dane, których naruszenie dotyczy, ale również dane, które są ogólnie dostępne o podmiocie danych, oraz skutek, który może wystąpić przy połączeniu tych danych,
należy ocenić, czy zestaw danych, których dotyczy naruszenie, może posłużyć do kradzieży tożsamości,
należy też ocenić, czy ujawnienie danych, które same w sobie nie mają charakteru wrażliwego, może w pewnym kontekście być jednak ryzykowne dla podmiotu danych – np. informacja o rezygnacji z okresowych dostaw do domu przez stałego klienta może oznaczać jego nieobecność w domu, co z kolei może być wartościową informacją dla przestępców,
ujawnienie nawet niewielkiej ilości danych o wysoce wrażliwym charakterze może uzasadnić wysokie ryzyko związane z danym incydentem.
Łatwość identyfikacji podmiotu danych z wykorzystaniem ujawnionych czy utraconych danych – w wytycznych wskazano, że im łatwiejsza jest identyfikacja osoby, której dane dotyczą, na podstawie danych dotkniętych naruszeniem, tym wyższe zasadniczo będzie ryzyko związane z naruszeniem. Z tego powodu wytyczne w sprawie naruszeń podkreślają wagę takich środków ochrony danych jak szyfrowanie danych czy pseudonimizacja, które utrudniają identyfikację podmiotu danych i których wdrożenie w odniesieniu do ujawnionych czy utraconych danych zasadniczo zmniejsza poziom ryzyka związanego z naruszeniem.
Dotkliwość potencjalnych konsekwencji dla podmiotu danych związanych z naruszeniem – z wytycznych wynika, że wyższe ryzyko będzie związane z naruszeniami, które dotyczą takich danych (np. szczególnej kategorii, o których mowa w art. 9 RODO), z których ujawnieniem mogą wiązać się szczególnie dotkliwe konsekwencje dla podmiotu danych, np. w postaci oszustwa, kradzieży tożsamości, fizycznej szkody, rozstroju nerwowego, upokorzenia czy uszczerbku reputacyjnego. W tym zakresie administrator powinien również wziąć pod uwagę, czy dane osobowe dotknięte naruszeniem zostały ujawnione osobom „zaufanym” (co może zmniejszyć poziom ryzyka negatywnych skutków dla podmiotu danych), czy takim, których intencje są nieznane lub mogą być nieuczciwe (co zasadniczo zwiększy poziom ryzyka potencjalnych negatywnych skutków).
Szczególne cechy podmiotu danych dotkniętego naruszeniem – w wytycznych wskazano, że niekiedy czynnikiem zwiększającym ryzyko związane z naruszeniem będą cechy osoby, której dane zostały ujawnione lub utracone w związku z incydentem (np. jeśli naruszenie dotyczy danych dzieci).
Szczególne cechy administratora danych, u którego wystąpiło naruszenie – w wytycznych wskazano, że także natura oraz funkcja administratora i prowadzona przez niego działalność mogą wpływać na ocenę poziomu ryzyka związanego z naruszeniem dla podmiotów danych. Przykładowo podmiot świadczący opiekę medyczną będzie przetwarzał dane o zdrowiu, z których ujawnieniem wiążą się wyższe ryzyka niż z ujawnieniem listy wysyłkowej czasopisma.
Liczba osób dotkniętych naruszeniem – w wytycznych wskazano, że zazwyczaj im większa liczba osób dotkniętych naruszeniem, tym większe mogą być skutki naruszenia (co nie wyklucza wysokiego ryzyka związanego z naruszeniem dotyczącym tylko jednej osoby).
Środki zaradcze
W przypadku naruszenia administrator powinien wdrożyć środki mające zaradzić naruszeniu – w tym w stosownych przypadkach środki minimalizujące jego ewentualne negatywne skutki oraz zmniejszające ryzyko podobnych naruszeń w przyszłości. Środki te powinny być dostosowane do rodzaju naruszenia, w szczególności do jego przyczyn i skutków. Mogą obejmować bardzo różne działania, takie jak np.:
dodatkowe szkolenia dla personelu,
wdrożenie lub aktualizacja procedur wewnętrznych,
wdrożenie nowych lub aktualizacja istniejących rozwiązań w zakresie przyjętych sposobów przetwarzania danych czy cyberbezpieczeństwa,
usunięcie podatności wewnętrznych,
audyt wewnętrzny,
zmiana podmiotu przetwarzającego lub zmiana warunków współpracy z podmiotem przetwarzającym,
pociągnięcie pracowników do odpowiedzialności dyscyplinarnej,
sfinansowanie dla podmiotu danych konta w systemie monitorowania aktywności kredytowej.
Co istotne, organ nadzoru często faktycznie weryfikuje, czy administrator wdrożył środki zaradcze, których wdrożenie zadeklarował w zgłoszeniu naruszenia. Warto więc pamiętać o wdrożeniu środków w sposób zadeklarowany w zgłoszeniu i udokumentowaniu, o ile to możliwe, ich wdrożenia.
W jaki sposób dokonać zgłoszenia naruszenia do PUODO?
PUODO opracowało wzór formularza do zgłaszania naruszeń przez administratorów (dostępny na stronie internetowej PUODO).
Zgłoszenia można składać elektronicznie lub pocztą. Szczegółowe informacje o sposobie przesyłania zgłoszeń znajdują się na stronie PUODO.
Jakie informacje powinno zawierać zgłoszenie?
Zgłoszenie powinno zawierać wszystkie informacje wymagane w formularzu przeznaczonym do zgłaszania naruszeń przygotowanym przez UODO. Formularz ten obejmuje, w szczególności, informacje wymagane stosownie do art. 33 ust. 3 RODO. Zakres informacji wymaganych w formularzu jest jednak nieco szerszy niż zakres wskazany wprost w RODO i obejmuje dodatkowo m.in. opis środków ochrony danych, które administrator stosował przed wystąpieniem naruszenia.
Istotne jest, aby opis charakteru naruszenia był na tyle szczegółowy i jasny, aby organ nadzorczy mógł ocenić całość zdarzenia i podjąć skuteczne działania. Oznacza to, że całe zdarzenie, jakie miało miejsce, powinno być opisane jak najdokładniej, tj. opisywać co się wydarzyło (np. kradzież laptopa/utrata dokumentacji), jakich kategorii danych dotyczyło (np. imię, nazwisko, numer PESEL, wyniki badań USG, login i hasło do konta), czas i miejsce zdarzenia (data, godzina, miejscowość) oraz udział innych podmiotów w zaistniałym naruszeniu (np. procesor, operator pocztowy, kancelaria prawna/księgowa).
W jakim terminie należy zgłosić naruszenie organowi nadzorczemu?
Naruszenie należy zgłosić do organu nadzoru bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Termin na zgłoszenie naruszenia liczony jest od momentu jego stwierdzenia przez administratora. W praktyce wyznaczenie tego momentu może niekiedy być trudne, jako że RODO nie zawiera wyraźnych wskazówek odnośnie do tego, kiedy następuje „stwierdzenie naruszenia”. W tym zakresie pomocne mogą być wytyczne w sprawie naruszeń, o których mowa powyżej. Zgodnie z wytycznymi w sprawie naruszeń można argumentować, że administrator stwierdza wystąpienie naruszenia w momencie, w którym uzyskuje w rozsądnym stopniu pewność, że doszło do incydentu bezpieczeństwa, który doprowadził do ujawnienia lub utraty danych. Może się zatem okazać, że termin na zgłoszenie naruszenia nie biegnie od momentu uzyskania przez administratora (np. przez pracownika administratora) pierwszej informacji o danym incydencie lub o podejrzeniu jego wystąpienia. Tego rodzaju informacje mogą być bowiem niepewne i wymagać dalszej weryfikacji. W takich sytuacjach nie można uznać, że administrator miał już na etapie ich pozyskania wystarczającą pewność, że incydent miał faktycznie miejsce.
Co istotne, wytyczne w sprawie naruszeń stwierdzają również, że administrator powinien mieć wdrożone odpowiednie środki organizacyjne i techniczne (w tym odpowiednie procedury czy rozwiązania IT), by jak najszybciej wykrywać naruszenia i uzyskiwać pewność co do tego, czy naruszenia wystąpiły i w jakim zakresie, aby móc podjąć odpowiednie działania wymagane RODO.
Jeżeli nie da się udzielić wszystkich informacji w tym samym czasie (w szczególności w terminie 72 godzin po stwierdzeniu naruszenia), można ich udzielać sukcesywnie bez zbędnej zwłoki. Oznacza to, że istnieje możliwość (a także odpowiednia opcja w formularzu zgłoszeniowym przygotowanym przez UODO) złożenia tzw. zgłoszenia wstępnego (w szczególności w celu dochowania terminu na zgłoszenie). W zgłoszeniu takim zawarte będą informacje dostępne administratorowi na moment dokonywania zgłoszenia wstępnego (nawet mocno niepełne), które następnie administrator będzie uzupełniać w zgłoszeniach uzupełniających w miarę pozyskiwania kolejnych informacji, np. w miarę pozyskiwania informacji o skali i skutkach cyberataku.
Co powinien zrobić podmiot przetwarzający po stwierdzeniu wystąpienia naruszenia?
Jeśli naruszenie ochrony danych wystąpiło u podmiotu przetwarzającego i dotyczyło danych osobowych, które podmiot przewarzający przetwarza w imieniu innego administratora, podmiot ten powinien bez zbędnej zwłoki zawiadomić o stwierdzeniu naruszenia administratora (a nie organ nadzoru – to już jest rolą administratora), którego danych dotyczy naruszenie.
Podmiot przetwarzający powinien również podjąć inne działania, które w takiej sytuacji są od niego wymagane stosownie do art. 28 RODO oraz treści umowy powierzenia przetwarzania zawartej z administratorem, którego danych dotyczy naruszenie (w praktyce umowy te często zawierają termin, w jakim podmiot przetwarzający powinien poinformować administratora o naruszeniu lub jego podejrzeniu).
Co powinien zrobić współadministrator po stwierdzeniu wystąpienia naruszenia?
RODO nie wskazuje wyraźnie, kto powinien dokonać zgłoszenia naruszenia, gdy naruszenie dotyczy danych osobowych, które są przedmiotem współadministrowania stosownie do art. 26 RODO. Wydaje się, że – aby uniknąć sporów w tym zakresie i zapewnić sprawne działanie w przypadku wystąpienia takiego naruszenia – kwestię tego, kto odpowiada za dokonywanie zgłoszeń i inne działania związane z wystąpieniem naruszenia, powinni uregulować sami współadministratorzy danych w umowie współadministrowania.
Wewnętrzny rejestr naruszeń ochrony danych
Z uwagi na obowiązek odnotowywania wewnętrznie faktu wystąpienia naruszenia i podjętych w związku z nim działań zaradczych i naprawczych administrator zobowiązany jest prowadzić wewnętrzny rejestr naruszeń, w którym w ustrukturyzowanej i ujednoliconej formie będzie odnotowywał wystąpienie naruszeń, dokonane analizy ryzyka związane z danym naruszeniem, skutki naruszenia oraz podjęte w związku z wystąpieniem naruszenia działania zaradcze. Prowadzenie takiego rejestru będzie nie tylko sposobem realizacji obowiązku, o którym mowa w art. 34 ust. 5 RODO, ale również wyrazem przestrzegania przez administratora zasady rozliczalności.
Komentarz do art. 33
Naruszenie ochrony danych osobowych
Czym jest naruszenie ochrony danych osobowych?
„Naruszenie ochrony danych osobowych” oznacza „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Pojęcie to obejmuje potencjalnie bardzo szeroki katalog różnorodnych zdarzeń o zróżnicowanym charakterze, przyczynach i skutkach. Naruszeniem może być zarówno cyberatak przeprowadzony przez hakera, jak i omyłkowe przesłanie danych do niewłaściwego adresata przez pracownika administratora czy kradzież lub zagubienie nośnika danych w postaci dokumentów lub dysku przenośnego.
Co powinien zrobić administrator danych, gdy wystąpiło naruszenie ochrony danych?
Niezbędne działania administratora zależą od poziomu ryzyka związanego z naruszeniem.
Jeśli jest bardziej niż mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – administrator musi poinformować o naruszeniu organu nadzoru. Musi też odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze.
Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – administrator musi poinformować o naruszeniu organu nadzoru, a także osoby, których naruszenie dotyczy. Musi też odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze
Jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych – administrator nie musi informować o naruszeniu organu nadzoru ani podmiotów danych. Musi jednak odnotować wewnętrznie fakt wystąpienia naruszenia i podjęte w związku z nim działania zaradcze i naprawcze.
Jak ocenić ryzyko związane z naruszeniem?
RODO nie wskazuje wyraźnie, w jaki sposób – czy też posługując się jaką metodyką – administrator powinien przeanalizować ryzyko związane z naruszeniem.
Bez wątpienia konieczne jest, by przeprowadzone analizy ryzyka, niezależnie od metodyki, były odpowiednio udokumentowane, a wnioski i podjęte działania uzasadnione. Dokumentowanie analiz i działań konieczne jest chociażby z uwagi na zasadę rozliczalności, ale może też okazać się bardzo pomocne w przypadku pytań organu nadzoru czy ewentualnej kontroli. W praktyce, w przypadku zgłoszenia naruszenia, organ nadzoru często faktycznie weryfikuje, czy i w jaki sposób administrator dokonał analizy ryzyka dla podmiotów danych związanego z naruszeniem.
Analiza ryzyka związanego z wystąpieniem naruszenia powinna być przeprowadzona z punktu widzenia ryzyk związanych z naruszeniem dla podmiotu danych (a nie ryzyk dla administratora, np. finansowych, biznesowych czy reputacyjnych).
Przy ocenie ryzyk związanych z naruszeniem pomocne mogą być wytyczne w sprawie naruszeń opracowane przez Europejską Radę Ochrony Danych (Guidelines 9/2022 on personal data breach notification under GDPR, Version 2.0, Adopted 28 March 2023). Natomiast przykładem metodologii, która może być pomocna przy ocenie ryzyk związanych z naruszeniem, jest metodologia zawarta w opracowaniu Recommendations for a methodology of the assessment of severity of personal data breaches przygotowanym przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa, która rekomendowana jest chociażby w wytycznych w sprawie naruszeń. Metodologia ta posługuje się stosunkowo przystępnym sposobem oszacowania poziomu naruszenia (zasadniczo stosując wzór: poziom naruszenia = kontekst przetwarzania x łatwość identyfikacji + okoliczności naruszenia).
Jednak ocena naruszenia nigdy nie jest jedynie kwestią kalkulacji. Zgodnie z wytycznymi w sprawie naruszeń administrator, dokonując oceny naruszenia, powinien przede wszystkim wziąć pod uwagę okoliczności naruszenia, w tym doniosłość potencjalnych negatywnych skutków oraz ryzyko ich faktycznego wystąpienia. W wytycznych w sprawie naruszeń wskazano również następujące kryteria, które administrator powinien brać pod uwagę, dokonując oceny naruszenia:
Środki zaradcze
W przypadku naruszenia administrator powinien wdrożyć środki mające zaradzić naruszeniu – w tym w stosownych przypadkach środki minimalizujące jego ewentualne negatywne skutki oraz zmniejszające ryzyko podobnych naruszeń w przyszłości. Środki te powinny być dostosowane do rodzaju naruszenia, w szczególności do jego przyczyn i skutków. Mogą obejmować bardzo różne działania, takie jak np.:
Co istotne, organ nadzoru często faktycznie weryfikuje, czy administrator wdrożył środki zaradcze, których wdrożenie zadeklarował w zgłoszeniu naruszenia. Warto więc pamiętać o wdrożeniu środków w sposób zadeklarowany w zgłoszeniu i udokumentowaniu, o ile to możliwe, ich wdrożenia.
W jaki sposób dokonać zgłoszenia naruszenia do PUODO?
PUODO opracowało wzór formularza do zgłaszania naruszeń przez administratorów (dostępny na stronie internetowej PUODO).
Zgłoszenia można składać elektronicznie lub pocztą. Szczegółowe informacje o sposobie przesyłania zgłoszeń znajdują się na stronie PUODO.
Jakie informacje powinno zawierać zgłoszenie?
Zgłoszenie powinno zawierać wszystkie informacje wymagane w formularzu przeznaczonym do zgłaszania naruszeń przygotowanym przez UODO. Formularz ten obejmuje, w szczególności, informacje wymagane stosownie do art. 33 ust. 3 RODO. Zakres informacji wymaganych w formularzu jest jednak nieco szerszy niż zakres wskazany wprost w RODO i obejmuje dodatkowo m.in. opis środków ochrony danych, które administrator stosował przed wystąpieniem naruszenia.
Jeśli chodzi o informacje kluczowe z punktu widzenia PUODO, to, jak wskazano na stronie internetowej PUODO:
W jakim terminie należy zgłosić naruszenie organowi nadzorczemu?
Naruszenie należy zgłosić do organu nadzoru bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Termin na zgłoszenie naruszenia liczony jest od momentu jego stwierdzenia przez administratora. W praktyce wyznaczenie tego momentu może niekiedy być trudne, jako że RODO nie zawiera wyraźnych wskazówek odnośnie do tego, kiedy następuje „stwierdzenie naruszenia”. W tym zakresie pomocne mogą być wytyczne w sprawie naruszeń, o których mowa powyżej. Zgodnie z wytycznymi w sprawie naruszeń można argumentować, że administrator stwierdza wystąpienie naruszenia w momencie, w którym uzyskuje w rozsądnym stopniu pewność, że doszło do incydentu bezpieczeństwa, który doprowadził do ujawnienia lub utraty danych. Może się zatem okazać, że termin na zgłoszenie naruszenia nie biegnie od momentu uzyskania przez administratora (np. przez pracownika administratora) pierwszej informacji o danym incydencie lub o podejrzeniu jego wystąpienia. Tego rodzaju informacje mogą być bowiem niepewne i wymagać dalszej weryfikacji. W takich sytuacjach nie można uznać, że administrator miał już na etapie ich pozyskania wystarczającą pewność, że incydent miał faktycznie miejsce.
Co istotne, wytyczne w sprawie naruszeń stwierdzają również, że administrator powinien mieć wdrożone odpowiednie środki organizacyjne i techniczne (w tym odpowiednie procedury czy rozwiązania IT), by jak najszybciej wykrywać naruszenia i uzyskiwać pewność co do tego, czy naruszenia wystąpiły i w jakim zakresie, aby móc podjąć odpowiednie działania wymagane RODO.
Jeżeli nie da się udzielić wszystkich informacji w tym samym czasie (w szczególności w terminie 72 godzin po stwierdzeniu naruszenia), można ich udzielać sukcesywnie bez zbędnej zwłoki. Oznacza to, że istnieje możliwość (a także odpowiednia opcja w formularzu zgłoszeniowym przygotowanym przez UODO) złożenia tzw. zgłoszenia wstępnego (w szczególności w celu dochowania terminu na zgłoszenie). W zgłoszeniu takim zawarte będą informacje dostępne administratorowi na moment dokonywania zgłoszenia wstępnego (nawet mocno niepełne), które następnie administrator będzie uzupełniać w zgłoszeniach uzupełniających w miarę pozyskiwania kolejnych informacji, np. w miarę pozyskiwania informacji o skali i skutkach cyberataku.
Co powinien zrobić podmiot przetwarzający po stwierdzeniu wystąpienia naruszenia?
Jeśli naruszenie ochrony danych wystąpiło u podmiotu przetwarzającego i dotyczyło danych osobowych, które podmiot przewarzający przetwarza w imieniu innego administratora, podmiot ten powinien bez zbędnej zwłoki zawiadomić o stwierdzeniu naruszenia administratora (a nie organ nadzoru – to już jest rolą administratora), którego danych dotyczy naruszenie.
Podmiot przetwarzający powinien również podjąć inne działania, które w takiej sytuacji są od niego wymagane stosownie do art. 28 RODO oraz treści umowy powierzenia przetwarzania zawartej z administratorem, którego danych dotyczy naruszenie (w praktyce umowy te często zawierają termin, w jakim podmiot przetwarzający powinien poinformować administratora o naruszeniu lub jego podejrzeniu).
Co powinien zrobić współadministrator po stwierdzeniu wystąpienia naruszenia?
RODO nie wskazuje wyraźnie, kto powinien dokonać zgłoszenia naruszenia, gdy naruszenie dotyczy danych osobowych, które są przedmiotem współadministrowania stosownie do art. 26 RODO. Wydaje się, że – aby uniknąć sporów w tym zakresie i zapewnić sprawne działanie w przypadku wystąpienia takiego naruszenia – kwestię tego, kto odpowiada za dokonywanie zgłoszeń i inne działania związane z wystąpieniem naruszenia, powinni uregulować sami współadministratorzy danych w umowie współadministrowania.
Wewnętrzny rejestr naruszeń ochrony danych
Z uwagi na obowiązek odnotowywania wewnętrznie faktu wystąpienia naruszenia i podjętych w związku z nim działań zaradczych i naprawczych administrator zobowiązany jest prowadzić wewnętrzny rejestr naruszeń, w którym w ustrukturyzowanej i ujednoliconej formie będzie odnotowywał wystąpienie naruszeń, dokonane analizy ryzyka związane z danym naruszeniem, skutki naruszenia oraz podjęte w związku z wystąpieniem naruszenia działania zaradcze. Prowadzenie takiego rejestru będzie nie tylko sposobem realizacji obowiązku, o którym mowa w art. 34 ust. 5 RODO, ale również wyrazem przestrzegania przez administratora zasady rozliczalności.