Pilne! UE RODO. Wytyczne omawiające obowiązek zgłaszania naruszeń ochrony danych w 72 h – (Część I)

Wytyczne w sprawie zgłaszania naruszeń ochrony danych (omówienie część 1/3)

Dnia 18 października 2017 roku, Grupa Robocza art. 29 opublikowała projekt wytycznych (http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083) dotyczących realizacji obowiązku zgłaszania naruszeń ochrony danych osobowych, który od dnia 25 maja 2018 roku będzie spoczywał na każdym administratorze danych osobowych (niezależnie od skali i rodzaju prowadzonej działalności). Do projektu wytycznych można składać uwagi do dnia 28 listopada pod adresem: JUST-ARTICLE29WP-SEC@ec.europa.eu

Wytyczne wyraźnie potwierdzają, że brak zgłoszenia naruszenia w trybie wymaganym przez RODO  może skutkować nałożeniem kary pieniężnej w wysokości do 10 milionów euro (lub do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) –  to od decyzji organu nadzorczego będzie zależało, czy zastosować np. upomnienie (bez kary pieniężnej).

Grupa wskazuje wprost, że sam brak zgłoszenia (nawet jeżeli wszystkie  inne obowiązki są wykonywane) może nie tylko być powodem do nałożenia kary pieniężnej za to konkretne zaniechanie, ale też może stanowić bezpośrednie potwierdzenie braku przyjęcia  odpowiednich rozwiązań technologicznych  lub organizacyjnych  – za co organ nadzorczy może niezależnie nałożyć odrębną karę.

Zarówno procesorzy, jak i ADO powinni mieć zaplanowane na przyszłość takie procedury, które zapewnią :

  1. Wykrycie naruszenia
  2. Powstrzymanie naruszenia
  3. Ocenę, oszacowanie ryzyka dla osób, których dane dotyczą

Wytyczne odwołują się do funkcjonującego już podziału naruszeń przywołanych w opinii grupy roboczej z 25 marca 2014 roku dotyczących zgłaszania naruszeń ochrony danych osobowych (Opinion 03/2014 on Personal Data Breach Notification):

  1. Naruszenie poufności (confidentiality)
  2. Naruszenie dostępności (availability)
  3. Naruszenie integralności (integrity)

Grupa robocza nie zgłębia się w bardziej szczegółowe omawianie naruszeń związanych z naruszeniem poufności lub integralności argumentując to tym, że nie powinno to budzić wątpliwości – w wytycznych podano natomiast konkretne przykłady naruszeń polegających na braku dostępności danych:

– skasowanie danych przez przypadek

– skasowanie danych przez osobę nieuprawnioną

– dane zostały bezpiecznie zaszyfrowane, po czym utracono klucz potrzebny do ich odszyfrowania  (jeżeli ADO nie może przywrócić dostępu np. Poprzez kopię zapasową)

– awaria zasilania

– atak typu „denial of service

Wytyczne wskazują, że to ADO powinien w pierwszej kolejności ocenić np. Czy atak ransomware był jedynie naruszeniem dostępności, czy także naruszeniem poufności – tzn. Czy atakujący jedynie zaszyfrował dane, czy też miał możliwość zapoznania się z ich treścią skopiowania ich itp.

Wytyczne podają przykład utraty zasilania w kontekście uznania za naruszenie bezpieczeństwa, kwalifikując taką sytuację za wymagającą odnotowania w każdym przypadku – ale już zależnie od kontekstu, pod obowiązek zgłoszenia naruszenia do organu nadzorczego. Np. Awaria zasilania skutkująca brakiem dostępu do dokumentacji medycznej w szpitalu powinna być zgłoszona, ale już awaria zasilania w firmie zajmującej się wysyłaniem newsletterów powinna być jedynie odnotowana w ramach wewnętrznej dokumentacji.

Moment „stwierdzenia naruszenia”

Grupa robocza podkreśla, że dla ustalenia rozpoczęcia biegu 72 godzinnego terminu na zgłoszenie  naruszenia do  kluczowy jest moment „stwierdzenia naruszenia” – przytaczając zarówno przykłady, w których moment poinformowania o określonym incydencie będzie tożsamy ze stwierdzeniem naruszenia (powzięciem informacji o zgubionej płycie cd, żądanie okupu przez cyber-przestępcę w związku z atakiem ransomware) – jak  i sytuacje, w których informacje o  konkretnym incydencie (np. od pracownika, klienta, z mediów) będą musiały być potwierdzone poprzez przeprowadzenie krótkiego wstępnego postępowania wyjaśniającego, po którego zakończeniu będzie dopiero możliwe „stwierdzenie” naruszenia. Grupa robocza wskazuje, że takie postępowanie wyjaśniające powinno się rozpocząć natychmiast po powzięciu informacji o potencjalnym naruszeniu.

 Wyodrębnienie podstawowych obowiązków administratora danych

Grupa robocza potwierdza podstawowy, minimalny zakres, jaki ADO powinien ująć w ramach  swoich procedur:

  1. Wdrożenie mechanizmu organizacyjnego polegającego na tym, że wszelkie informacje o choćby potencjalnych naruszeniach powinny być kierowane do osób, które wyznaczono do zajmowania się bezpieczeństwem informacji. Może to polegać np. na uświadomieniu szeregowych pracowników, czym jest naruszenie bezpieczeństwa i do kogo (jak szybko) takie informacje powinny być przekazywane.
  2. W ciągu 72 godzin (najpóźniej) należy dokonać oszacowania ryzyka konkretnego incydentu:
  • mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (likelihood of no risk) – naruszenie należy odnotować w dokumentacji wewnętrznej, ale nie trzeba go zgłaszać do organu nadzorczego (ani informować osób, których dotyczyło);
  • występuje większe, niż „małe” prawdopodobieństwo naruszenia praw lub wolności osób fizycznych (risk) – naruszenie należy w ciągu 72 godzin od jego stwierdzenia zgłosić do organu nadzorczego;
  • występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych (high risk) – naruszenie należy zgłosić w ciągu 72 godzin do organu nadzorczego, a oprócz tego bez zbędnej zwłoki poinformować osoby, których naruszenie dotyczyło (chyba, że zachodzą przesłanki wskazane w art. 34 ust. 3 lit. A-c RODO).–Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego RBDO | Specjalista ds. ochrony danych osobowychCopyright. Opracowanie autorskie. Wydawnictwo RBDO.PLWszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy RBDO.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: biuro@rbdo.pl

    Nowe terminy szkoleń z procedur UE RODO Warszawa – 27 listopada oraz 4-5 grudnia 2017  – wyślij delegata firmy i rezerwuj szkolenie tutaj >>

    • Nowe procedury ochrony danych UE (RODO) przewidują kary finansowe za uchybienia ochrony danych do 20 mln EURO lub wyższe do 4% przychodu za ub. rok

     W wielu firmach pojawi się obowiązek powołania stanowiska niezależnego Inspektora Ochrony Danych

     Pojawi się wiele nowych procedur, m .in. oceny ryzyk przetwarzania danych, prowadzenie rejestrów czynności czy zgłaszania incydentów w 72 h

    —-

    Jeśli są Państwo zainteresowani szkoleniem lub audytem i przygotowaniem się do nowych procedur UE (RODO), prosimy o kontakt na mail: biuro@rbdo.pl

    Informacje i porady prawne z zakresu ochrony danych: (22) 487 86 70

Dodaj komentarz