We wszystkich krajach Unii Europejskiej do odpowiedników naszego Urzędu Ochrony Danych Osobowych wpłynęło już 89 271 zgłoszeń, w tym 4 538 w Polsce. Gdyby liczbę zgłoszeń przeliczyć na dni, wychodzi prawie 244 zgłoszeń w Unii, i ponad 12  w Polsce. Czy to dużo?

Jeśli nawet połowa z nich będzie zasadna to i tak okazuje się, że w Polsce doszło do prawie 2300 naruszeń. Moim zdaniem to znacząca liczba – mówi Piotr Liwszic, specjalista ds. ochrony danych w ODO24. Piotr Drobek, dyrektor Zespołu Analiz i Strategii w Urzędzie Ochrony Danych Osobowych, zauważa, że na pewno zgłoszeń jest więcej w tych krajach, gdzie funkcjonował już system powszechnego zgłaszania, w których obowiązek ten nie był ograniczony do sektora telekomunikacyjnego. - Po prostu tam jest większa świadomość. W Polsce jednak nie jest źle, choć są sektory, w których trzeba dopracować ten mechanizm – podkreśla Piotr Drobek. Stąd też UODO przygotowało poradnik o obowiązkach administratorów związanych z naruszeniami. Piotr Liwszic uważa, że to przejrzyście napisany poradnik. – Tak powinna wyglądać komunikacja każdego urzędu z obywatelem – podkreśla. Tyle, że z poradnika wynika, że administratorzy nie radzą sobie jeszcze ze zgłoszeniami.

Sprawdź: Czy każdy podmiot powinien posiadać procedurę w przypadku wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowania o działaniach, jakie powinni wykonać, aby ryzyko to ograniczyć? >

 

Nie zgłaszamy każdego naruszenia

Z danych UODO wynika, że tuż po 25 maja 2018 r. był taki trend, że zgłaszano wszystko na wszelki wypadek. – Zapewne radziła tak część doradców – ocenia Piotr Drobek. - Administratorzy nie brali pod uwagę, że inaczej niż w prawie telekomunikacyjnym, nie zgłasza się każdego naruszenia,  ale tylko to, które może stanowić ryzyko dla praw lub wolności osób fizycznych. Po roku widać jednak, że wszyscy uczą się nowych obowiązków – dodaje dyrektor Drobek.

Przeczytaj poradnik: Kontrole sektorowe 2019 - sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób dokumentowania przez administratora danych naruszeń ochrony danych osobowych >

Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych. Mogą nią być, np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Sprawdź: Czy każdy podmiot powinien przygotować klasyfikację naruszeń i procedurę zgłaszania naruszeń do organu nadzorczego? >

O czym najczęściej dowiaduje się UODO

Z danych UODO wynika, że częstymi naruszeniami są przypadki przesłania danych osobowych do niewłaściwego odbiorcy, tj. na niewłaściwy adres e-mail czy do korespondencji, na skutek omyłki pracownika. – Gdy firma ma takie przypadki, warto pomyśleć o wprowadzeniu systemu podnoszącego bezpieczeństwo przesyłania danych osobowych – mówi Piotr Liwszic. - Wiadomości e-mail mogą być przesyłane z zaszyfrowanymi załącznikami, a hasło do nich może być wysłane, np sms-em, czy przez aplikację na smartfona.  Wtedy nie jest groźne przesłanie e-maila z zaszyfrowanym załącznikiem do osoby trzeciej, gdyż ona nie otrzyma hasła przysłanego sms-em - radzi Piotr Liwszic. Można również w wiadomości e-mail przesłać link do systemu, który wymaga logowania i osoba trzecia nie uzyska dostępu do nie swoich danych.

Sprawdź w LEX: Wytyczne na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowania o działaniach, jakie powinni wykonać celem ograniczenia ryzyka >

Ponadto dużo jest zgłoszeń dotyczących zagubienia lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne), dokumentów zawierających dane osobowe klientów. Dotyczy to w szczególności tych pracowników, których praca polega na kontaktach z klientem w miejscu jego zamieszkania (np. agentów ubezpieczeniowych, doradców finansowych).

 


Nieprawidłowo informują osoby, których dane wyciekły

Zgodnie z art. 34 RODO administrator zawiadamia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, w tym opisuje możliwe konsekwencje. Okazuje się, że często taka osoba dowiaduje się jedynie, że naruszenie może doprowadzić do utraty poufności ich danych czy utraty kontroli nad danymi osobowymi. - Taka informacja jest niewystarczająca. Administrator, biorąc pod uwagę charakter naruszenia oraz kategorie danych, które uległy naruszeniu, powinien wskazać osobom, których dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia – czytamy w poradniku. Na przykład w przypadku naruszenia takich danych, jak imię, nazwisko oraz nr PESEL, należy wskazać np., że możliwa jest kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia co może spowodować negatywne konsekwencje związane z próbą przypisania osobom, których dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa.

Sprawdź procedurę w LEX: Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >

Piotr Liwszic przypomina, że prezes UODO już w wydanych wcześniej decyzjach sygnalizował sposób spełnienia obowiązku zawiadomienia poszkodowanego. – Widać to w szczególności w decyzjach wobec ubezpieczycieli, którzy wysłali do niewłaściwych osób  szczegółowe informacje o polisie. -  Decyzja ta pokazuje bardzo słusznie, przywiązanie uwagi UODO do jasnego, konkretnego i szerokiego informowania osób o naruszeniu. Tak naprawdę na jej podstawie można przygotować gotowiec. Gdy dochodzi do naruszenia zwykle nie ma na to czasu, a stres związany z naruszeniem na pewno w tym nie pomaga – mówi Piotr Liwszic.

Zgodnie z art. 33 RODO administrator ma 72 godzin na zgłoszenie UODO naruszenia liczone od momentu jego stwierdzenia.. W poradniku UODO wyjaśnia, że ten obowiązek  nie dotyczy przetwarzających, czy osób, których dane ujawniono.

Sprawdź: Czy w przypadku wysłania wiadomości e-mail zawierającej dane osobowe jednej osoby na jeden niewłaściwy adres wymagane jest dokonanie zgłoszenia do Prezesa UODO zgodnie z art. 33 RODO? >