UODO & RODO -> Urząd Ochrony Danych Osobowych (UODO) przedstawił zaktualizowany poradnik dotyczący naruszeń. W jego treści możemy znaleźć m.in.: nowe wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych, które podkreślają konieczność zgłaszania incydentów nawet przy niskim ryzyku naruszenia praw lub wolności osób fizycznych. Poniżej przedstawiamy nasze obserwacje dotyczące wytycznych oraz zalecenia dotyczące kroków, jakie administratorzy powinni podjąć w tej sytuacji.

Trzystopniowy model oceny ryzyka od UODO

W obowiązującej dotychczas praktyce, wyróżnialiśmy trzy stopnie naruszenia: niski, średni i wysoki. Każdy przypadek naruszenia, niezależnie od jego stopnia, administrator musiał odnotować w rejestrze naruszeń. Dodatkowo naruszenia średniego stopnia wymagały, aby administrator zgłaszał je do Prezesa UODO. Stopień wysoki, oprócz zgłoszenia i odnotowania, wymagał również zawiadomienia o nim osób, które dotknięte były naruszeniem.

Przedstawione w zaktualizowanym poradniku stanowisko Prezesa UODO, wprowadza nowy model zgłaszania naruszeń, który opiera się przede wszystkim nie na stopniu a ryzyku wystąpienia naruszenia praw i wolności osób fizycznych. Zgodnie z nim należy podzielić naruszenia z uwagi na:

1. Brak ryzyka: Jeśli administrator danych stwierdzi, że naruszenie nie niesie za sobą żadnego ryzyka dla praw lub wolności osób fizycznych, wystarczy, że odpowiednio udokumentuje incydent. W takim przypadku zgłoszenie do UODO nie jest wymagane.
2. Występuje jakiekolwiek ryzyko naruszenia: W sytuacji, gdy istnieje jakiekolwiek ryzyko naruszenia praw lub wolności osób fizycznych lub możliwość jego wystąpienia, administrator jest zobowiązany do:
   1. Udokumentowania naruszenia, oraz
   2. Zgłoszenia go do Prezesa UODO.
3. Występuje wysokie ryzyko naruszenia: Jeżeli naruszenie może skutkować wysokim ryzykiem dla praw lub wolności osób fizycznych, administrator musi:
   1. Udokumentować naruszenie,
   2. Zgłosić naruszenie do Prezesa UODO, oraz
   3. Poinformować osoby, których dane dotyczą, o zaistniałym naruszeniu.

W praktyce oznacza to, że nawet przy niskim ryzyku naruszenia praw lub wolności osób fizycznych, administratorzy danych powinni rozważyć konieczność zgłaszania takich incydentów do Prezesa UODO. Obowiązek zgłaszania nie obejmuje sytuacji, gdy nie ma ryzyka dla praw lub wolności osób fizycznych. Musi to jednak zostać prawidłowo ocenione i stwierdzone przez administratora.

Pojęcie „zaufanego odbiorcy”

UODO zwrócił również uwagę na pojęcie „zaufanego odbiorcy”. Ujawnienie danych osobowych takiemu odbiorcy może wyłączyć obowiązek zgłoszenia incydentu do Prezesa UODO. Aby podmiot mógł zostać uznany za „zaufanego odbiorcę”, konieczne jest spełnienie określonych warunków, takich jak znajomość procedur bezpieczeństwa tego podmiotu. Każda sytuacja wymaga jednak indywidualnej analizy.

Co oznacza to dla administratorów danych?

Nowe wytyczne UODO wskazują na konieczność m.in.:

• Dokładnego dokumentowania wszystkich naruszeń – należy pamiętać, że nawet jeśli incydent nie wymaga zgłoszenia, powinien zostać opisany w wewnętrznej ewidencji naruszeń. Jest to zasada, na którą administratorzy powinni teraz zwracać szczególną uwagę. Dokładnie gromadzenie i przechowywanie dokumentacji związanej z naruszeniem, pozwoli nie tylko na dokonanie prawidłowej oceny incydentu, ale również na przedstawienie dowodów wyjaśniających podjęcie decyzji o zgłoszeniu lub nie zgłaszaniu naruszenia;
• Przeprowadzanie szczegółowych analiz ryzyk – decyzja o zgłoszeniu powinna wynikać z rzetelnej oceny wpływu naruszenia na osoby fizyczne. W związku z nowymi wytycznymi konieczne będzie zadbanie o jak najwyższy poziom analizy ryzyka. Pozwoli ona na ustalenie przyczyn oraz zakresu i potencjalnych skutków naruszenia danych osobowych oraz pozwoli ustalić czy konieczne jest jego zgłoszenie do Prezesa UODO;
• Odpowiedniego przeszkolenia pracowników i współpracowników z zakresu naruszeń – jak wskazują liczne dane i badania, do wielu incydentów związanych z danymi osobowymi dochodzi w wyniku błędów ludzkich. Z uwagi na zaostrzenie wytycznych dot. zgłaszania naruszeń, koniecznym może być poszerzenie świadomości wśród pracowników poprzez organizacje nowych szkoleń w tym zakresie.
• Przegląd procedur – organizacje powinny regularnie weryfikować swoje polityki bezpieczeństwa i dostosowywać je do aktualnych zagrożeń. Tym samym warto sprawdzić, czy obecne procedury stosowane w Państwa organizacji, sprawdzają się w związku z nowymi wytycznymi.

Administratorzy danych powinni być teraz szczególnie świadomi, że nawet incydenty o niskim ryzyku naruszenia praw i wolności mogą wymagać zgłoszenia do UODO, co podkreśla znaczenie odpowiedniego zarządzania ryzykiem w obszarze ochrony danych osobowych. Konieczne jest zatem, aby administratorzy odpowiednio przygotowali swoje organizacje na ewentualne sytuacje związane z naruszeniami. W ten sposób mogą ograniczyć wystąpienie zagrożeń w obszarze ochrony danych osobowych oraz pozwoli na ewentualną minimalizację ich skutków.

Komentarz Auraco:

Nowe wytyczne UODO pokazują, że podejście do zgłaszania naruszeń staje się coraz bardziej rygorystyczne i wzbudzają liczne głosy w doktrynie. Szczególnie poruszany jest temat zmiany kwalifikacji stopni naruszeń. W praktyce oznacza to, że niemal każdy incydent związany z wystąpieniem ryzyka naruszenia praw i wolności osób fizycznych należy potraktować jako konieczny do zgłoszenia do Prezesa UODO. Wytyczne te niejako wskazują, że to administratorzy powinni działać proaktywnie, aby uniknąć konsekwencji prawnych oraz finansowych związanych z błędnym zarządzaniem incydentami. Takie podejście wymusza na administratorach ponowną weryfikację wprowadzonych procedur, zabezpieczeń oraz poziomu wyszkolenia swoich pracowników.

Źródło: https://uodo.gov.pl/pl/138/3561