Zdarzenie skutkujące utratą dostępności danych osobowych przez pewien czas jest naruszeniem. Tak wyraźnie wskazał Urząd Ochrony Danych Osobowych w poradniku pt. Obowiązki administratorów związane z naruszeniem ochrony danych osobowych. To oznacza, że naruszeniem jest nie tylko zgubienie lub kradzież nośnika z danymi, usunięcie danych z jakiegoś zbioru, ale również niedostępność danych w wyniku przerwy w dostawie prądu czy awarii serwera. Takie podejście nie dziwi ekspertów. Dla RODO bowiem wina się nie liczy. Podkreślają jednak, że nie każde takie naruszenie trzeba zgłaszać do Urzędu Ochrony Danych Osobowych.
Czytaj w LEX: Poradnik UODO o zgłaszaniu naruszeń >
Wina nie ma znaczenia
Piotr Liwszic, specjalista do spraw ochrony danych w ODO 24 podkreśla, że w przypadku takich naruszeń nie ma znaczenia, czy administrator był winny czy nie, czy do naruszenia doszło umyślnie czy nie. – Takie naruszenie trzeba przeanalizować i ocenić, czy zgłosić je do UODO – mówi Piotr Liwszic. – Tak samo nie ma znaczenia, że pracownik złośliwe zepsuł serwer lub wyniósł komputer. Okoliczności naruszenia mogą mieć jedynie znaczenie dla organu nadzorczego przy rozważaniu, czy nałożyć kare i jak wysoką – tłumaczy Piotr Liwszic.
Trzeba ocenić ryzyko naruszenia danych
Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Piecuch przypomina, że również zgodnie z wytycznymi Grupy roboczej art.29 (obecnie Europejska Rada Ochrony Danych) incydent bezpieczeństwa skutkujący utratą dostępu do danych przez określony czas stanowi rodzaj naruszenia. Powstaje jednak pytanie, kiedy takie naruszenie trzeba uznać za istotne i zgłosić do UODO. Urząd tłumaczy, że nie każda czasowa niedostępność danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw lub wolności osób fizycznych. I tu podaje przykład, że np. w przypadku szpitala brak dostępu do danych pacjentów może prowadzić do uniemożliwienia przeprowadzenia operacji medycznej, a zatem narażenia życia, co należy zaklasyfikować jako wysokie ryzyko dla praw lub wolności osób fizycznych.
Czytaj w LEX: Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu >>
RODO nie daje prostych odpowiedzi
Maciej Gawroński wskazuje, że nie jest to przypadkowy przykład. W 2017 r. w wyniku cyberataku ransomware WannaCry w Anglii odwołano 20 tys. wizyt, sześćset zabiegów chirurgicznych przeprowadzono w oparciu o papierową dokumentację, a pięć szpitali odsyłało karetki z nagłymi przypadkami. – Gdyby doszło do podobnej sytuacji z powodu braku prądu czy awarii serwera też doszłoby do naruszenia praw lub wolności osób fizycznych, bo stworzyłoby zagrożenie dla życia pacjentów – tłumaczy Maciej Gawroński. Dlatego prawnicy podkreślają, że zawsze trzeba ocenić ryzyko, a to zależy od okoliczności.
Dr Mirosław Gumularz radca prawny z kancelarii GKK Gumularz Kozik przyznaje, że RODO nie daje łatwej odpowiedzi jak szacować wagę i prawdopodobieństwo ryzyka. Wskazuje jednak, że według Grupy Roboczej art. 29 krótkotrwała, kilkuminutowa awaria systemu zasilania w centrum obsługi telefonicznej administratora, w wyniku której klienci nie mogą skontaktować się z administratorem i uzyskać dostępu do swoich danych nie stanowi takiego naruszenia. Według UODO podobnie będzie w przypadku kilkugodzinnego braku dostępu do systemów uniemożliwiającego wysłanie newslettera czy planowanych prac konserwacyjnych.
Przeczytaj poradnik: Kontrole sektorowe 2019 - sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób dokumentowania przez administratora danych naruszeń ochrony danych osobowych >
Według Macieja Gawrońskiego zaś awaria uczelnianego systemu obsługi studentów uniemożliwiająca, np. zapisanie się na egzamin, złożenie podania o stypendium czy zawieszenie platformy publicznej uniemożliwiające przesłanie sprawozdania finansowego, zaatakowanie serwerów przez hakerów może być już takim naruszeniem.
Dobra analiza pozwala uniknąć kary
Mirosław Gumularz dodaje, że analizując przypadek utraty dostępności należy zadać sobie następujące pytanie: czy jest to naruszenie ochrony danych osobowych? - Jeżeli tak, to czy rodzi ryzyko dla praw lub wolności (szkody materialne, niematerialne, inne uszczerbki, nie tylko w aspekcie prywatności), jaki jest jego poziom uwzględniając prawdopodobieństwo wystąpienia negatywnych konsekwencji oraz ich wagę. Ewa Kornacka, członek zarządu Stowarzyszenia Inspektorów Ochrony Danych Osobowych podpowiada kolejne pytanie: czy mamy kopie zapasowe lub czy np. posiadamy dokumentację w wersji papierowej, czyli jak szybko możemy odtworzyć te dane, jak jak szybko jesteśmy w stanie przywrócić dostęp. - Wszystko więc trzeba analizować indywidualnie, uwzględniając wiele elementów składowych. Od odpowiedzi zaś będzie zależał nasz kolejny krok. Dopiero na tej podstawie można też ocenić, czy zgłaszać go do UODO - mówi Ewa Kornacka
Za każdym razem warto więc przeprowadzić taką analizę, bo jej brak może skutkować wysoką karą.
Nie tylko RODO rządzi
Maciej Gawroński zwraca uwagę, że w przypadku internetowych platform sprzedażowych, usług przetwarzania w chmurze czy wyszukiwarek internetowych takie incydenty trzeba też ocenić pod kątem cyberbezpieczeństwa. Zgodnie bowiem z ustawą o krajowym systemie cyberbezpieczeństwa, dostawcy takich usług muszą zgłosić incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej do CSIRT NASK (zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego). Podobne procedury dotyczą szpitali czy świadczących usługi publiczne.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
