Zgłoszenie naruszenia RODO – wyciek danych osobowych

Wyciek danych osobowych lub inne naruszenie RODO to koszmar dla każdego przedsiębiorcy. Niestety takie sytuacje się zdarzają i niezwykle ciężko im zaradzić. Czasami dzieją się przez przypadek, a czasem można paść ofiarą celowego ataku cyberprzestępców.

Jak się zachować jeżeli masz podejrzenie, że dane osobowe przetwarzane w Twojej firmie wyciekły do Internetu?

Analiza naruszenia danych

Po pierwsze, dokładnie zbadaj czy na pewno doszło do incydentu RODO, a więc naruszenia danych osobowych. Przyda się na pewno pomoc programistów lub informatyków, którzy pomogą ocenić, na czym dokładnie polegał incydent. Koniecznie trzeba też ocenić skutki, jakie naruszenie mogło spowodować – należy zrobić to z perspektywy osoby, której dane wyciekły.

Finalnie trzeba zastosować środki zaradcze, tak żeby zminimalizować skutki naruszenia.

Po dokonaniu takiej analizy możemy podsumować, jakie są zagrożenia związane z wyciekiem danych oraz jakie jest ryzyko naruszenia praw lub wolności osoby, której dane wyciekły.

Dopiero mając wyniki takiej analizy, można trafnie ocenić, co należy robić dalej:

1. Czy zawiadomić UODO oraz użytkowników?
2. A może zawiadomić tylko UODO?
3. A może w ogóle nikogo nie zawiadamiać?

Gdzie zgłosić naruszenie RODO?

Każda firma chciałaby uniknąć informowania użytkowników o naruszeniu ich danych osobowych. Wiadomo, że to potrafi zostawić rysę na wizerunku czy opinii firmy. Dobra informacja jest taka, że nie zawsze trzeba pisać do użytkowników i dawać im znać, że ich dane osobowe zostały naruszone.

Poniżej analizuję i rozpisuję każdą z możliwości:

1. Gdzie zgłosić naruszenie RODO,
2. Jak zgłosić naruszenie RODO,
3. Kiedy zgłosić naruszenie RODO.

Opcja I: Zgłoszenie naruszenie RODO do UODO bez zawiadamiania użytkowników

Zawiadomienie użytkowników o naruszeniu ich danych osobowych jest konieczne, jeśli zachodzi wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Od zawiadomienia użytkowników można odstąpić między innymi, jeśli brak jest takiego wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Jak widać, przesłanka ta jest scharakteryzowana bardzo ogólnie i trzeba uwzględnić wszystkie za i przeciw.

Na ocenę braku wysokiego ryzyka mogłoby wpływać np. następujące okoliczności:

1. Dane były zabezpieczone kryptograficznie w taki sposób, że w przypadku włamania do bazy dane nie zostaną ujawnione (złamane),
2. Brak jest śladów włamania i ustalenia prowadzą do wniosku, że do wycieku w ogóle nie doszło (pomimo np. fałszywych twierdzeń innych podmiotów, że do wycieku doszło),
3. Zakres danych – tutaj zależnie od tego, jakie dane są przechowywane, wyższe ryzyko zaistnieje zazwyczaj w przypadku przechowywania np. PESEL, danych do płatności itd. niż samego nicka czy loginu.

Jeżeli uznasz, że ryzyko naruszenia praw lub wolności jest niskie, można w tym wypadku ograniczyć się tylko do zgłoszenia faktu zaistnienia naruszenia do UODO z odstąpieniem od zawiadomienia użytkowników.

W samym zawiadomieniu należałoby też opisać całą sytuację, wskazać, dlaczego uważasz, że nie doszło do naruszenia praw i wolności (bo np. brak jest dowodów, że doszło do wycieku danych).

W tej opcji jednak:

1. Istnieje możliwość wszczęcia kontroli przez UODO – trzeba więc upewnić się, że RODO jest właściwie wdrożone i przestrzegane, jest pełna dokumentacja, itd.
2. Trzeba się liczyć z faktem, że UODO może odmiennie ocenić tę sytuację i nakazać powiadomienie użytkowników.

Opcja II: Powiadomienie UODO oraz użytkowników

Jeżeli masz pewność, że doszło do naruszenia przetwarzania danych i że może ono skutkować wysokim naruszeniem praw lub wolności osób fizycznych to pozostaje Ci zgłoszenie incydentu RODO zarówno do Urzędu Ochrony Danych Osobowych jak i użytkowników.

W samym opisie zdarzenia oraz powiadomieniu użytkowników trzeba wskazać dokładny opis zaistniałej sytuacji. Jeżeli z ustaleń wynika, że nie doszło do naruszenia, ale obawiasz się ryzyka braku zawiadomienia o nim - można w opisie wskazać oczywiście, że pojawiła się informacja o potencjalnym wycieku, ale z ustaleń np. firmy czy specjalistów wynika, że nie doszło do odszyfrowania / wykorzystania danych, a samo zgłoszenie robisz z uwagi na dobrą praktykę i dbałość o interesy swoich użytkowników.

Jak wspomniałem wyżej, zawiadomienia użytkowników można zaniechać m.in. w sytuacji, jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia ich praw lub wolności. Natomiast w przypadku wycieków danych, takie naruszenie zazwyczaj oznacza wysokie ryzyko naruszenia praw tych osób.

Oczywiście zawiadomienie UODO i użytkowników to opcja, która ma wyraźne minusy:

1. PR-owo dla działalności danej firmy, wszelkie incydenty związane z naruszeniem bezpieczeństwa są źle widziane, szczególnie jeżeli lwia część Twojego biznesu to przetwarzanie danych osobowych (np. e-commerce),
2. Istnieje możliwość wszczęcia kontroli przez UODO – trzeba więc upewnić się, że RODO jest właściwie wdrożone i przestrzegane, jest pełna dokumentacja, itd.

Opcja III: Brak zawiadomienia UODO oraz użytkowników

Zgodnie z art. 33 ust. 1 RODO, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw i wolności osoby fizycznej, nie ma podstawy, by zgłaszać to naruszenie zarówno do UODO, jak i do osób fizycznych, których te dane dotyczą. W tym przypadku nie ma wątpliwości, że doszło do naruszenia ochrony danych osobowych „incydentu”, natomiast nie ma konieczności zgłaszania takiego naruszenia ani do UDODO, ani do użytkowników.

Kara za naruszenie RODO

Kara za brak zgłoszenia naruszenia danych osobowych i / lub brak poinformowania użytkowników o takim naruszeniu może wynosić do 10 milionów euro, lub 2% rocznego obrotu przedsiębiorstwa.

Nie jest to tylko teoria – w 2020 r. Morele.net zostało ukarane karą 2,8 mln zł. Kara została wymierzona za wyciek ponad 2 mln danych osobowych. Case Morele.net to świetny przykład do analizy – kara nie została wymierzona za sam wyciek danych. W toku kontroli okazało się też, że Morele.net nie dopełniło obowiązków informacyjnych, za późno podjęło czynności zaradcze i minimalizujące skutki wycieku. Warto uczyć się na takich przypadkach, żeby nie popełnić podobnych błędów.

Z samego punktu widzenia ochrony danych osobowych, jeżeli istnieje ryzyko, że doszło do wycieku danych warto przyjąć najgorszy scenariusz i od razu podjąć środki polegające przynajmniej na zawiadomieniu UODO.

Jeżeli w Twojej firmie mogło dojść do wycieku danych, upewnij się także, że przy pomocy odpowiednich specjalistów (informatycy, programiści) zabezpieczyłeś/łaś wszystkie dowody, ślady oraz zrobiłeś/łaś wszystko, co możliwe, by zminimalizować skutki.

A jeżeli potrzebujesz w takim przypadku pomocy prawnika – zapraszam do kontaktu.