Autor: Związek Banków Polskich

Szanowni Państwo,

poniżej przekazujemy uwagi do poradnika „Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych” przygotowane przez Grupę Bankowych Inspektorów Ochrony Danych działającej przy Związku Banków Polskich.

Uwagi do Poradnika „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”

Aktualna treść

Pkt 1 str. 3:

„Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).”

Propozycja zmiany

Doprecyzowanie pojęcia naruszenia ochrony danych osobowych w kontekście ustalenia administratora danych odpowiedzialnego za naruszenie. Obecnie brak jest wskazania, czy w przypadku identyfikacji przez administratora pojawienia się danych osobowych swoich klientów w przestrzeni publicznej, jednocześnie nie identyfikując, aby u administratora, jak również podmiotu przetwarzającego, za którego ponosi odpowiedzialność jako źródła jak i przyczyny wycieku danych, administrator powinien stwierdzić naruszenie ochrony danych osobowych i jest zobligowany do realizacji obowiązków wskazanych w art. 33 i 34 RODO.

Rekomendujemy dodanie poniższej propozycji:

„W przypadku, gdy nie doszło do naruszenia ochrony danych w przestrzeni kontrolowanej przez administratora (tj. przestrzeń własna oraz podmiotów, którym zlecono przetwarzanie), administratorzy nie mają obowiązku stwierdzić naruszenia ochrony danych osobowych (w rozumieniu art. 4 pkt 12 RODO) i co za tym idzie - realizacji jako administrator obowiązków z art. 33 oraz art. 34 RODO.”

Wyjaśnienie

Za takim podejściem przemawiają argumenty prawne i praktyczne.

Co prawda banki, co do zasady, są organizacjami zaufania publicznego i realizują ten cel poprzez wprowadzanie zabezpieczeń we własnej przestrzeni przetwarzania oraz w przestrzeni podmiotów wykonujące ich polecenia jak i przez edukację klientów usług banku, jednak nie mogą ponosić odpowiedzialności za działania klientów banku jak i działania innych podmiotów, nad którymi nie sprawują kontroli, ani nie mają obowiązku jej zapewnienia.

W tym kształcie, termin naruszenia ochrony danych, o którym mowa w kontekście obowiązków z art. 33 oraz 34 RODO, nie ma charakteru ogólnego, czyli nie dotyczy każdego naruszenia ochrony danych który miał miejsce gdziekolwiek, ma charakter względny, odnosi się do naruszeń ochrony danych występujących w przestrzeni kontrolowanej przez bank i tylko takie sytuacje winny podlegać obowiązkom przypisanym administratorom danych w Art. 33 oraz 34 RODO.

Za takim podejściem przemawia również analiza samej definicji administratora danych, który ma decydować o celach i środkach przetwarzania. Bank przekazując, a raczej zwracając dane w ręce osób, których dane dotyczą, czy też udostępniając je innemu uprawnionemu odbiorcy danych, czyli z zgodnie z zasadami z art. 6 RODO, traci tę relację do danych, tj. nie sprawuje już nad nimi kontroli, i nie może odpowiadać za czynności i decyzje podejmowane samodzielnie przez osoby, których dane dotyczą, jak i podmioty będące odbiorcami.

Warto zwrócić jeszcze uwagę na fakt dotyczący źródła terminu „Administrator Danych”, którym podmiot nazwany, jest adresatem wskazywanego obowiązku. Termin jest tłumaczeniem, z pierwotnego języka RODO, czyli j. angielskiego, w brzmieniu „Data Controller”, czyli w tłumaczeniu Kontroler danych”, tj. podmiot posiadający kontrolę nad danymi, zatem nie powinien być łączony z podmiotem, który takiej kontroli nie sprawuje.

Powyższą wykładnię potwierdza także stanowisko Europejskiej Rady Ochrony Danych, która w wytycznych „Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 Adopted 28 March 2023” (obecnie dostępna wyłącznie w języku angielskim”), wskazuje, że:

A. Basic security considerations

10. One of the requirements of the GDPR is that, by using appropriate technical and organisational measures, personal data shall be processed in a manner to ensure the appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction, or damage

11. Accordingly, the GDPR requires both controllers and processors to have in place appropriate technical and organisational measures to ensure a level of security appropriate to the risk posed to the personal data being processed. They should take into account the state of the art, the costs of implementation and the nature, the scope, context and purposes of processing, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons. Also, the GDPR requires all appropriate technological protection an organisational measures to be in place to establish immediately whether a breach has taken place, which then determines whether the notification obligation is engaged.

12. Consequently, a key element of any data security policy is being able, where possible, to prevent a breach and, where it nevertheless occurs, to react to it in a timely manner.” (str. 7)

(https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf)

Z powyższych wstępnych założeń wytycznych w zakresie naruszeń ochrony danych wynika, że jako punkt wyjścia dla rozważań nt. procesu stwierdzania i oceny naruszenia, EROD wskazuje obowiązek uprzedniego  dokonania przez administratora lub podmiot przetwarzający odpowiednich zabezpieczeń technicznych i organizacyjnych eliminujących/ograniczających ich powstanie, a dopiero w wyniku ich nieskuteczności, stwierdzania naruszenia i reagowania we adekwatny sposób, uwzględniając odpowiednio notyfikację do regulatora lub osób których dane zostały nim objęte.

Tym samym a contrario, naruszenie powstałe poza zakresem odpowiedzialności administratora, nie powinno być oceniane przez ten podmiot w kontekście obowiązków wynikających z art.33 RODO.

Inne postępowanie doprowadzałoby do sytuacji absurdalnych, kiedy to np. każdy administrator danych, po zidentyfikowaniu danych w dowolnej przestrzeni informacyjnej (np. dane upublicznione w Internecie) i ustaleniu, że również posiada takie dane, byłby zobligowany do realizacji tych obowiązków, nawet przy fakcie, że nie był źródłem takiego naruszenia, a tym samym nie doszło do naruszeń ochrony danych w jego przestrzeni, jak i w przestrzeni, na którą ma faktyczny wpływ.

Nie mniej jednak, w opisanych przypadkach banki, po identyfikacji istotnego ryzyka po stronie osób, które dane dotyczą, nawet nie będąc zobowiązanym do realizacji powyższych obowiązków przypisanych administratorom danych, winny reagować odpowiednią pomocą osobom, którym dane dotyczą i w miarę swoich możliwości łagodzić negatywny skutek takich zdarzeń, w szczególności reagować odpowiednio poprzez stosowną notyfikację (w tym bezpośrednią) do zidentyfikowanych zagrożonych osób oraz reakcją w ramach zagrożonej usługi, np. blokadą dostępu itp.

Aktualna treść

Pkt 1 str. 3:

„Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:

  • naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  • skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
  • naruszenie jest skutkiem złamania zasad bezpieczeństwa danych."

Propozycja zmiany

Wskazanie w Poradniku, jakie zdarzenia nie powinny być kwalifikowane jako naruszenie ochrony danych osobowych.

Wyjaśnienie

Przykłady takich zdarzeń:

  1. Skierowanie komunikacji/korespondencji na adres mailowy, adres stacjonarny lub numer telefonu podane przez klienta banku lub osobę, której dane dotyczą (np. dłużnik), które okażą się nieprawidłowe lub nieaktualne. Chodzi o sytuację, gdy klient banku wbrew obowiązkowi prawnemu (m.in. dla umowy rachunku bankowego - art. 729 Kodeksu cywilnego oraz przepisy ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu) i umownemu nie aktualizuje swoich danych kontaktowych. Brak jest publicznych rejestrów umożliwiających weryfikacje danych kontaktowych klienta. Jedynym źródłem informacji o danych kontaktowych jest klient. W tym zakresie Banki działają w zaufaniu do klienta i udostępnionych przez niego informacji. Bank kieruje korespondencję na posiadane adres/numery telefonów, a jeśli te okazują się nieprawidłowe, to nie powinno to być traktowane jako naruszenie ochrony danych osobowych w banku (przez bank). Nie doszło bowiem w takim wypadku do naruszenia bezpieczeństwa po stronie banku, ten postępował zgodnie z procedurami i w oparciu o złożone przez klienta lub osobę, której dane dotyczą oświadczenia.
  2. Skierowanie komunikacji/korespondencji na adres mailowy, adres stacjonarny lub numer telefonu podane przez klienta banku, które okażą się danymi osoby trzeciej. Bank odbiera od klienta oświadczenie, iż podane dane należą do niego. Mimo to klient podaje dane osoby trzeciej (np. członek rodziny, sąsiad, kolega, partner) o czym później dowiaduje się bank. Argumentacja jak w pkt 1 i 2 powyżej.
  3. Zagubienie dokumentacji z danymi osobowymi klienta na terenie administratora (lub podmiotu uprawnionego do przetwarzania danych np. podmiot przetwarzający), w jego pomieszczenia, np. w archiwum lub przypadkowe zniszczenie, o ile dane osobowe pozostają dostępne w systemach administratora/podmiot przetwarzający i możliwe jest odtworzenie dokumentacji. Chodzi o sytuacje, gdy brak jest podstaw do przypuszczenia, że dokument znalazł się poza obszarem bezpieczeństwa administratora/podmiotu przetwarzającego, innymi słowy znajduje się nadal w obszarze, nad który administrator/podmiot przetwarzający sprawuje nadzór, lecz niemożliwe jest fizyczne zlokalizowanie go (np. został spięty z innymi dokumentami, przypadkowo zniszczony).
  4. Zagubienie lub kradzież sprzętu mobilnego zawierającego dane osobowe, przy jednoczesnymi silnym zabezpieczeniu przed dostępem osób trzecim np. poprzez szyfrowanie, zahasłowanie.
  5. Systemy komputerowe zostały narażone na atak za pomocą oprogramowania szantażującego, a dane przechowywane w tych systemach były zaszyfrowane uprzednio przez administratora jako środek bezpieczeństwa. Klucz deszyfrujący nie został naruszony podczas ataku. Kopia zapasowa była łatwo dostępna, a dane zostały przywrócone kilka godzin po ataku.
  6. Sytuacja, w której bank nie utracił kontroli nad dokumentem i osoba nieuprawniona nie miała możliwości utrwalenia danych zawartych w dokumencie, np. w wyniku omyłkowego chwilowego okazania treści lub przekazania do podpisu dokumentu dotyczącego klienta osobie nieuprawnionej.
  7. Uzyskanie przez osobę trzecią dostępu do danych w wyniku działań klienta prowadzących do ujawnienia danych lub zabezpieczeń (hasła do poczty e-mail, hasła do bankowości elektronicznej, udostępnienie klucza do skrzynki na listy, kody PIN, wyrzucenie dokumentów przez klienta, itp.). Klient jest dysponentem swoich danych osobowych. Bank nie ponosi odpowiedzialności za decyzje klienta ani za jego działania prowadzące do ujawnienia danych lub umożliwienia dostępu do nich. Co więcej w takich sytuacjach po stronie banku nie dochodzi do naruszenia bezpieczeństwa (w świetle art. 4 pkt 12 RODO).

Aktualna treść

Pkt 1 ppkt 2 Przykład III str. 4:

„W wyniku przerwy w dostawie prądu lub ataku typu „odmowa usługi” (tzw. DDoS), administrator tymczasowo lub trwale traci dostęp do danych osobowych.”

Propozycja zmiany

Usunięcie przykładu.

Wyjaśnienie

W swojej opinii 03/2014 na temat powiadamiania o przypadkach naruszenia oraz w Wytycznych WP 250, Grupa Robocza Art. 29 wyjaśniła, że zgodnie z trzema powszechnie uznawanymi zasadami bezpieczeństwa naruszenia można podzielić na następujące kategorie:

  1. „naruszenie dotyczące poufności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
  2. „naruszenie dotyczące integralności danych” – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych;
  3. „naruszenie dotyczące dostępności danych” – naruszenie, w rezultacie którego dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych.

Powyższe wyjaśnienie zostało także przytoczone w Wytycznych EROD 1/2021.

W poradniku wskazano, iż „NARUSZENIE DOSTĘPNOŚCI – polega na czasowej bądź trwałej utracie lub zniszczeniu danych Osobowych”.

W konsekwencji brak możliwości świadczenia usług (brak dostępności usług) nie powinien być rozpatrywany na gruncie RODO.

Aktualna treść

Pkt 1.2 str. 4:

”NARUSZENIE DOSTĘPNOŚCI – polega na czasowej bądź trwałej utracie lub zniszczeniu danych osobowych”

Propozycja zmiany

Doprecyzowanie pojęcia braku dostępności do danych osobowych i przykładów takiego naruszenia ochrony danych osobowych.

Wyjaśnienie

Prawidłowa identyfikacja naruszenia polegającego na naruszeniu dostępności danych nadal przysparza trudności. Pomocne byłoby wskazanie większej liczby przykładów takich naruszeń.

Dodatkowo, w tym miejscu warto byłoby wyjaśnić rozróżnienie pomiędzy niedostępnością usługi a niedostępnością do danych osobowych. Przykładowo, czasowa niemożliwość skorzystania z jednego z kanałów komunikacji nie jest brakiem dostępności do danych osobowych w sytuacji, gdy dane są nienaruszone i jest możliwości dostępu do nich oraz skorzystania z innych usług banku. Niedostępność usługi nie powinna być zatem traktowana jako naruszenie ochrony danych osobowych. Przykładowo, gdy brak jest dostępności usługi bankowości elektronicznej przez kilka godzin, przy jednoczesnej możliwości realizacji transakcji w oddziale i na infolinii.

Aktualna treść

Pkt 2 str. 4:

„RODO przewiduje następujące obowiązki administratora związane z naruszeniem ochrony danych osobowych:

(…) zgłaszanie naruszeń organowi nadzorczemu (…)”

Propozycja zmiany

Dopuszczenie możliwości zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienia podmiotu danych o naruszeniu przez inspektora ochrony danych.

Wyjaśnienie

W tym miejscu chodzi o niewymaganie pełnomocnictwa od inspektora ochrony danych z uwagi na to, że działa jako punkt kontaktowy na podstawie RODO.

Pragniemy podkreślić, że proces decyzyjny w zakresie zgłaszania naruszenia w trybie art. 33 lub art. 34 RODO następuje zgodnie z przepisami (KSH) oraz procedurami wewnętrznymi, z uwzględnieniem roli najwyższych władz (Zarządu banku), ich kompetencji i odpowiedzialności. IOD w procesie oceny naruszenia pełni rolę eksperta, a finalna decyzja pozostaje poza jego kompetencjami. Proces notyfikacji do PUODO ma zatem charakter wtórny, stanowiący konsekwencję podjętej w banku decyzji. W tym zakresie to nie inspektor ochrony danych podejmuje decyzję o celach i sposobach przetwarzania danych osobowych, ani o zgłoszeniu naruszenia ochrony danych osobowych do PUODO, lecz wykonuje czynność techniczną. W ocenie banków taki proces wspiera także wymaganą funkcję IOD jako punktu kontaktowego dla PUODO, co wynika z jego podstawowych obowiązków.

Aktualna treść

Pkt 2.1 str. 5:

„Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń.”

Propozycja zmiany

Usunięcie wewnętrznej sprzeczności w dwóch zdaniach.

Wyjaśnienie

W pierwszym zdaniu zostało wskazane, że małe prawdopodobieństwo nie obliguje do zawiadomienia PUODO. Z kolego z zdania wynika, że każde stwierdzenie naruszenia zobowiązuje do zgłoszenia do PUODO.

Aktualna treść

Pkt 2.3 str. 6:

„Administrator ponosi odpowiedzialność prawną za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu (motyw 74 RODO).”

oraz

pkt 8 ppkt 4 str. 12:

„Podmiot przetwarzający nie zgłasza naruszeń ochrony danych osobowych organowi nadzorczemu. Obowiązek ten ciąży na administratorze.”

Propozycja zmiany

Wyjaśnienie wzajemnej relacji przepisów art. 28 ust. 10 oraz art. 33 ust. 2 RODO i wpływu na uznanie, kto powinien dokonać zgłoszenia naruszenia ochrony danych osobowych: administrator danych czy podmiot przetwarzający.

Proponujemy następujący zapis:

„W przypadku, gdy podmiot przetwarzający zmienił ustalone z administratorem cele, zakres, sposoby przetwarzania danych osobowych, staje się administratorem i w razie naruszenia ochrony danych jest obowiązany do podjęcia działań określonych w art. 33 lub art. 34 RODO.”

Wyjaśnienie

Chodzi o sytuacje, gdy w ocenie administratora danych:

a) podmiot przetwarzający samodzielnie określił cele i sposoby przetwarzania danych osobowych powierzonych mu do przetwarzania (np. wbrew zapisom umownym wysłał dokumentację bezpośrednio do klienta zamiast przekazać ją uzgodnionym sposobem administratorowi danych, wbrew zapisom umownym przechowuje dane osobowe na własnych dyskach/serwerach zamiast wyłącznie w narzędziu/na serwerze udostępnionym przez administratora danych),

b) i jednocześnie wobec tak przetwarzanych danych osobowych doszło do naruszenia ochrony danych osobowych „po stronie” podmiotu przetwarzającego (np. jak w powyższych przykładach wysłany list został zagubiony lub doręczony do osoby nieuprawnione, doszło do włamania na dysk lub serwer podmiotu przetwarzającego na którym przechowywane były dane).

W Poradniku powinno znaleźć się wyjaśnienie podejścia, czy w takiej sytuacji:

1. naruszenie ochrony danych osobowych jest naruszeniem po stronie administratora danych czy też podmiot przetwarzający z uwagi na naruszenie przez niego przepisów RODO w zakresie celów i sposobu przetwarzania danych oraz uznanie go za administratora w stosunku do tego przetwarzania na podstawie art. 28 ust. 10 RODO;

2. zgłoszenie naruszenia ochrony danych osobowych powinno zostać zrealizowane przez taki podmiot przetwarzający czy nadal przez administratora danych osobowych?

Aktualna treść

Pkt 3 str. 7:

„W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych (…)”

Propozycja zmiany

Zastąpienie pojęcia „wykrycia” pojęciem „stwierdzenia”.

Wyjaśnienie

Nieostre pojęcie „wykrycia”, które w dalszej części zdania zdaje się obligować do umieszczenia tego zdarzenia w rejestrze. W moim rozumieniu, w rejestrze umieszcza się tylko zdarzenia, co do których „stwierdzono” naruszenie ochrony. Jeśli „wykryto” ale nie „stwierdzono” to taki zdarzenie nie podlega ewidencji w rejestrze.

W pkt 6 (str. 10) przytoczono – „Według Grupy Roboczej Art. 29, administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych”.

Aktualna treść

Pkt 3 str. 7:

„Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu.”

Propozycja zmiany

Proponujemy następujący zapis:

„Jeżeli w wyniku przeprowadzonego badania lub analizy ryzyka (w szczególności z uwzględnię kategorii osób których dane dotyczą, ilość danych, aktualności, itd. – pomocna może być metodologia ENISA) okaże się, że prawdopodobieństwo

wystąpienia ryzyka naruszenia praw i wolności osób fizycznych jest mało prawdopodobne (tj. ryzyko niskie przy trzystopniowej skali: niskie, średnie, wysokie), administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu.”

Wyjaśnienie

Zgodnie z artykułem 33 ust. 1 RODO: „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”.

W literaturze ponosi się, iż:

  1. „Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Ponadto w motywie 87 preambuły RODO wskazuje, że należy się upewnić czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. (...) Przepis wskazuje więc, że obowiązek notyfikacyjny powstaje wyłącznie w przypadku, gdy (jest więcej niż mało prawdopodobne by) naruszenie ochrony danych osobowych skutkuje ryzykiem naruszeniem praw lub wolności osób, których dane dotyczą. W związku z powyższym ustawodawca unijny wskazał, że nie każde naruszenie ochrony danych osobowych związane jest z naruszeniem praw osób, których dane dotyczą. (...) Oceny, czy jest mało prawdopodobne, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, powinien dokonać sam administrator. Ogólne rozporządzenie o ochronie danych nie określa przy tym, jaki powinien być poziom tego ryzyka, którego prawdopodobieństwo wystąpienia ma być małe (niskie). Uwzględniając więc literalną treść przepisu art. 33 ust. 1 RODO, przedmiotem badania przez administratora powinien być stopień prawdopodobieństwa wystąpienia skutku w postaci ryzyka naruszenia praw i wolności osoby, której dane dotyczą (bez względu na to, jaki byłby ewentualnie poziom takiego ryzyka) (podobnie W. Chomiczewski, w: RODO, s. 711).” (por. Artykuł 33 RODO red. Litwiński 2021, wyd. 1/Barta/Kawecki/Litwiński)
  2. „Drugą będzie ustalenie, że pomimo wystąpienia zdarzenia mieszczącego się w pojęciu naruszenia ochrony danych "jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych", np. utracono nośnik z danymi zapisanymi przy użyciu silnego szyfru, a okoliczności zdarzenia wskazują zwykłe jego zagubienie. Jak wskazuje Grupa Robocza Art. 29: "Jeśli jednak zachowano poufność klucza, tj. nie naruszono jego bezpieczeństwa i wygenerowano go w sposób niepozwalający na ustalenie jego treści przy pomocy dostępnych środków technicznych przez jakąkolwiek osobę nieupoważnioną do dostępu do niego, wówczas odczyt danych jest co do zasady niemożliwy" [Wytyczne dotyczące zgłaszania naruszenia ochrony danych osobowych na mocy rozporządzenia 2016/679 (WP 250 rev.01), s. 18].” (Artykuł 33 RODO red. Sakowska-Baryła 2018, wyd. 1/Wygoda).
  3. „Pomimo zaistnienia naruszenia ochrony danych osobowych administrator nie musi dokonywać zgłoszenia, jeżeli jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Prawa i wolności należy rozumieć podobnie jak na gruncie przepisu art. 6 ust. 1 lit. f 236. W konsekwencji obowiązek notyfikacyjny nie ma charakteru bezwzględnego. (...) Przykładem sytuacji, w której będzie występowało małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, będzie przypadkowe skasowanie danych osobowych będące efektem błędu systemu teleinformatycznego lub działania człowieka, jeżeli dane te mogą być odzyskane z kopii zapasowej. Podobnie może być oceniona utrata nośnika z danymi, jeżeli był on zaszyfrowany z wykorzystaniem odpowiedniego algorytmu szyfrującego. W pierwszej z tych sytuacji w ogóle nie występuje ryzyko naruszenia praw lub wolności człowieka, natomiast w drugim przypadku, z uwagi na obiektywne kryteria, jak w szczególności dorobek kryptografii, jest mało prawdopodobne, by komuś udało się uzyskać dostęp do danych znajdujących się na nośniku.” (por. Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz).

W tym miejscu również warto zwrócić, uwagę iż zgodnie z art. 2 ust 2 Rozporządzenia Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej, „Dostawca powiadamia właściwy organ krajowy o przypadku naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne.”.

W konsekwencji dla podmiotów nie objętych Rozporządzeniem Komisji (UE) nr 611/2013 nie istnieje obowiązek zgłaszania każdego naruszenia ochrony danych osobowych, lecz jedynie tylko o ryzyku wyższym niż mało prawdopodobne (niskie).

Aktualna treść

Pkt 3 str. 7:

„Więcej informacji na temat oceny ryzyka można znaleźć w dwuczęściowym poradniku Prezesa UODO, w którym odpowiedziano na pytania: Jak rozumieć podejście oparte na ryzyku według RODO? oraz Jak stosować podejście oparte na ryzyku?”

Propozycja zmiany

Potrzebne jest opracowanie i udostepnienie przez UODO kalkulatora oceny ryzyka naruszenia praw lub wolności osób fizycznych.

Wyjaśnienie

Opracowanie kalkulatora pozwoliłoby ujednolicić podejście administratorów do oceny ryzyka dla podmiotów danych.

Taki kalkulator mógłby opierać się na wytycznych EROD oraz ENISA.

Aktualna treść

Pkt 6 str. 10 i p. 8.4 str. 12:

„Należy pamiętać, że podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych (…)”

Propozycja zmiany

Zastąpić np. sformułowaniem: „podmiot przetwarzający po zidentyfikowaniu podejrzenia naruszenia (…)”

Wyjaśnienie

Pojęcia „stwierdzenia naruszenia” nie powinno się przypisywać roli podmiotu przetwarzającego (procesora). Przysługuje ono administratorowi, który dokonując oceny ryzyka naruszenia praw lub wolności osób fizycznych, decyduje, czy zgłosić takie naruszenie organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.

Aktualna treść

Pkt 9.2.A. str. 16:

„Waga konsekwencji dla osób fizycznych (fakt, że przypadkowy odbiorca jest zaufany, np. bank, może spowodować, że skutki naruszenia nie będą poważne, nie oznacza, że naruszenie nie miało miejsca; należy również zwrócić uwagę na to, jak trwałe są konsekwencje dla osób fizycznych, gdyż wpływ może być postrzegany jako poważniejszy, jeżeli dotyczy dłuższego okresu).”

Propozycja zmiany

Potrzebne jest rozwinięcie pojęcia „zaufanego odbiorcy danych” i podanie przykładów sytuacji, w których można by przyjąć, że w ramach naruszenia ochrony danych osobowych doszło do ujawnienia danych osobowych takiemu zaufanemu odbiorcy.

Wyjaśnienie

Pojęcie zaufanego odbiorcy nadal budzi wiele kontrowersji i wskazanie kategorii podmiotów lub kryteriów uznania podmiotu za zaufany byłoby pożądane.

Jako zaufany odbiorca można by wskazać:

  1. podmioty z Grupy kapitałowej, w której jest administrator– z uwagi na to, że administratorowi znane i akceptowane są wysokie standardy bezpieczeństwa obowiązujące w Grupie,
  2. instytucje administracji publicznej (państwowej i samorządowej) , sądy, podmioty zaufania publicznego (w tym komornicy, notariusze, adwokaci, radcowie prawni i kancelarie prawne) – z uwagi na pełnione funkcje związane z obowiązkiem przetwarzania danych osobowych w dużej skali, ustawowy obowiązek zachowania poufności i domniemanie bezpiecznego przetwarzania danych przez te podmioty - przetwarzając dane osobowe przy wykonywaniu zadań publicznych, jak również przy przetwarzaniu danych przekazanych przez podmioty prywatne są zobowiązane do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych.
  3. podmioty regulowane (w tym banki) – ze względu na podleganie przez nie wysokim wymaganiom w zakresie bezpieczeństwa, rozliczalności oraz związanie tajemnicą zawodową, ubezpieczeniową, bankową lub inną, jak również podleganie wytycznym i nadzorowi Komisji Nadzoru Finansowego, w tym regularne audyty m.in. w zakresie standardów bezpieczeństwa i ochrony danych oraz uczestnictwo w grupach roboczych przy ZBP – wspólne standardy ochrony danych (dobre praktyki),

pracowników/współpracowników w sytuacji, gdy ujawnienie danych osobowych następuje w stosunku do danych, co do których ten pracownik/współpracownik nie jest upoważniony do przetwarzania. Argumentem przemawiającym za potraktowaniem go jako zaufanego odbiorę jest zobowiązanie pracownika/współpracownika do stosowania zasada ochrony danych osobowych ustalonych przez administratora.

Aktualna treść

Pkt 9.3 str. 17:

„Według części administratorów zgłaszających naruszenia Prezesowi UODO, wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą nie występuje, np. w przypadku zagubienia bądź wręczenia niewłaściwej osobie dokumentacji zawierającej imię i nazwisko oraz nr PESEL. W większości takich sytuacji organ nadzorczy uznaje jednak, że tego typu naruszenie powoduje takie wysokie ryzyko.”

Propozycja zmiany

Zwracamy się z prośbą o weryfikację stanowiska w przedmiocie zdarzeń, w których doszło do ujawnienia numeru PESEL podmiotu danych i oparcie oceny skutków naruszenia na wytycznych ENISA.

Wyjaśnienie

PESEL powinien być traktowany jak każda inna dana osobowa, a nie trigger automatycznie determinujący zakwalifikowanie zdarzenia jako skutkującego wysokim ryzykiem naruszenia praw i wolności podmiotu danych. Ujawnienie osobie nieuprawnionej imienia i nazwiska oraz numeru PESEL nie w każdym przypadku skutkować będzie wysokim ryzykiem naruszenia praw i wolności podmiotu danych. Ten skutek uzależniony będzie od całokształtu okoliczności zdarzenia, które powinny zostać uwzględnione w ocenie ryzyka (ocenie powagi naruszenia).

Nie można pomijać faktu, że numer PESEL jest dostępny powszechnie choćby w treści odpisów z KRS, które można w każdym czasie pozyskać ze strony internetowej. Jawność numeru PESEL w stosunku do pewnych kategorii osób fizycznych stoi w sprzeczności z jednoczesnym kategorycznym podejściem do ujawnienia numeru PESEL z ograniczonym zakresem innych danych osobowych.

Należy mieć na uwadze również to, że aktualnie istnieje możliwość zastrzeżenia numeru PESEL, co zasadniczo uzasadnia tezę, że ujawnienie jedynie numeru PESEL wraz z imieniem i nazwiskiem zasadniczo nie będzie dawało możliwości kradzieży tożsamości i zaciągnięcia zobowiązania z wykorzystaniem takich danych.

Aktualna treść

Pkt 12.3 str. 23:

”W art. 34 ust. 3 RODO określono trzy sytuacje, w których nie ma konieczności zawiadomienia osób fizycznych w przypadku wystąpienia naruszenia.”

Propozycja zmiany

Wyjaśnienie rozumienia odstępstwa od obowiązku zawiadomienia podmiotu danych o naruszeniu w kontekście art. 11 RODO.

Wyjaśnienie

Jako przykład sytuacji, w której nie zachodzi konieczność zawiadomienia podmiotu danych o naruszeniu należy wskazać takie, gdy bank nie dysponuje danymi kontaktowymi takiej osoby bądź istnieje ryzyko, że dane kontaktowe nie są aktualne (ryzyko naruszenia tajemnicy bankowej).

Ewentualnie rozwiązaniem mogłoby być uznanie za dopuszczalne powiadomienie podmiotu danych w terminie późniejszym, np. gdy ta osoba stanie się klientem banku lub osoba skieruje do banku wniosek w trybie art. 15 RODO i w ten sposób bank pozyska dane kontaktowe.

Aktualna treść

Pkt 12.3 str. 23:

”W art. 34 ust. 3 RODO określono trzy sytuacje, w których nie ma konieczności zawiadomienia osób fizycznych w przypadku wystąpienia naruszenia.”

Propozycja zmiany

Uwzględnienie przykładu dotyczącego powiadamiania o naruszeniu osób, których dane są widoczne w księdze wieczystej, gdy numer tej księgi lub treść tej księgi był wśród danych objętych naruszeniem ochrony danych osobowych.

Wyjaśnienie

W sytuacjach, gdy naruszeniem objęte są imię, nazwisko i numer PESEL osoby ujawnionej w księdze wieczystej (niebędącej jednocześnie klientem, byłym, aktualnym lub potencjalnym) bank nie powinien być traktowany jako administrator danych osobowych zawartych w księdze wieczystej dołączanej do dokumentacji bankowej (np. dane współwłaścicieli nieruchomości, z którymi bank nie ma relacji). Są to tzw. dane beyond use (bank w swoim procesie przetwarzania danych nie przewiduje przetwarzania tych danych dla własnych celów, one pozostają jedynie „w tle” przetwarzania danych klienta, są ambiwalentne w kontekście celu przetwarzania. Co więcej, nie należy ignorować okoliczności, że te dane zawarte są w publicznie dostępnych odpisach z ksiąg wieczystych.

Gdyby natomiast nawet chcieć uznać, że bank staje się administratorem i takich danych osobowych, to w znaczącej większości przypadków nie będzie dysponował danymi kontaktowymi pozwalającymi na realizację obowiązku zawiadomienia o naruszeniu.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2024-07-01
Wprowadził informację:
user Edyta Madziar
date 2024-07-01 12:07:13
Ostatnio modyfikował:
user Edyta Madziar
date 2024-07-04 13:50:10