Incydent czy naruszenie? O ryzyku w RODO mówi Paweł Litwiński [Prawo na Oko #63]
Na samą myśl o naruszeniu ochrony danych osobowych wyobraźnia podsuwa nam scenariusz kryzysu, który trafia na pierwsze strony gazet. Praktyka RODO pokazuje jednak, że punkt wyjścia bywa znacznie mniej widowiskowy - naruszenia to zazwyczaj ciche, niepozorne zdarzenia, stanowiące element codziennej pracy organizacji. Właśnie o tej mniej oczywistej stronie naruszeń ochrony danych osobowych opowiada w kolejnym odcinku podcastu Prawo na Oko dr Paweł Litwiński - adwokat, partner w kancelarii Barta Litwiński, a także członek Społecznego Zespołu Ekspertów przy Prezesie Urzędu Ochrony Danych Osobowych i Grupy Ekspertów Europejskiej Rady Ochrony Danych.
Incydent to dopiero początek - problem zaczyna się, gdy na nim poprzestajemy
Zaginiony laptop, chwilowy brak dostępu do systemu, dokument wysłany nie tam, gdzie trzeba. To moment, w którym organizacje często zatrzymują się na poziomie opisu zdarzenia, odkładając na później pytanie o jego znaczenie. Incydent staje się wówczas bezpiecznym przystankiem, z którego nie ma potrzeby ruszać dalej...
Jak twierdzi rozmówca:
Zawsze na początku mamy do czynienia z jakimś zdarzeniem, które najczęściej nazywamy mianem incydentu. Samo to określenie nie przesądza jednak o naruszeniu ochrony danych osobowych - to wymaga dopiero analizy. Problem w tym, że bardzo często na tym etapie się zatrzymujemy i nie próbujemy ustalić, co naprawdę się stało, bo nie chcemy zgłaszać sprawy do Urzędu Ochrony Danych Osobowych, a tym bardziej informować osób, których dane dotyczą.
Ponad 22 tysiące zgłoszeń do UODO, czyli jak wygląda rzeczywista skala naruszeń ochrony danych osobowych
Jednym z najtrwalszych mitów wokół RODO jest utożsamianie naruszenia ochrony danych wyłącznie z masowym wyciekiem informacji, podczas gdy w praktyce większość przypadków ma znacznie mniej spektakularny charakter.
Dr Paweł Litwiński podkreśla:
- Na pewno błędem jest utożsamianie naruszeń ochrony danych wyłącznie z wielkimi medialnymi zdarzeniami. Owszem, takich przypadków jest dużo i one powodują, że my o tych naruszeniach mówimy, natomiast na co dzień tych naruszeń ochrony danych osobowych jest znacznie więcej, jednak mają one znacznie mniejszą skalę.
W czasie ostatniego Kongresu Ochrony Danych Osobowych dowiedzieliśmy się, że w ubiegłym roku mieliśmy ponad 22 tysiące naruszeń zgłoszonych do prezesa Urzędu Ochrony Danych Osobowych. To jest bardzo dużo, a moje własne doświadczenia pokazują, że zgłasza się jedynie mniej więcej 40% naruszeń. Na tej podstawie można wywnioskować, że łącznie jest to ponad 50 tysięcy takich zdarzeń w ciągu jednego roku kalendarzowego.
Problem naruszeń ochrony danych osobowych nie kończy się na PESEL-u
Numer PESEL urósł w świadomości społecznej do rangi symbolu największego zagrożenia naruszenia danych osobowych. I mimo że w orzecznictwie NSA uznawany jest dziś za dane automatycznie generujące wysokie ryzyko dla praw i wolności osób, których dane dotyczą, gość odcinka studzi emocje:
- Nie trzymajmy się wyłącznie kurczowo PESEL-u. Kiedyś miałem okazję analizować dostępne informacje na temat liczby przestępstw kradzieży tożsamości, zderzone właśnie z liczbą wycieków danych osobowych i wycieków zawierających numer PESEL. Był to jedynie odsetek kradzieży tożsamości w Polsce. Natomiast wyciek np. danych medycznych, informacji o tożsamości seksualnej czy poglądach politycznych może niekiedy generować większą krzywdę. Ryzyko w RODO nie zawsze oznacza kradzież tożsamości. Bardzo często oznacza krzywdę psychiczną, ostracyzm społeczny, hejt, a w skrajnych przypadkach - konsekwencje tragiczne.
Naruszenia ochrony danych rzadko zaczynają się od huku - częściej od drobnego potknięcia, które zlekceważone może mieć poważne konsekwencje. Jeśli chcesz zrozumieć, gdzie naprawdę zaczyna się problem i jak patrzeć na ryzyko w RODO bez mitów i uproszczeń, ten odcinek podcastu jest dla Ciebie!
