RODO wprowadziło nieznany dotąd obowiązek zgłaszania naruszeń ochrony danych osobowych. Od 25 maja 2018 roku administratorzy danych zobowiązani są bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, do zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych. Od powyższego obowiązku można odstąpić, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Kwestia zgłaszania naruszeń budzi wiele pytań, na które trudno odpowiedzieć w jednym miejscu. Dlatego w niniejszym wpisie chciałbym skupić się na wybranym zagadnieniu, a mianowicie na ocenie naruszenia.
Oceny można dokonywać według wielu rozmaitych kryteriów, korzystając z mniej lub bardziej skomplikowanych metodologii czy algorytmów. W efekcie nie ma jednoznacznej odpowiedzi, jak przeprowadzać taką ocenę. Pomocne mogą być zatem wytyczne Grupy roboczej art. 29 numer WP250rev.01, które dotyczą tematyki zgłaszania naruszeń.
Oto lista kryteriów, które zgodnie z wytycznymi administrator powinien brać pod uwagę podczas przeprowadzania analizy ryzyka wynikającego z naruszenia.
Rodzaj naruszenia – czy naruszenie wiąże się z utratą poufności, dostępności, integralności danych itp. Inną wagę może mieć naruszenie polegające na ujawnieniu danych, a inną na utracie dostępu do danych.
Charakter, wrażliwość i ilość danych – czy naruszenie dotyczy danych zwykłych czy szczególnych kategorii danych np. dotyczących zdrowia lub orientacji seksualnej? Ponadto znaczenie ma ilość danych – ryzyko naruszenia praw lub wolności wzrasta, gdy naruszenie dotyczy całego zestawu danych.
W przypadku tego kryterium możemy posłużyć się przykładem sklepu internetowego. Inaczej oceniany byłyby wyciek danych dotyczących zakupów ubrań czy artykułów gospodarstwa domowego, a inaczej listy leków zamówionych w aptece internetowej, w szczególności dotyczących nietypowych chorób.
Łatwość identyfikacji osób – jak łatwo można dokonać identyfikacji osoby, której dotyczy naruszenie. Czy identyfikacji można dokonać bezpośrednio czy pośrednio?
Cechy szczególne danej osoby fizycznych – czy mamy do czynienia z osobą, której nietypowe cechy lub sytuacja, w której się znajduje, zwiększa ryzyko naruszenia jej praw lub wolności? Można śmiało założyć, że ujawnienie danych adresowych znanego polityka rodzi większe zagrożenie dla jego praw lub wolności niż w przypadku opublikowania danych osoby, która nie jest powszechnie znana.
Liczba osób fizycznych, na które naruszenie wywiera wpływ – zazwyczaj potencjalny wpływ naruszenia wzrasta wraz z liczbą osób, których ono dotyczy. Kradzież listy zawierającej adresy mejlowe 20 klientów banku rodzi mniejsze zagrożenie niż wyciek listy z danymi tysięcy osób. Zagrożeniem może być na przykład nielegalna sprzedaż listy w celu wykonywania działań marketingowych.
Waga konsekwencji naruszenia – czy w wyniku naruszenia może dojść do zagrożenia życia lub zdrowia osoby, cierpień psychicznych, szkody finansowej, naruszenia jej dobrego imienia itp. Ponadto, jak trwałe są konsekwencje naruszenia?
Jak widać, dokonując oceny naruszenia, należy wziąć pod uwagę wiele czynników. W skrócie można stwierdzić, że przeprowadzając analizę incydentu, z którym wiąże się naruszenie ochrony danych osobowych, musimy odpowiedzieć sobie na pytanie, jaką krzywdę może wyrządzić naruszenie oraz jakie jest prawdopodobieństwo, że taka krzywda wystąpi.
Oczywiście tak jak w przypadku i innych przepisów RODO, musimy poczekać na orzeczenia sądów oraz decyzje organów nadzorczych. Możemy być jednak pewni, że ocena naruszeń jeszcze długo będzie powodować wiele problemów, gdyż każdy podmiot, który przetwarza dane może interpretować określone zdarzenie w różny sposób.
