ABI EXPERT
Wydanie: Kwiecień – czerwiec 2021
Naruszenia są możliwe wszędzie. Przesłanie wiadomości e-mail do niewłaściwego odbiorcy, wyrzucenie dokumentów zawierających dane osobowe do kosza na śmieci, udostępnienie swojego komputera służbowego koledze, partnerowi czy dziecku to tylko niektóre z przykładów bardzo przyziemnych, lecz nagminnie spotykanych, w których możemy zidentyfikować naruszenie ochrony danych osobowych.
Zgodnie z art. 4 pkt 12 rodo naruszenie ochrony danych osobowych oznacza „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Dodatkowo, zgodnie ze stanowiskiem Prezesa UODO z 9 grudnia 2020 r. (DKN.5131.5.2020): „z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność”. Oznacza to, że niezależnie od tego, jakie jest źródło zdarzenia (błąd pracownika, błąd klienta, błąd kontrahenta, celowe działanie osoby z zewnątrz itd.), naruszenie ochrony danych należy rozpatrywać przez pryzmat samego faktu przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
Bezpośrednio z pojęciem naruszenia ochrony danych osobowych wiąże się również drugie pojęcie – incydent bezpieczeństwa informacji. Zgodnie z Polską Normą ISO/IEC 27000 należy definiować to pojęcie jako „pojedyncze niepożądane lub niespodziewane zdarzenie związane z bezpieczeństwem informacji lub seria takich zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji”.
Pojęcie incydentu bezpieczeństwa informacji jest znacznie szersze niż pojęcie naruszenia ochrony danych osobowych, a jego zrozumienie jest kluczowe z punktu widzenia obsługi naruszeń.
Naruszenie a incydent bezpieczeństwa
Niezwykle istotne z punktu widzenia ochrony danych osobowych jest zrozumienie, że każde zdarzenie, nawet na pierwszy rzut oka prozaiczne i bez znaczenia, może wpływać na bezpieczeństwo informacji, a tym samym na bezpieczeństwo danych osobowych. Dane osobowe są jedną z kategorii informacji przetwarzanych przez organizację.
Naruszenie ochrony danych osobowych to wyłącznie taki incydent bezpieczeństwa informacji, który dotyczy tej jednej kategorii informacji przetwarzanych przez organizację – danych osobowych. Uproszczenie definicji naruszenia ochrony danych osobowych pozwala na lepsze zrozumienie, jak należy zarządzać obsługą naruszeń w organizacji.
Zarządzanie incydentami oraz naruszeniami
Administrator danych osobowych (dalej: ADO) zgodnie m.in. z art. 32 rodo odpowiada za bezpieczeństwo przetwarzanych przez niego danych osobowych. Zgodnie z art. 33 rodo to na ADO spoczywa obowiązek poinformowania organu nadzorczego o naruszeniu. Niezależnie od źródła naruszenia oraz jego przebiegu pełen zakres odpowiedzialności za obsługę naruszenia spoczywa na administratorze danych.
Administrator stoi przed bardzo trudnym zadaniem polegającym na prawidłowej identyfikacji i ocenie incydentów bezpieczeństwa. Zgodnie ze stanowiskiem Prezesa UODO, wyrażonym w decyzji z 17 grudnia 2020 r. (DKN.5130.1354.2020):
administrator musi zapewnić zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby zapewnić możliwość podjęcia stosownych działań. W niektórych przypadkach ustalenie, czy doszło do ujawnienia danych osobowych może wymagać czasu. W tym kontekście powinno się jednak położyć nacisk na szybkie zbadanie incydentu w celu ustalenia, czy faktycznie doszło do naruszenia ochrony danych osobowych, a jeżeli tak – podjąć działania zaradcze i, w razie konieczności, zgłosić naruszenie.
Pierwszym krokiem w prawidłowej organizacji procesu zarządzania incydentami jest określenie źródeł informacji o wystąpieniu incydentu oraz zapewnienie skutecznej komunikacji wewnętrznej, aby wszystkie osoby odpowiedzialne za bezpieczeństwo przetwarzania danych w organizacji mogły zareagować w odpowiedni sposób. Kolejnym krokiem będzie wstępna analiza zdarzenia, tzn. określenie przez wyznaczoną osobę wewnątrz organizacji, czy zgłoszenie jest prawdziwe oraz czy stanowi incydent bezpieczeństwa.
Po stwierdzeniu charakteru incydentu (zgodnie z kryterium szkodliwości – patrz: Kryterium…) następuje zwykle określenie zakresu danych, których dotyczy incydent, a także skali i skutków naruszenia oraz szczegółów jego przebiegu. Kluczowe jest zorganizowanie procesu zarządzania incydentami, ich dalszą oceną oraz notyfikacją do organu nadzorczego w taki sposób, aby zagwarantować skuteczną i szybką komunikację oraz bezzwłoczną reakcję wszystkich osób odpowiedzialnych zarówno wewnątrz organizacji (specjaliści ds. bezpieczeństwa fizycznego, IT, ochrony danych osobowych, najwyższe kierownictwo organizacji itd.), jak i na zewnątrz (zewnętrzne podmioty doradcze, podmiot przetwarzający itd.).
W zorganizowaniu procesu zarządzania incydentami oraz naruszeniami ochrony danych osobowych zdecydowanie pomoże przygotowanie i wdrożenie odpowiednich procedur. Stanowisko to znajduje potwierdzenie w opinii Prezesa UODO z 17 grudnia 2020 r. (DKN.5130.1354.2020).
Podmiot przetwarzający a obsługa naruszeń
Obsługa naruszeń przez podmiot przetwarzający zależy zwykle od charakteru umowy i roli stron w kontekście danych osobowych: czy zdarzeniem objęte są jedynie dane, w stosunku do których dany podmiot pełni funkcję tylko podmiotu przetwarzającego, czy może w stosunku do części z tych danych pełni również rolę ADO. Co do zasady, obsługa naruszenia przez podmiot przetwarzający sprowadza się zwykle do poinformowania administratora o zaistniałym zdarzeniu oraz do wykonywania poleceń administratora. Obie strony mają przy tym na względzie przede wszystkim dobro osób, których dane są przetwarzane, tzn. jeżeli wymagana jest natychmiastowa reakcja w celu ograniczenia skali naruszenia, podmiot przetwarzający zwykle działa autonomicznie i podejmuje pierwsze działania zaradcze, zanim otrzyma od ADO dalsze wytyczne. W przypadku pożaru archiwum podmiot świadczący usługę przechowania dokumentacji nie będzie pytał administratora danych o pozwolenie na rozpoczęcie gaszenia pożaru.
W przypadku wystąpienia naruszenia ochrony danych zgodnie z art. 33 ust. 2 rodo podmiot przetwarzający bez zbędnej zwłoki zgłasza je administratorowi. Na ADO spoczywa odpowiedzialność za podjęcie dalszych działań – analizę przebiegu naruszenia, ocenę skutków naruszenia, notyfikację do organu nadzorczego itd. Rola podmiotu przetwarzającego często ogranicza się jedynie do udzielania informacji administratorowi i wykonywania niezbędnych czynności związanych z ustaleniem przebiegu zdarzenia oraz ograniczeniem jego skutków. Dobrą praktyką jest, aby podmiot przetwarzający, o ile to możliwe, przeprowadził również po swojej stronie ocenę skutków naruszenia ochrony danych, czyli obsłużył naruszenie na podobnym poziomie, jakby był administratorem tych danych, informując o wszystkim administratora i przekazując mu wyniki swojej analizy zdarzenia oraz oceny skutków naruszenia. Jest to szczególnie istotne w przypadku procesorów, których usługi polegają na przetwarzaniu powierzonych danych we własnych systemach informatycznych, do których administrator nie ma zdalnego dostępu (np. biuro księgowe lub dostawca usług IT).
Ważne stanowisko wyraził Prezes UODO w decyzji z 11 lutego 2021 r. (DKN.5130. 2021.2020), stwierdzając, że: „o ile z art. 28 ust. 3 lit. f) rozporządzenia 2016/679 wynika obowiązek podmiotu przetwarzającego wspierania administratora w wywiązywaniu się z obowiązków określonych w art. 32–36 tego rozporządzenia, o tyle opatrzony jest jednak warunkami, które należy za każdym razem uwzględnić, tj. charakter przetwarzania oraz dostępne podmiotowi przetwarzającemu informacje”. Stanowisko Prezesa UODO jest słuszne, gdyż nie zawsze podmiot przetwarzający dysponuje wystarczającymi informacjami, aby móc autonomicznie podjąć się pełnej analizy zdarzenia czy oceny skutków naruszenia.
Te stanowiska Prezesa UODO jasno wskazują, że administrator danych odpowiada za bezpieczeństwo przetwarzania i przede wszystkim za dobór odpowiedniego podmiotu przetwarzającego, który jest w stanie zapewnić szybką reakcję, realizację procedur i odpowiedni do ryzyka poziom bezpieczeństwa danych.
[…]
Martyna Gosz – autorka jest adwokatką, specjalistką z zakresu ochrony danych i prawa nowych technologii; pełniła funkcję IOD; współpracuje z Omni Modo.
Daniel Niwiński – autor jest audytorem wiodącym Systemu Zarządzania Bezpieczeństwem Informacji (ISO 27001); specjalizuje się w zagadnieniach związanych z bezpieczeństwem informacji; współpracuje z Omni Modo.
Jeśli jesteś zainteresowany naszą ofertą lub realizacją swojego projektu, napisz do nas wiadomość!
Omni Modo Sp. z o.o.
Adwokat. Ochroną danych osobowych i prawem nowych technologii zajmuje się od kilku lat. Doświadczenie zawodowe zdobywał w firmach z branży IT oraz zajmujących się konsultingiem i doradztwem prawym w tym zakresie. Posiada również doświadczenie w obsłudze korporacyjnej w zakresie compliance ze szczególnym uwzględnieniem zagadnień ochrony danych osobowych oraz ładu korporacyjnego.
Prawnik, absolwentka Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Jana Pawła II w Lublinie. Wiedzę pogłębiała m.in. podczas studiów podyplomowych Wykonywania funkcji Inspektora Ochrony Danych (INP PAN w Warszawie).
Od lat zajmuje się sprawami z zakresu prawa nowych technologii w szczególności prawem ochrony danych osobowych. Doświadczenie zawodowe zdobywała m.in. w Urzędzie Ochrony Danych Osobowych oraz Parlamencie Europejskim.
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży produkcyjnej oraz podmiotów publicznych. Ponadto, wspomaga IOD w pełnieniu funkcji. W obszarze jej szczególnych zainteresowań leży tematyka ochrony danych przy przetwarzaniu transgranicznym oraz transferu danych do państwa trzecich.
Radca prawny wpisany na listę radców prawnych prowadzoną przez Radę Okręgowej Izby Radców Prawnych w Kielcach, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Wiedzę pogłębiał podczas studiów podyplomowych Prawo Nowoczesnych Technologii (INP PAN w Warszawie) oraz Nowoczesne Usługi Biznesowe (UTH w Radomiu). Ukończył programy Summer Law School on Intellectual Property Law oraz Summer Law School on Business Law organizowane przez University of Minho w Bradze.
Specjalizuje się w prawie e-commerce, ochronie konsumentów oraz prawie ochrony danych osobowych. Doświadczenie zdobywał współtworząc i kierując działem prawnym wiodącego polskiego portalu internetowego z branży turystycznej oraz podczas pracy w kancelarii wyspecjalizowanej w prawie nowych technologii. Autor publikacji naukowych i popularnonaukowych z zakresu ochrony danych osobowych w tym „Komentarza do Ustawy z dnia 10 maja 2018 o ochronie danych osobowych” (współautorstwo i redakcja). Wykładowca Wyższej Szkoły Bankowej w Warszawie.
Adwokatka, absolwentka prawa Wydziale Prawa i Administracji i Ekonomii Uniwersytetu im. A. Mickiewicza w Poznaniu, a także Akademii L. Koźmińskiego w Warszawie na kierunku „Prawo Nowoczesnych Technologii”.
Specjalizuje się w zakresie ochrony danych osobowych, prawie nowych technologii, e-Commerce, a także prawie ubezpieczeń i prawie karnym. Pełniła także funkcję IODO w sektorze finansowym i ubezpieczeniowym. Od czasów studenckich angażuje się w wolontariat prawniczy (inicjatywy pro bono).
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży motoryzacyjnej i kosmetycznej oraz podmiotów publicznych. Posiada bogate doświadczenie w prowadzeniu całościowych audytów oraz wdrożeń z RODO, a także bieżącym doradztwie w zakresie przetwarzania danych osobowych.
Absolwent SWPS Uniwersytetu Humanistycznospołecznego w Warszawie na kierunku Prawo, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji (ISO 27001), student wydziału Informatyki w Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. W swojej pracy zawodowej specjalizuje się w zagadnieniach związanych z bezpieczeństwem informacji, cybersecurity oraz ochroną danych osobowych. Doświadczenie zawodowe zdobywał m.in. w spółce z branży IT, w której zbudował od podstaw dział bezpieczeństwa informacji. Przez lata współprowadził również spółkę z branży handlu zagranicznego, aktywnie wspierając Zarząd zarówno w aspektach biznesowych jak i prawnych. W okresie studiów aktywnie wspierał działalność uczelni jako członek studenckiej poradni prawnej. Od 2019 roku współpracuje z Omni Modo w zakresie audytów bezpieczeństwa informacji, audytów ochrony danych osobowych oraz opracowywania i wdrażania procedur bezpieczeństwa.
Absolwent Akademii Leona Koźmińskiego na kierunku „Zarządzanie procesowe”. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001. Specjalizuje się w zagadnieniach dotyczących bezpieczeństwa informacji, wymogów techniczno-organizacyjnych wynikających z przepisów RODO w zakresie bezpieczeństwa oraz przetwarzania danych osobowych, analizy ryzyka, zarządzania procesami i projektami. Doświadczenie zawodowe zdobywał w międzynarodowej instytucji finansowej. Od 2016 roku związany z Omni Modo. Posiada długoletnie doświadczenie w zakresie zarządzania, realizacji projektów (w tym zapewniających zgodność z obowiązującymi przepisami prawa). Przeprowadza audyty, szkolenia, opracowuje i wdraża dokumentację niezbędną do osiągnięcia celów realizowanych procesów, zgodności z wymogami organizacji, wdrażanych systemów zarządzania, jak również przepisów prawa.
Radca prawny, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie.
Zajmuje się sprawami z zakresu prawa ochrony danych osobowych, szeroko pojętego prawa cywilnego, w szczególności prawa zobowiązań, prawa gospodarczego oraz prawa pracy. Doświadczenie zawodowe zdobywał w renomowanych kancelariach radców prawnych, a także w kancelarii notarialnej.
W Omni Modo, do jego obowiązków należy bieżące doradztwo na rzecz klientów, wsparcie IOD, przeprowadzanie audytów zgodności z RODO oraz szkoleń. Odpowiada m.in. za obsługę klientów z branży energetycznej .