Naruszenie ochrony danych osobowych: co to i jakie ma skutki?
Nieprzestrzeganie przepisów o ochronie danych osobowych w wyniku którego może dojść do naruszenia ochrony danych osobowych może wiązać się z koniecznością zapłaty nawet wielomilionowej kary administracyjnej nałożonej przez organ nadzoru. Należy jednak pamiętać, że może nieść za sobą również inne konsekwencje: obowiązek zapłacenia odszkodowania, a w ściśle określonych przypadkach może się wiązać nawet z odpowiedzialnością karną.
Naruszenie ochrony danych osobowych — definicja
Na gruncie RODO pojęcie „naruszenie ochrony danych osobowych" oznacza sytuację naruszenia bezpieczeństwa, prowadzącą do przypadkowego lub niezgodnego z prawem:
- zniszczenia danych osobowych,
- utracenia danych osobowych,
- zmodyfikowania danych osobowych,
- nieuprawnionego ujawnienia danych osobowych lub
- nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
To oznacza, że z naruszeniem ochrony danych będziemy mieli do czynienia nawet w przypadku, kiedy np. wskutek niezawinionego przez nikogo pożaru dojdzie do zniszczenia twardego dysku komputera, na którym zapisane były dane osobowe pracowników czy klientów administratora.
Skutki naruszenia ochrony danych osobowych
Jeżeli dojdzie do naruszenia ochrony danych osobowych, a ze strony administratora brak będzie odpowiedniej i szybkiej reakcji, mogą nastąpić różnego rodzaju, niepożądane konsekwencje, np. powstanie uszczerbku fizycznego czy szkód majątkowych lub niemajątkowych u osób fizycznych,których naruszenie dotyczy. Powstałe konsekwencje mogą dotyczyć sytuacji takich jak:
- utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw,
- dyskryminacja,
- kradzież lub sfałszowanie tożsamości,
- strata finansowa,
- nieuprawnione odwrócenie pseudonimizacji,
- naruszenie dobrego imienia,
- naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub
- inne znaczne szkody gospodarcze lub społeczne.
Stosowanie RODO ma w założeniu zminimalizować wystąpienie skutków wskazanych powyżej poprzez zobowiązanie administratorów do zabezpieczenia przetwarzanych danych adekwatnie do ryzyka, które z tym przetwarzaniem się wiąże.. Jeśli jednak dojdzie do naruszenia, RODO wprowadza określone rozwiązania, o których poniżej.
Zgłoszenie naruszenia
Jednym z obowiązków, nałożonych na administratorów danych jest zgłaszanie naruszeń organowi nadzorczemu (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych) w przypadku naruszenia ochrony danych powodującego ryzyko naruszenia praw i wolności podmiotów danych Informacje na ten temat zawiera artykuł 33 RODO.
Jeśli więc doszło do zniszczenia danych albo ich wycieku (np. wskutek przeprowadzonego ataku hakerskiego), administrator danych osobowych musi bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłosić je do organu nadzorczego (PUODO). Chyba że jest mało prawdopodobne, by naruszenie to skutkowało wysokim ryzykiem naruszenia praw lub wolności osób.
Zgłoszenie naruszenia ochrony danych osobowych powinno obejmować informacje takie jak:
- opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości powinno wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innej osoby, która w razie potrzeby udzieli informacji,
- opis możliwych konsekwencji naruszenia ochrony danych osobowych,
- opis zastosowanych lub proponowanych przez administratora środków w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach opis środków stosowanych w celu zminimalizowania jego ewentualnych negatywnych skutków (art. 33 ust. 3 RODO).
Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych
Ponadto, zgodnie z 34 ust. 1 RODO, jeżeli naruszenie ochrony danych osobowych może skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator danych osobowych powinien zawiadomić o tym osobę, której dane dotyczą. Zawiadomienie takie powinno jasnym i prostym językiem opisywać charakter oraz okoliczności naruszenia ochrony danych osobowych, jak również zawierać informacje i środki opisane w RODO. Nie zawsze będzie ono jednak obowiązkowe.
Zawiadomienie dla podmiotu danych powinno zawierać co najmniej następujące informacje:
- Opis naruszenia: Należy podać informacje na temat tego, na czym polegało naruszenie ochrony danych osobowych. Może to obejmować opis incydentu, w którym doszło do nieuprawnionego dostępu, utraty danych, uszkodzenia danych, lub innego rodzaju naruszenia.
- Dane kontaktowe osoby odpowiedzialnej: Należy podać imię i nazwisko oraz dane kontaktowe osoby, która będzie udzielać informacji w przypadku potrzeby. Może to być inspektor ochrony danych lub inna wyznaczona osoba.
- Konsekwencje naruszenia: Należy wyjaśnić możliwe konsekwencje naruszenia ochrony danych osobowych oraz do czego może ono doprowadzić. Mogą to być negatywne skutki dla podmiotów danych, takie jak ryzyko utraty prywatności, naruszenie poufności danych, szkody finansowe, ryzyko kradzieży tożsamości itp.
- Środki zaradcze: administrator powinien opisać środki, jakie zostały podjęte lub są proponowane w celu zaradzenia naruszeniu ochrony danych osobowych, np w przypadku nieuprawnionego ujawnienia danych osobowych. Może to obejmować działania w celu naprawienia skutków naruszenia, wzmocnienia systemów ochrony danych, przeprowadzenia audytu bezpieczeństwa, wprowadzenia nowych procedur itp.
Wybór sposobu wysyłki zawiadomienia: administrator danych osobowych ma kilka opcji do wyboru. Może zdecydować się na tradycyjną wysyłkę pocztą lub pocztą elektroniczną. Inną możliwością jest umieszczenie komunikatu na stronie internetowej, do której podmiot danych ma dostęp. Ważne jest, aby wybrać sposób wysyłki, który zapewni odpowiednie zabezpieczenia i dostarczenie informacji podmiotowi danych w odpowiedni sposób.
Sprawdź nasz artykuł: Kradzież danych osobowych w internecie
Obowiązek zawiadomienia osób, których dane dotyczą, nie zachodzi w przypadkach wymienionych w art. 34 ust. 2 RODO. Zawiadomienie nie jest wymagane, gdy:
- Dane osobowe objęte są odpowiednimi środkami ochrony: jeśli dane osobowe, których dotyczy naruszenie, są odpowiednio zabezpieczone, na przykład poprzez zastosowanie skutecznego szyfrowania, które uniemożliwia odczyt danych osobowych osobom nieuprawnionym, nie ma obowiązku zawiadamiania osób, których dane są objęte taką ochroną.
- Zastosowanie środków eliminujących wysokie ryzyko: jeśli administrator podjął odpowiednie środki mające na celu wyeliminowanie prawdopodobieństwa wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, na przykład poprzez zidentyfikowanie i podjęcie działań wobec osoby fizycznej, która uzyskała dostęp do danych osobowych przed ich wykorzystaniem, nie ma obowiązku zawiadamiania.
- Wysoki wysiłek związany z powiadomieniem: jeśli powiadomienie osoby, której dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku, wówczas administrator może zdecydować się na zamieszczenie publicznego komunikatu na stronie internetowej. Ta opcja może być stosowana w sytuacjach, gdy powiadomienie każdej osoby indywidualnie byłoby nieproporcjonalne lub niemożliwe do wykonania.
Co grozi za ujawnienie danych osobowych?
W przepisach RODO, poza karami administracyjnymi, przewidziano również możliwość odszkodowania. Zgodnie z artykułem 82 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę..
Co istotne, odszkodowanie zostanie przyznane wyłącznie wtedy, gdy szkoda wynika z przetwarzania danych, które naruszało zasady RODO. Jeśli więc administrator dopełnił wszelkich wymogów, a i tak doszło do ujawnienia danych i powstania uszczerbku w majątku poszkodowanego, to wówczas administrator nie będzie zobowiązany do jego naprawienia.
W artykule 82 RODO, punkt 3 zastrzeżono wyraźnie, że zarówno administrator, jak i podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Dopiero, więc gdyby okaże się, że administrator nie zabezpieczył przetwarzanych danych, albo zabezpieczył je w niewystarczającym stopniu, będzie on zobowiązany do wypłaty odszkodowania.
Sprawdź nasz artykuł: Udostępnianie danych osobowych bez zgody
Co grozi za naruszenie ochrony danych osobowych?
Konsekwencje w postaci wypłaty odszkodowań wydają się jednak nie być tak przerażające, jak wręcz już mityczne i bardzo wysokie kary pieniężne. Na gruncie RODO, w artykule 83 zostały określone dwie główne grupy naruszeń, które wiążą się ze zróżnicowanymi karami. W pierwszym przypadku, administracyjna kara pieniężna nałożona przez Urząd Ochrony Danych Osobowych może wynosić do 10 000 000 euro, a w przypadku przedsiębiorstwa — do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Kara taka jest nakładana za naruszenie określonych obowiązków administratora i podmiotu przetwarzającego. Na przykład: powierzanie przez administratora przetwarzania danych podmiotom, które nie zapewniają wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Mówimy tu nie tylko o przetwarzaniu danych osobowych klientów czy kontrahentów, ale również o danych osobowych pracowników.
Możliwa jest również kara pieniężna w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa — w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Przewidziano ją za m.in. naruszenie podstawowych zasad przetwarzania, w tym warunków zgody (np. gdy nie sposób odróżnić zapytania o zgodę od innych treści oświadczenia, a później nie można jej wycofać, pomimo że powinno być to możliwe).
Zgodnie z RODO, organ nadzorczy powinien zapewnić, aby kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
- charakter, wagę i czas trwania naruszenia, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
- umyślny lub nieumyślny charakter naruszenia;
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych;
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
- kategorie danych osobowych, których dotyczyło naruszenie;
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.
Warto również odnotować, że jeśli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie.
Prosty przykład z dokładnym tłumaczeniem
Przypatrzmy się przykładowej sytuacji. Administrator danych osobowych Mateusz pracuje w software house X. Mateusz stawia na kompleksową ochronę danych osobowych w swojej organizacji: wyznaczył inspektora ochrony danych, regularnie sprawdza i razem z IOD przeprowadzają analizę ryzyka oraz dba o wyszkolenie pracowników w temacie ochrony danych osobowych. Jest przygotowany na wypadek ewentualnej kontroli i nie boi się żadnych incydentów czy żadnego naruszenia ochrony danych osobowych.
Niedawno w software house X doszło do naruszenia – nowy pracownik kliknął w email od hakerów i wirus przedostał się do systemu. Wyciekły dane pracowników. Mateusz natychmiast podejmie stosowne działania. Jego celem było,
by osoby, których dane dotyczą nie poniosły z tego powodu żadnej szkody. Administrator danych osobowych firmy X w pełni współpracował z Prezesem Urzędu Ochrony Danych Osobowych, bo wiedział, że to pomoże mu w przyszłości.
W tym samym czasie Administrator danych osobowych innej firmy, konkurentów sftware housu X Kamil również dowiedział się, że w jego firmie nieświadomy pracownik kliknął w email ze złośliwym oprogramowaniem. Jednakże, skoro nie wyciekły dane klientów, Kamil, administrator software housu Y wolał ukryć sprawę i po cichu usunął wszystkie informacje o naruszeniu ochrony danych osobowych.
Obydwie firmy i X, i Y dostały kary pieniężne administracyjne. Jednak administrator Mateusz współpracował z PUODO i dołożył wszelkich starań, by zniwelować szkody dla osób, których dotyczyło naruszenie.. Dlatego na jego firmę nałożono niższą karę niż na software house Kamila.
Jakie jeszcze mogą być przykłady naruszenia ochrony danych osobowych?
Przykładem może być naruszenie:
poufności – np. gdy twój pracownik wyśle przypadkowo bazę danych osobowych klientów do osoby postronnej lub niewłaściwego działu firmy
dostępności – np. gdy zaginie pendrive z bazą danych klientów
integralności – np. gdy pracownik dla żartu zmieni nazwiska klientów
Kiedy nie trzeba zawiadamiać PUODO o naruszeniu ochrony danych osobowych
Jeśli po odkryciu naruszenia ochrony danych osobowych stwierdzisz, że ryzyko naruszenia praw i wolności osób fizycznych (np. wystąpienie szkody materialnej lub niematerialnej) jest małe, to nie musisz powiadamiać o tym Prezesa UODO.
Będzie tak, gdy np.:
- twojemu pracownikowi zaginął pendrive z danymi osobowymi klientów, jednak został on wcześniej zaszyfrowany, a znalazca nie zna hasła. Nie ma wtedy obawy, że naruszenie będzie stanowiło zagrożenie dla praw lub wolności osób fizycznych, których dane dotyczą
- pracownik przez pomyłkę wyniósł z pracy teczkę z niezabezpieczonymi danymi osobowymi. Po chwili zorientował się jednak, że nastąpiła pomyłka i wrócił do pracy zwracając teczkę. W takim przypadku również nie ma groźby zagrożenia dla praw lub wolności osób, których dane dotyczą.
Odpowiedzialność karna na podstawie Ustawy o Ochronie Danych Osobowych – jakiego rodzaju naruszenie ochrony danych osobowych grozi więzieniem?
RODO – rozporządzenie o ochronie danych osobowych nie przewiduje odpowiedzialności karnej. Natomiast zdarzają się przypadki użycia przepisów karnych na podstawie Ustawy o ochronie danych osobowych.
Odpowiedzialność karną reguluje art. 107 i 108 ustawy o ochronie danych osobowych
- Art. 107 dotyczy nielegalnego przetwarzania danych;
- Art. 108 dotyczy utrudniania kontroli.
Przepisy te nie odnoszą się bezpośrednio do naruszenia, co oznacza, że za samo naruszenie nie grozi odpowiedzialność karna. Jeżeli jednak w toku czynności wyjaśniających organ uzna, że zostały naruszone przepisy karne,zgłasza wówczas sprawę do organów ścigania. Natomiast Prezes Urzędu Ochrony Danych Osobowych zajmuje się tylko karami administracyjnymi, sankcje karne nakładane są już przez sąd karny.
Należy pamiętać, że odpowiedzialności karnej podlega tylko osoba fizyczna, a więc spółka nie może zostać skazana na karę więzienia czy grzywny z przepisów karnych. Skazana może zostać osoba, która działając w imieniu spółki, dopuściła się wykroczenia.
Ustawa o ochronie danych osobowych (u.o.d.o.)przewiduje dwa główne przestępstwa:
- przetwarzanie danych osobowych, gdy ich przetwarzanie nie jest dopuszczalne albo w sytuacji braku uprawnienia do przetwarzania – zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch (jeśli czyn ten dotyczy danych wrażliwych, kara pozbawienia wolności jest podniesiona do lat trzech),
- udaremnianie lub utrudnianie kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych – zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Niedopuszczalne przetwarzanie danych
Zgodnie z art. 107 u.o.d.o. za niedopuszczalne przetwarzanie danych odpowiada ktoś, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne.
Przetwarzaniem niedopuszczalnym będzie na przykład:
- sprzeniewierzenie (nieuprawnione ujawnienie lub skopiowanie) danych osobowych przez osoby, które mają dostęp do bazy danych PESEL w celu innym niż cel, dla którego dostęp został nadany;
- sprzeniewierzenie danych osobowych przez agenta operatora telekomunikacyjnego w celu przekazania bazy danych konkurencyjnemu operatorowi;
- sprzeniewierzenie danych osobowych agenta operatora telekomunikacyjnego w celu próby sprzedaży na czarnym rynku;
- przesłanie bazy danych klientów pracodawcy na prywatny adres e-mail (z wyjątkiem sytuacji „wyjątkowych”);
- odmowa usunięcia danych osobowych przetwarzanych w imieniu pracodawcy z komputera prywatnego po ustaniu stosunku pracy lub współpracy.
Nieuprawnione przetwarzanie danych
Przestępstwem polegającym na przetwarzaniu danych osobowych przez osobę nieuprawnioną będzie przetwarzanie danych osobowych dokonywane przez osobę, która nie jest uprawniona do takiego przetwarzania.
Osobą nieuprawnioną będzie każda osoba, która nie została upoważniona przez administratora czy podmiot przetwarzający do konkretnego zakresu przetwarzania niezależnie, czy jest to osoba z firmy, czy osoba „z zewnątrz”.
Nieuprawnionym przetwarzaniem będzie na przykład:
- poinformowanie współpracowników o treści listy płac, która została wydrukowana na wspólnej drukarce (szerzej: rozpowszechnianie danych osobowych pozyskanych wskutek cudzego naruszenia ochrony danych);
- wykorzystanie w firmie danych przesłanych e-mailem przypadkowo na zły adres;
- pozyskanie danych osobowych od osoby, o której wiemy, że nie ma prawa ich udostępnić;
- wgląd przez członka zarządu banku do rachunku bankowego swojego kolegi z zarządu lub w inny rachunek bankowy z wykorzystaniem wysokich uprawnień w systemie informatycznym;
- wykorzystanie firmowych danych osobowych, do których mamy dostęp, do własnych celów lub celów innego nieuprawnionego podmiotu (danych osobowych klientów, danych osobowych współpracowników), na przykład, gdy pracownik banku sprawdzi w systemie klientów z zaległościami w celu zaoferowania im „chwilówek” na spłatę starych zobowiązań bądź też przyśle im pośrednika nieruchomościowego, żeby móc wykupić tanio ich zadłużone mieszkanie;
- podejrzenie danych na monitorze kolegi lub koleżanki z działu HR oraz przekazanie informacji współpracownikom że np.X ma zostać zwolniony.
W świetle zasady rozliczalności, jak również zasady minimalizacji dostępu (art. 25 ust. 2 RODO), konkretna osoba w organizacji powinna mieć konkretny zakres uprawnień do przetwarzania danych osobowych. Wskazane jest, żeby zakres ten został określony w upoważnieniu do przetwarzania danych osobowych (art. 29 RODO).
Można również odwołać się do zakresu obowiązków służbowych, gdyż zakres obowiązków opisuje zwykle zakres upoważnienia. Przetwarzanie danych poza zakresem upoważnienia może być więc nieuprawnionym przetwarzaniem.
Paradoksalnie im bardziej precyzyjnie zostały określone upoważnienia lub obowiązki, tym łatwiej narazić się na zarzut przekroczenia upoważnienia.
Udaremnianie lub utrudnianie kontroli
Przestępstwo udaremniania lub utrudniania kontroli prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych jest przestępstwem ściganym z urzędu. Może zostać popełnione zarówno przez działanie, jak i zaniechanie.
Chociaż niedopuszczalne przetwarzanie danych jest przestępstwem powszechnym, które może zostać popełnione przez każdy podmiot zdatny do odpowiedzialności karnej, jednak w praktyce przestępstwo to mogą popełnić osoby zatrudnione w organizacji podmiotu kontrolowanego, upoważnione do przetwarzania danych lub odpowiedzialne za współpracę z organem nadzorczym w przypadku kontroli zgodności przetwarzania danych z prawem. Nie można jednak wykluczyć sytuacji, w której osoby niezwiązane z administratorem doprowadzą swoim zachowaniem do udaremnienia lub utrudnienia prowadzonej kontroli.
Udaremnianie dokonania czynności kontrolnych przez urzędników polega na niedopuszczeniu do przeprowadzenia czynności lub ich uniemożliwienia. Przykładem takiego postępowania będzie niewpuszczenie przedstawicieli organu na teren organizacji albo celowe zniszczenie danych osobowych - np. archiwum (takie przestępstwo wypełni oczywiście również inne znamiona czynów karalnych określonych w ustawie z 6.06.1997 r. – Kodeks karny).
Utrudnianie wykonania czynności kontrolnej może polegać również na stwarzaniu trudności bądź przeszkód, które zakłócają prawidłowy tok procesu kontroli, np. poprzez celowe nieodpowiadanie na pytania. Kary przewidziane za udaremnianie lub utrudnianie kontroli to: grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch. Uregulowanie karalności udaremniania lub utrudniania kontroli w u.o.d.o. odpowiada podobnym rozwiązaniom w wielu innych obszarach prawa
Jak widzimy, katalog konsekwencji wynikających z naruszenia przepisów z zakresu ochrony danych osobowych jest więc szeroki i w interesie każdego administratora powinno być zapewnienie, by nie narażać się na żaden ze wskazanych rodzajów odpowiedzialności.