To najbardziej niebezpieczne z przekonań. O ile faktycznie atak hakerski na kilkuosobową firmę o niedużych obrotach jest mało prawdopodobny i mikroprzedsiębiorcom raczej nie przydarzy się to, co spotkało spółkę Morele.net (jak do tej pory ukaraną najwyższą kwotą w Polsce), to zwykłej pomyłki nie da się wykluczyć.
Incydentem – bo tak w terminologii rozporządzenia nazywamy zdarzenie narażające firmę na naruszenie przepisów – może być z pozoru niewinna sytuacja. Chyba każda aktywna zawodowo osoba spotkała się w swojej karierze z mailem, który został wysłany do mnóstwa publicznych adresatów, bo nadawca omyłkowo nie wpisał ich do pola UDW (czy z angielska: BCC). A to już incydent, choć sytuacja z pozoru błaha. Czy ktokolwiek może wykluczyć ryzyko takiej pomyłki?
A gdy pracownikowi firmy ktoś ukradnie służbowego laptopa? To kolejny incydent. Czy można to całkowicie wykluczyć? Oczywiście, że nie.
Na czym polega naruszenie ochrony danych osobowych?
Zgodnie z definicją ujętą w art. 4 pkt. 12 Rozporządzenia RODO:
„naruszenie ochrony danych osobowych” – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Typy naruszeń ochrony danych osobowych:
- naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;
- naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych;
- naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany.
Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:
- naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
- skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
- naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Nie każde naruszenie bezpieczeństwa jest naruszeniem ochrony danych osobowych.
Naruszenie ochrony danych osobowych – kary RODO
Należy pamiętać, iż nie każde naruszenie, wiążę się z nałożeniem administracyjnej kary pieniężnej, która dla przedsiębiorców może wynosić do 4 % obrotów w skali światowej za poprzedni roku obrotowy. Niejednokrotnie bardziej dotkliwą karą jest naprawienie naruszenia ochrony danych osobowych.
KARY RODO w Polsce – zestawienie na dzień 30.03.2020 r.
645 000 EUR – naruszenie w zakresie bezpieczeństwa przetwarzania – link do decyzji
220 000 EUR – naruszenie obowiązku informacyjnego – link do decyzji
47 000 EUR – naruszenie zasad przetwarzania danych – link do decyzji
12 950 EUR – naruszenie podstaw przetwarzania – link do decyzji
9380 EUR – naruszenie w zakresie powierzenia danych – link do decyzji
4600 EUR – naruszenie zasad przetwarzania – link do decyzji
I. Najwyższa kara w Polsce za naruszenie ochrony danych:
Kara ok. 2,8 mln zł – Morele.net – decyzja z dnia 10.09.2019 r. Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary (link do decyzji)
Prezes UODO w ramach przeprowadzonego postępowania stwierdził, iż doszło do naruszenia przez Morele.net przepisów rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Art. 5 ust. 1 lit a) oraz lit. f) Zasady dotyczące przetwarzania danych osobowych | Dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”) |
Art. 5 ust. 2 Zasady dotyczące przetwarzania danych osobowych | Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). |
Art. 6 ust. 1 Zgodność przetwarzania z prawem | Przepisy regulujące zgodność przetwarzania z prawem |
Art. 7 ust. 1 Warunki wyrażenia zgody | Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. |
Art. 24 ust. 1 Obowiązki administratora | Obowiązki administratora Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. |
Art. 25 ust. 1 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych | Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania -wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. |
Art. 32 ust. 1 lit. b) oraz lit d) Bezpieczeństwo przetwarzania | Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. |
Art. 32 ust. 2 Bezpieczeństwo przetwarzania | Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. |
W jaki sposób zgłosić naruszenie ochrony danych osobowych (naruszenie RODO)?
Każdy ma prawo poinformować o tym, że dane podlegające obowiązkowi zabezpieczenia uległy naruszeniu. Zawsze, gdy zostały powierzone do przetwarzania czy administrowania w związku ze stosunkiem pracy lub zawarciem transakcji handlowej, ciężar ich ochrony leży po stronie instytucji z jasno określonym schematem postępowania. Odpowiada za nie administrator, wyznaczony przez szefostwo do zawiadywania obszarem RODO. Jeśli już zdarzy się naruszenie danych osobowych, gdzie powinno się zgłosić taki przypadek?
Prezes Urzędu Ochrony Danych Osobowych przedstawia 4 możliwości powiadomienia o naruszeniu ochrony danych osobowych. Mianowicie poprzez:
- Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza dostępnego w załączniku na stronie www.uodo.gov.pl
- Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
- Elektronicznie poprzez wysłanie wypełnionego formularza (dostępnego w załączniku) za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl (Jak znaleźć Urząd w formularzu pisma ogólnego?)
- Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu.