Autor: dr Jakub Rzymowski, Uniwersytet Łódzki
Wypowiedź poniższa dotyczy nie tyle samego poradnika na temat naruszeń ochrony danych osobowych, ile ogólnie – naruszeń ochrony danych osobowych.
Co należy zrobić by było mniej niepotrzebnych zgłoszeń naruszeń ochrony danych osobowych?
Wyjaśnić na stronie ścieżkę, czyli art. 4 pkt 12 – 3 grupy zdarzeń ciągle jest dostępny poradnik, w którym Urząd pisze, że
Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:
- naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
- skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
- naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
To są w 1/3 bzdury – 3 ci punkt, czyli: „naruszenie jest skutkiem złamania zasad bezpieczeństwa danych” nie ma odesłania do niczego w przepisach, powinno być w tym miejscu:
„- niezgodne z prawem
lub
- przypadkowe…..”
Dalej…
kiedy zgłaszać?
Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenia może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.
To jest też na stronie i ludzie to niestety czytają…
„Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.”
To są opowieści, które mylą tropy administratorom.
Prawdą jest, że o szkodach informujemy, szkody wpisujemy w formularzu Urzędu, ale…
- szkody to nie prawa i wolności, a o tym, czy zgłaszać decyduje ryzyko dla praw i wolności – nie szkody, jakie miały miejsce.
Poza tym – formularz można, po prostu, zmienić, tak, by odpowiadał raczej przepisom RODO, niż wymysłom jego twórców – kimkolwiek są.
Jakich praw i wolności??
Zasady z art. 5 to obowiązki/prawa/wolności. Nie wyjaśniam tego szerzej, dokładne wyjaśnienie jest w moich książkach. Najkrócej można stwierdzić, że z treści art. 5 wynika wprost, że zasady z art. 5 są obowiązkami, obowiązkom odpowiadają prawa – uprawnienia, prawom i obowiązkom odpowiadają wolności. Wszystko znajduje mocne oparcie w wywodach prof. Z. Ziembińskiego (prawa/obowiązki), W.N.Hohfelda (prawa/obowiązki/wolności), w konceptualizmie prawniczym, ale też w wywodach zawartych w publikacjach M. Gumularza i T. Izydorczyka oraz Ch. Poszwińskiego, które, jak mniemam, były inspirowane moimi publikacjami. Pierwsza, w której o zjawisku wzmiankuję to: „J. Rzymowski. RODO – GDPR. Obowiązkowa dokumentacja przetwarzania danych osobowych z punktu widzenia administratora. Kraków 2019.”, następnie piszę o tym w: „J. Rzymowski. RODO – GDPR. Przedmiot i cele, zakresy, prawa i wolności, definicje. Łódź. 2020.” i w: „J. Rzymowski. RODO – GDPR. Zasady dotyczące przetwarzania danych osobowych. Zgodność przetwarzania danych osobowych z prawem. Łódź. 2020”. Książki wskazanych wyżej autorów, na pewno zostały wydane znacznie później niż moje, które zjawiska dotyczyły. Wskazuję to jako pewien kształtujący się kierunek w doktrynie. Analogiczne rozważania znajdziemy też w publikacji, której współautorem jest prof. A. Krasuski – tu widać rozważania autonomiczne A. Krasuskiego.
Ponadto należy przyjąć i trzymać się tego, że do PUODO zgłaszamy naruszenie praw i wolności OSÓB a nie osoby. Pogląd ten wynika z dokładnej lektury art. 33 RODO i 34 RODO, oraz odpowiadających naruszeniu motywów Preambuły RODO.
Jeżeli chcemy w sposób prosty ująć definicję naruszenia z art. 4 pkt 12 RODO, to możemy użyć w tym celu poniższej tabeli. Tabela pochodzi z książki: „J. Rzymowski. RODO – GDPR. Ocena ryzyka. Ocena skutków naruszenia ochrony danych osobowych. Łódź. 2023”.
Co to jest naruszenie ochrony danych osobowych
Do naruszenia ochrony danych osobowych dochodzi, gdy:
- dotyczy danych przesyłanych, przechowywanych lub przetwarzanych przez podmiot, którego dotyczy naruszenie
- jego skutkiem jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych
- jest skutkiem złamania zasad bezpieczeństwa danych?????????????????????
Przykłady naruszenia ochrony danych osobowych
Przykładem może być naruszenie:
- poufności – np. gdy twój pracownik wyśle przypadkowo bazę danych osobowych klientów do osoby postronnej lub niewłaściwego działu firmy
- dostępności – np. gdy zaginie pendrive z bazą danych klientów
- integralności – np. gdy pracownik dla żartu zmieni nazwiska klientów
Dostępność się w definicji z art. 4 pkt 12 RODO mieści słabo. Tylko jako zagrożenie zniszczeniem albo zagrożenie ujawnieniem.
Podsumowując, co trzeba zrobić w kwestii naruszeń ochrony danych?
Wskazać jak działa art. 4 pkt 12 RODO.
Wyjaśnić, że art. 5 RODO zawiera prawa i obowiązki i wskazać jakie.
Wskazać, że art. 33 i 34 odsyłają do art. 5.
Wskazać, że prawdopodobieństwo i waga to…
No właśnie, czym są prawdopodobieństwo i waga.
Wiemy – prawdopodobieństwo to prawdopodobieństwo zaistnienia zdarzenia, a waga to zasady jakie zostają danym zdarzeniem zagrożone lub naruszone.
Ale na szczęście na poziomie 33/34 waga jest nieistotna!!!, więc jeśli ktoś liczy, to można ją przyjąć za „1”.
Co zrobić, żeby uprościć rozumienie naruszeń i tym samym uprościć składanie zgłoszeń?
Należy wskazać, że z konkretnymi naruszeniami z art. 4 pkt 12 RODO związane są konkretne prawa i wolności, zawsze (!) te same.
Należy wskazać, że art. 33 RODO i 34 RODO dotyczą praw i wolności OSÓB fizycznych, nie OSOBY.
To zmniejszy ilość zgłoszeń.
Wyjaśnić, że zniszczenie jednej z wielu kopii danych to nie jest zniszczenie danych, a co najwyżej zagrożenie tymże i to niskie, kiedy są inne kopie. To było wyjaśnione na stronie PUODO, ale się PUODO wycofało i papier, w którym to wyjaśniono, schowało.
Należy również zwrócić uwagę, że na gruncie RODO do odnotowania są 3 podstawowe poziomy ryzyka dla praw i wolności.
Poziom niski.
Poziom podstawowy.
Poziom wysoki.
Niżej wskazuję te poziomy w tabelce przeszczepionej z książki mojego autorstwa. Wspomniane 3 poziomy zaznaczam na żółto (1). Dalsza część wywodu – niżej.
Oprócz tych poziomów, podkreślam – poziomów ryzyka dla praw i wolności możliwe jest też już nie zagrożenie dla praw i wolności, ale naruszenie praw i wolności. Zaznaczam je na powyższym rysunku kolorem zielonym.
Kiedy mamy do czynienia już nie z zagrożeniem dla praw i wolności, ale z naruszeniem praw i wolności, to obowiązek denuncjacyjny jest oczywisty. Skoro administrator ma obowiązek poinformować PUODO i osoby, kiedy ryzyko przyjmuje poziom wysoki, to z zasady a fortiori wynika, że jeżeli zachodzi nawet już nie poziom wysoki ryzyka ale ryzyko się zrealizowało, to też należy poinformować PUODO i osoby.
Należy, o czym wspominam wyżej, wyjaśnić ludziom - administratorom, że o obowiązku zgłoszenia nie decydują skutki, nie decyduje skala wycieku czy zniszczenia, ale to, czy zdarzenie godzi w prawa i wolności i w jakim stopniu.
Jeżeli mamy do czynienia ze zdarzeniem z art. 4 pkt 12 RODO, to zawsze godzi ono w prawa i wolności. Co więcej – treść art. 4 pkt 12 RODO jest stała, prawa i wolności, na które wskazuje prawodawca są stałe, zatem związek treściowy między art. 4 pkt 12 RODO i art. 5 RODO też jest stały, innymi słowy, związek miedzy konkretnymi zdarzeniami a konkretnymi prawami i wolnościami jest stały.
Żeby móc podjąć decyzję o zgłoszeniu lub nie, należy ustalić, czy mamy do czynienia ze zdarzeniem z art. 4 pkt 12 RODO i następnie zestawić to zdarzenie z prawami i wolnościami z art. 5 RODO. Zrobiłem to w książce o ryzyku. Niżej prezentuję tabelę, która do tego może służyć.