Autor: Konfederacja Lewiatan
Stanowisko Konfederacji Lewiatan w sprawie rewizji poradnika „Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych”
(dalej jako „Poradnik”)
1. Więcej przykładów naruszeń:
- Dokument powinien zawierać więcej przykładów naruszeń. Przykładowo, dla naruszenia integralności danych wskazany został jeden przykład. Dla porównania naruszenie dostępności zostało zobrazowane trzema przykładami. Przykłady powinny obejmować różne sektory i rodzaje danych.
- Przykłady mogłyby wskazywać na możliwe działania korekcyjne.
- Jednocześnie dokument powinien zawierać więcej przykładów sytuacji, które nie powinny być traktowane jako naruszenie ochrony danych osobowych, np. z uwagi na to, że nie doszło do naruszenia bezpieczeństwa po stronie administratora. Przykładowo mogłyby to być następujące sytuacje:
- zidentyfikowanie przez administratora pojawienia się danych osobowych swoich klientów w przestrzeni publicznej, jednocześnie nie identyfikując, aby u administratora, jak również podmiotu przetwarzającego, za którego ponosi odpowiedzialność doszło do naruszenia bezpieczeństwa jako źródła, jak i przyczyny wycieku danych (przypadek wycieku w ALAB);
- czasowa niemożliwość skorzystania z jednego z kanałów komunikacji z administratorem (np. za pośrednictwem formularza online albo infolinii) w sytuacji, gdy dane osobowe są nienaruszone i jest możliwość dostępu do nich, jak również skorzystania z innych usług świadczonych przez administratora danych i zapewniona jest obsługa klienta administratora;
- skierowanie komunikacji/korespondencji na adres mailowy, adres stacjonarny lub numer telefonu podane przez klienta lub osobę, której dane dotyczą (np. dłużnika), które okażą się nieprawidłowe, nieaktualne lub należące do osoby trzeciej.
2. Stwierdzenie naruszenia i liczenie 72 godzin:
- Powinno być wyjaśnione, jak liczyć 72 godziny od momentu stwierdzenia naruszenia przez procesora. Należy uwzględnić czas na wstępne ustalenia, które mogą pomóc stwierdzić naruszenie, zgodnie z paragrafem 34 Wytycznych EROD 9/2022.
- W wykładzie online UODO pt. „Zgłaszanie naruszeń ochrony danych osobowych w praktyce” (start ok. min. 9:20, www: https://www.youtube.com/watch?v=Ob6917eL9so) prowadzący wskazuje, że administrator powinien zgłosić naruszenie w terminie 72 godzin od momentu stwierdzenia naruszenia przez procesora. Ww. Wytyczne 9/2022 wskazują, że administrator stwierdza naruszenie w momencie przekazania informacji o naruszeniu przez procesora. Od tego momentu powinno liczyć się termin 72 godzin (par. 44 Wytycznych 9/2022).
- Dokument powinien wyjaśniać kiedy administrator stwierdza naruszenie w przypadku powiadomienia przez procesora i od kiedy w takim wypadku należy liczyć termin 72 godzin.
- W związku z różnymi stanowiskami EROD i UODO administratorzy często przyjmują z ostrożności termin 72 godzin od momentu stwierdzenia naruszenia przez procesora.
3. Transgraniczne naruszenia:
Dokument powinien zawierać więcej informacji na temat zarządzania naruszeniami, które mają charakter transgraniczny. Oprócz późniejszych Wytycznych EROD 8/2022 warto również uwzględnić Opinię 04/2024 (https://www.edpb.europa.eu/system/files/2024-02/edpb_opinion_202404_mainestablishment_en.pdf).
4. Komentarz do formularza zawiadomienia o naruszeniu:
- Należy dodać komentarze wyjaśniające do formularza zawiadomienia o naruszeniu, zwracając uwagę na pojęcia, które mogą sprawiać trudności w praktyce. Warto podać przykłady prawidłowego wypełnienia formularza.
- Przykładowo, trudności w praktyce sprawie rubryka 3B w wierszu „Data i czas zakończenia naruszenia”. Wątpliwości mogą dotyczyć sytuacji, kiedy dokument trafia do nieuprawnionego odbiorcy. Administrator może w takiej sytuacji uznać, że momentem zakończenia jest poinformowanie odbiorcy o nieuprawnionym otrzymania dokumentu i poproszenie o usunięcie bądź zwrot. Jeśli administrator otrzyma powiadomienie o usunięciu, to wciąż może mieć wątpliwości, czy naruszenie faktycznie zakończyło się. W wykładzie online UODO pt. „Zgłaszanie naruszeń ochrony danych osobowych w praktyce” przykładem terminem zakończenia naruszenia jest zakończenie postępowania reklamacyjnego przed operatorem pocztowym. Nie jest jasne dlaczego ten moment należy uznać za zakończenie trwania naruszenia. Jeśli przesyłka zaginęła lub trafiła do nieuprawnionego odbiorcy zakończenie postępowania reklamacyjnego wciąż nie musi wiązać się z ustaniem skutków naruszenia bezpieczeństwa.
- Sugerujemy uzupełnienie Poradnika o informację, że oczekiwaniem UODO jest poinformowanie o planowanych datach wdrożenia środków bezpieczeństwa zastosowanych lub proponowanych do zastosowania w celu zminimalizowana ryzyka ponownego wystąpienia naruszenia (9B). W naszej praktyce spotykamy się z sytuacjami, iż UODO kontaktuje się z ADO prosząc o uzupełnienie tej informacji.
5. Najczęściej popełniane błędy przy zgłaszaniu naruszeń:
Dokument powinien zawierać sekcję omawiającą najczęściej popełniane błędy przy zgłaszaniu naruszeń, zaktualizowaną o błędy wskazane w decyzjach Prezesa Urzędu, które dotyczyły problematyki zgłaszania naruszeń i sprawozdaniach (np. wskazane na stronie 132 Sprawozdania z działalności PUODO z 2022 r.).
6. Rola IOD w zgłaszaniu naruszeń:
Należy wyjaśnić, czy Inspektor Ochrony Danych (IOD) może zgłaszać naruszenie bezpośrednio do organu nadzorczego, oraz jakie są jego obowiązki i uprawnienia w tym zakresie. Zagadnienie to budzi wciąż wiele dyskusji i brak zrozumienia administratorów.
7. Wskazówki dotyczące zawiadamiania osób, których dane zostały naruszone:
- Dokument powinien zawierać wskazówki, jak zawiadamiać osoby, których dane zostały objęte naruszeniem bez wprowadzania zbędnego strachu i paniki. Przede wszystkim dotyczy to opisywania możliwych konsekwencji naruszenia w sposób zrozumiały i adekwatny do sytuacji, tak aby nie wywoływać zbędnego strachu.
- Przykładowo, w przypadku naruszenia poufności, które polega na chwilowym udostępnieniu przez klientowi dokumentu z danymi innego klienta, który to dokument został niezwłocznie zwrócony ryzyko zaistnienia skutków w postaci zaciągnięcia zobowiązań, kradzieży tożsamości itd. będzie niższe niż w przypadku ataku ransomware. W obu przypadkach jednak administratorzy będą informować o podobnych skutkach.
8. Katalog możliwych konsekwencji
Pomocny byłby katalog przykładowych możliwych konsekwencji w zestawieniu z kategoriami danych objętymi naruszeniem. Administratorzy, którzy nie mają profesjonalnego wsparcia mogą mieć trudności w samodzielnym ustaleniu katalogu możliwych konsekwencji.
9. Procedura postępowania w przypadku naruszeń
Administratorzy mogą nie wiedzieć co się dzieje w UODOpo złożeniu zgłoszenia o naruszeniu. Warto wskazać czego się można spodziewać i w jakim terminie.
10. Rejestr naruszeń
Dokument nie zawiera szczegółowych informacji co do treści rejestru naruszeń. Pomocne mogą być przykłady prawidłowo wypełnionego rejestru lub przykłady nieprawidłowo wypełnionego rejestru, czy też najczęstszych błędów.
11. Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu podręcznika oraz środki minimalizujące negatywne skutki naruszenia:
W podręczniku nie ma informacji nt. zaproponowania podmiotowi danych możliwości zastrzeżenia numeru PESEL. Powinna znaleźć się w nim informacja o, tym że:
- Podmiot danych ma możliwość zastrzeżenia nr PESEL (ma to szczególne znaczenie, gdy skompromitowany został nr PESEL);
- Zastrzeżenie nr PESEL jest bezpłatne;
- Nr PESEL można zastrzec na stronie https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie;
- Zastrzeżenie można cofnąć również poprzez ww. stronę;
- Zastrzeżenie nr PESEL może wiązać się z niedogodnościami, np. niemożliwość zawarcia umowy kredytu, pożyczki bądź nabycia nieruchomości, które ustają po cofnięciu zastrzeżenia,
Sugerujemy uzupełnienie podręcznika o rozpisanie możliwości założenia konta w systemie informacji kredytowej i gospodarczej. Powinna znaleźć się w nim informacja o tym, że:
- Podmiot danych ma możliwość założenia konta w systemie informacji kredytowej i gospodarczej (ma to szczególne znaczenie, gdy skompromitowany został nr PESEL lub nr dowodu osobistego);
- Osoba uzyskuje możliwość monitorowania swojej aktywności kredytowej;
- Dostęp do informacji gospodarczych jest bezpłatny, jeżeli następuje nie częściej niż raz na 6 miesięcy;
- Wykaz biur informacji gospodarczych oraz lista stron internetowych, na których można uzyskać informacje w tym przedmiocie znajdują się na stronie internetowej: https://www.gov.pl/web/rozwoj-technologia/wykaz-biur-wykonujacych-dzialalnosc-gospodarcza
12. Ocena ryzyka i dokumentacja:
- Pomocne byłoby udostepnienie przez UODO kalkulatora oceny ryzyka naruszenia praw lub wolności osób fizycznych, który mógłby opierać się na wytycznych EROD oraz ENISA.
- W dokumencie brakuje roziwnięcia wyjaśnienia pojęcia „zaufanego odbiorcy danych” i przykładów sytuacji, w których możnaby przyjąć, że doszło do ujawnienia danych osobowych takiemu zaufanemu odbiorcy, co wplywa na ocenę skutków naruszenia.
13. Nieprawidłowe traktowanie przez Prezesa UODO naruszenia bezpieczeństwa obejmującego numer PESEL jako naruszenia w większości przypadków powodującego wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą:
W punkcie 9.3. (s.17 i nast.) Poradnika Prezes UODO wyraził stanowisko, zgodnie z którym wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą występuje np. w przypadku zagubienia bądź wręczenia niewłaściwej osobie dokumentacji zawierającej imię i nazwisko oraz nr PESEL,a w przypadku takich naruszeń może dojść np. do popełnienia przestępstw związanych z tzw. kradzieżą tożsamości na szkodę podmiotu danych.
W ocenie członków Konfederacji Lewiatan, popartej stanowiskiem doktryny prawa (np. opinia Pawła Litwińskiego „Naruszenia bezpieczeństwa danych osobowych obejmujące numer PESEL” – analiza ryzyka, dostępna na stronie internetowej https://tizydorczyk.pl/lib/pli/2021-08%20Naruszenia%20bezpiecze%C5%84stwa%20danych%20osobowych%20obejmuj%C4%85ce%20numer%20PESEL%20-%20analiza%20ryzykaP.Litwinski.pdf (dostęp z dnia 13 czerwca 2024 r.) opinia jakoby każdy przypadek naruszenia poufności danych osobowych obejmujący numer PESEL powoduje powstanie wysokiego ryzyka dla praw i wolności osób dotkniętych tym naruszeniem nie jest właściwa. Każde naruszenie bowiem powinno być rozpatrywane indywidualnie. Jak wskazuje Grupa Robocza Art. 29 w opinii zawartej w Wytycznych Grupy Roboczej art. 29 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (str. 8 i nast.) oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia, administrator powinien uwzględnić zatem konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia.
Jedynie indywidualna analiza każdego przypadku naruszenia ochrony danych może być podstawą stwierdzenia poziomu ryzyka wiążącego się z naruszeniem. Naruszenie obejmujące numer PESEL, jak dowodził Paweł Litwiński w wyżej cytowanej opinii, po przeanalizowaniu danych statystycznych dot. kradzieży tożsamości i ilości zgłoszonych do Prezesa UODO naruszeń ochrony danych obejmujących numer PESEL, w wielu przypadkach nie przesądza o wysokim ryzyku naruszenia praw lub wolności osób fizycznych.
Co więcej, numery PESEL wielu osób, zasiadających w organach np. spółek prawa handlowego są publicznie dostępne w informacji Krajowego Rejestru Sądowego, co według dostępnych informacji nie wpłynęło do tej pory na częstotliwość popełnianych na szkodę tych osób przestępstw, w szczególności związanych z tzw. „kradzieżą tożsamości”.
14. Sposób wyboru podmiotu przetwarzającego przez administratora
Jak wskazał Prezes UODO w punkcie 2.3 Poradnika (s.6 i nast.) Administrator powinien korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania (motyw 81 RODO).
W opinii członków Konfedracji Lewiatan popartej stanowiskiem doktryny prawa ochrony danych osobowych badanie, czy podmiot przetwarzający spełnia wymogi określone w art. 28 ust. 1 RODO, może w praktyce być realizowane poprzez uzyskanie odpowiedzi na kwestionariusz pytań, dotyczących kwestii stosowania odpowiednich środków technicznych i organizacyjnych zapewniających zgodność działań podmiotu przetwarzającego z przepisami, przekazywany przez administratora, natomiast na etapie zawierania z podmiotem przetwarzającym umowy powierzenia nie ma obowiązku prowadzenia audytu stosowanych przez procesora środków (zob. np. P. Barta, M. Kawecki, P. Litwiński, Komentarz do art. 28, teza 1 [w:] Ogólne rozporządzenie o ochronie danych..., red. P. Litwiński, s. 314) i P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 28.).
Wobec powyższego Konfederacja Lewiatan sugeruje, by w kolejnej wersji poradnika organ nadzorczy wprost dopuścił ww. opinię.
KL/340/89/ET/2024