Dlaczego należy wprowadzić procedurę reagowania na incydenty dotyczące ochrony danych osobowych?

Naruszenie ochrony danych osobowych może wystąpić w każdym podmiocie, który przetwarza dane osobowe w ramach prowadzonej działalności. Wraz ze wzrostem liczby nowych technologii wykorzystywanych w procesach przetwarzania danych osobowych (np. nowe systemy informatyczne, aplikacje mobilne, IoT) oraz rozwojem cyberprzestępczości pojawiają się nowe zagrożenia związane z bezpieczeństwem przetwarzanych danych osobowych. Żaden podmiot, a zwłaszcza taki, który przetwarza dane osobowe na dużą skalę, nie jest w stanie całkowicie wyeliminować ryzyka występowania naruszeń ochrony danych osobowych. Wprowadzenie odpowiednich środków technicznych i organizacyjnych służących ochronie danych osobowych może jedynie zmniejszyć ryzyko wystąpienia naruszenia ochrony danych osobowych. W związku z tym w przypadku większości podmiotów wcześniej bądź później naruszenie ochrony danych osobowych i tak wystąpi (często w najmniej oczekiwanym momencie), dlatego należy odpowiednio zabezpieczyć organizację na taką ewentualność.

Sam fakt wystąpienia naruszenia ochrony danych osobowych nie musi świadczyć o tym, że system ochrony danych osobowych działa nieprawidłowo. Natomiast dla prawidłowo funkcjonującego systemu ochrony danych osobowych kluczowe jest niewątpliwie właściwe reagowanie na naruszenia ochrony danych osobowych, w tym ich odpowiednio wczesne wykrywanie. W praktyce niezbędne jest przygotowanie i wdrożenie odpowiedniej procedury reagowania na incydenty dotyczące ochrony danych osobowych.

Nie każdy incydent dotyczący ochrony danych osobowych okaże się naruszeniem ochrony danych osobowych. Incydent dotyczący ochrony danych osobowych jest zdarzeniem, które związane jest z naruszeniem zasad bezpieczeństwa przetwarzania danych osobowych w danej organizacji. Nie zawsze prowadzi on jednak do wystąpienia skutków określonych w art. 4 pkt 12 RODO (przypadkowa lub niezgodna z prawem utrata poufności, integralności lub dostępności danych osobowych).  Dla zapewniania sprawnego i szybkiego wykrywania naruszeń ochrony danych osobowych konieczne jest jednak opracowanie zasad związanych z reagowaniem na wszystkie incydenty dotyczące ochrony danych osobowych. W przeciwnym razie w sytuacji wystąpienia incydentu, który może stanowić naruszenie ochrony danych osobowych nagle okazuje się, że nie wiadomo kto i za co w takiej sytuacji odpowiada. Pojawia się chaos, co nie sprzyja podejmowaniu racjonalnych i szybkich kroków, które powinny służyć niezwłocznemu wyjaśnieniu, czy dany incydent stanowi naruszenie ochrony danych osobowych, a także prowadzić do szybkiego zidentyfikowania ewentualnego zagrożenia i jego usunięcia (np. w przypadku awarii systemu informatycznego). W przypadku potwierdzenia naruszenia ochrony danych osobowych konieczne jest także podjęcie niezwłocznych działań w celu zaradzenia naruszeniu i zminimalizowania jego negatywnych skutków. Należy również pamiętać o obowiązkach związanych z notyfikacją naruszenia do Prezesa UODO oraz zawiadamianiem osób, których dane dotyczą o jego wystąpieniu.

Notyfikowanie naruszenia ochrony danych osobowych do Prezesa UODO powinno nastąpić bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia (w przypadku zgłoszenia przekazanego po upływie 72 godzin do zgłoszenia należy dołączyć wyjaśnienie przyczyn opóźnienia). W przypadku zawiadamiania osób, których dane dotyczą o wystąpieniu naruszenia należy je zrealizować bez zbędnej zwłoki. W tym przypadku przepis nie wprowadza wprawdzie tak rygorystycznego terminu jak w przypadku obowiązku zgłoszenia naruszenia do PUODO, jednak należy pamiętać, że zawiadomienie osób o naruszeniu ochrony danych osobowych powinno nastąpić tak szybko jak to możliwe. Przykładem naruszenia ochrony danych osobowych często występującego w praktyce jest wysłanie maila z danymi osobowymi na błędny adres email (tj. do osoby nieupoważnionej), które zazwyczaj ma miejsce przez nieuwagę pracownika, np. w sytuacji gdy pod koniec dnia w piątek pracownik tuż przed weekendem lub przed urlopem chce zamknąć jakieś zlecenie lub projekt.

W takich przypadkach dochowanie terminu 72 godzin na zgłoszenie naruszenia ochrony danych osobowych do Prezesa UODO okazuje się szczególnie trudne. Tego typu trudności występują także w przypadku skomplikowanych naruszeń, gdzie dużo czasu zajmuje wyjaśnienie okoliczności zaistniałego zdarzenia (np. takich w które zaangażowani są podwykonawcy administratora danych). W związku z powyższym osoby, które muszą zmierzyć się z naruszeniem ochrony danych osobowych działają pod bardzo dużą presją czasu. Brak wewnętrznych regulacji określających zasady postępowania w przypadku wystąpienia naruszenia ochrony danych osobowych z jednej strony może prowadzić do pośpiesznych i chaotycznych działań, które nie sprzyjają właściwej reakcji po stronie administratora. Z drugiej strony może to skutkować znaczącym wydłużeniem reakcji na naruszenie i niepotrzebną stratą czasu na czynności, które powinny wynikać z wewnętrznych procedur.

W ramach procedury reagowania na incydenty dotyczące ochrony danych osobowych powinny zostać określone m. in. zadania i kompetencje poszczególnych osób w przypadku podejrzenia wystąpienia naruszenia ochrony danych osobowych oraz jego potwierdzenia. Poza tym każdy administrator danych osobowych ma także obowiązek wewnętrznego dokumentowania wszystkich naruszeń ochrony danych osobowych, w tym okoliczności ich wystąpienia, skutków oraz podjętych działań zaradczych. Ma to pozwolić organowi nadzorczemu na weryfikowanie przestrzegania obowiązków związanych ze zgłaszaniem naruszeń. Każdy administrator danych powinien zatem zadbać o określenie zasad dotyczących dokumentowania wszystkich naruszeń ochrony danych osobowych w ramach wewnętrznego rejestru naruszeń, którego wzór może stanowić element procedury reagowania na incydenty dotyczące ochrony danych osobowych. Należy przy tym pamiętać, aby procedura była dostosowana do potrzeb i możliwości danej organizacji.

Brak odpowiedniej procedury reagowania na incydenty dotyczące ochrony danych osobowych może w praktyce prowadzić do różnych błędów po stronie administratora danych, a także do niedochowania terminów związanych z obowiązkowym zgłoszeniem naruszenia do Prezesa UODO oraz powiadomieniem osób, których dane dotyczą.

W związku z powyższym brak właściwej procedury dotyczącej reagowania na incydenty dotyczące ochrony danych osobowych może znacząco utrudnić, a niekiedy wręcz uniemożliwić realizację obowiązków nałożonych przez przepisy RODO. Tego typu procedura powinna zostać zatem opracowana w przypadku większości podmiotów. Dotyczy to zwłaszcza tych podmiotów, które w ramach prowadzonej działalności przetwarzają dane osobowe na dużą skalę. W ich przypadku procedura określająca zasady postępowania w przypadku wystąpienia naruszenia ochrony danych osobowych jest niezbędna.

Błędnym podejściem jakie prezentują niektórzy administratorzy danych jest uznawanie, że procedura dotycząca reagowania na incydenty dotyczące ochrony danych osobowych nie jest im potrzebna, ponieważ w ich organizacji nie występują żadne naruszenia ochrony danych osobowych. Niestety, to, że dana organizacja nie wykrywa naruszeń ochrony danych osobowych wcale nie oznacza, że one nie występują (jeśli nie ma odpowiedniej procedury pracownicy mogą nie wiedzieć o tym, że powinni dane zdarzenia raportować, komu i jak mają je zgłaszać, etc.). W praktyce bywa więc tak, że naruszenia ochrony danych osobowych występują, ale administrator danych po prostu o nich nie wie (dopóki nie mają one poważnego charakteru mogą one pozostać niezauważone). Brak dbałości o wdrożenie odpowiednich regulacji wewnętrznych często wiąże się również z niską kulturą organizacji w obszarze ochrony danych osobowych. W takim przypadku cała organizacja żyje w błogiej nieświadomości, aż do momentu w którym wystąpi poważne naruszenie ochrony danych osobowych, którego nie da się ukryć. Wówczas okazuje się, że jest ona kompletnie nieprzygotowana na wystąpienie takiej sytuacji, czego można było uniknąć. Konsekwencją takiego stanu rzeczy może być nałożenie administracyjnej kary pieniężnej przez Prezesa UODO, a także skierowanie do administratora danych roszczeń cywilnoprawnych przez osoby, których dane dotyczą.

Jeśli jesteś zainteresowany wsparciem przy opracowywaniu procedury dotyczącej reagowania na incydenty dotyczące ochrony danych osobowych zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą audytową i wdrożeniową oraz ofertą bieżącego wsparcia w obszarze ochrony danych osobowych.