Dlaczego analiza ryzyka praw i wolności osób jest kluczowa przy naruszeniu ochrony danych?

Kiedy, przy naruszeniu, należy zawiadamiać osoby, których dane dotyczą? Ważny wyrok Naczelnego Sądu Administracyjnego 

Najnowszy wyrok Naczelnego Sądu Administracyjnego (sygn. akt: III OSK 1830/22) pokazuje, jak kluczowa jest rzetelna analiza ryzyka naruszenia praw i wolności osób fizycznych w każdym przypadku naruszenia ochrony danych.

NSA rozpatrywał sprawę, w której administrator – sopockie Towarzystwo Ubezpieczeniowe Ergo Hestia SA – nie zgłosił naruszenia ochrony danych osobowych i nie powiadomił osoby nim dotkniętej. Naruszenie polegało na wysłaniu maila
z niezaszyfrowanym załącznikiem zawierającym dane osobowe (imię, nazwisko, PESEL i informacje finansowe) do niewłaściwego odbiorcy.

Prezes UODO nałożył za to karę w wysokości 159 176 zł. Wojewódzki Sąd Administracyjny uchylił decyzję, uznając, że naruszenie dotyczyło tylko jednej osoby
i nie powodowało wysokiego ryzyka. Jednak Naczelny Sąd Administracyjny nie zgodził się z tym stanowiskiem – i wskazał, że sam fakt ujawnienia numeru PESEL
w powiązaniu z imieniem i nazwiskiem powoduje wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą  co z kolei nakłada na administratora obowiązek zgłoszenia takiego naruszenia do PUODO i powiadomieniu osoby, której dane dotyczą. 

Kluczowe wnioski z wyroku NSA

NSA jasno określił, jak należy interpretować obowiązki wynikające z art. 33 i 34 RODO, czyli zgłaszanie naruszenia do PUODO i zawiadamianie osób, których dane dotyczą.

Najważniejsze tezy sądu:

1. Nie trzeba czekać na faktyczne skutki – obowiązek powiadomienia powstaje już wtedy, gdy istnieje wysokie ryzyko naruszenia praw lub wolności, nawet jeśli szkoda jeszcze nie wystąpiła.
2. Ocena ryzyka musi być obiektywna, oparta na wiedzy z zakresu bezpieczeństwa informacji i doświadczeniu administratora.
3. Zakres oceny jest szeroki – trzeba uwzględnić nie tylko prawdopodobieństwo, ale też wagę potencjalnych skutków dla osoby fizycznej.
4. Ujawnienie danych identyfikujących, jak PESEL, zawsze stanowi poważne zagrożenie – nawet jeśli dotyczy tylko jednej osoby.

NSA podkreślił również, że wbrew twierdzeniom WSA Prezes UODO wystarczająco uzasadnił swoje stanowisko i prawidłowo wskazał, że dane takie jak PESEL
w połączeniu z imieniem i nazwiskiem mogą prowadzić do poważnych konsekwencji,
w tym kradzieży tożsamości, a w połączeniu z innymi danymi osobowymi, takimi jak np.  imię, nazwisko, numer dowodu osobistego czy też adres zamieszkania (niekoniecznie wszystkimi w każdym przypadku), może zostać wykorzystany
w np. do do zaciągnięcia kredytu lub pożyczki na cudze dane, zawarcia umowy na usługi telekomunikacyjne, wyłudzenia świadczeń socjalnych czy podszycia się pod konkretną osobę fizyczną w sprawach dotyczących życia codziennego.

Co z tego wynika dla administratorów danych?

Ten wyrok to mocny sygnał, że każde naruszenie wymaga świadomej
i udokumentowanej analizy ryzyka. Nie wystarczy uznać, że „to tylko jeden e-mail” lub „dane trafiły do jednej osoby”. Kluczowe jest, jakie potencjalne skutki może to mieć dla osoby, której dane ujawniono.

Administrator, analizując zdarzenie, powinien zadać sobie pytania:

• Czy ujawnione dane mogą umożliwić identyfikację osoby?
• Czy ich wykorzystanie może prowadzić do szkody finansowej, wizerunkowej lub emocjonalnej?
• Czy osoba może utracić kontrolę nad swoimi danymi?
• Czy ujawnienie może skutkować kradzieżą tożsamości, podszyciem się lub wyłudzeniem świadczeń?

Jeżeli choć na jedno z tych pytań odpowiedź brzmi TAK, to istnieje wysokie ryzyko – a więc obowiązek powiadomienia osoby i zgłoszenia naruszenia do PUODO.

Wskazówki dla administratorów danych

Poniżej przedstawiono zestaw praktycznych wskazówek, które mogą pomóc administratorom w prawidłowym postępowaniu w przypadku naruszenia ochrony danych osobowych oraz w ograniczeniu ryzyka sankcji ze strony organu nadzorczego.

Zarządzanie naruszeniami wymaga jasnych procedur wewnętrznych.

Organizacja powinna posiadać procedury reagowania na incydenty, obejmujące identyfikację, klasyfikację, analizę ryzyka, zgłaszanie do PUODO, powiadamianie osób, których dane dotyczą oraz rejestrowanie zdarzeń. Procedury te powinny być znane i stosowane przez wszystkich pracowników.

Szkolenie i świadomość personelu to kluczowe elementy prewencji.

Większość naruszeń wynika z błędu ludzkiego. Regularne szkolenia z zakresu bezpiecznego przetwarzania danych, szyfrowania informacji i rozpoznawania incydentów znacząco redukują ryzyko wystąpienia podobnych sytuacji.

Każdy incydent powinien zostać odnotowany w rejestrze naruszeń.

Nawet jeśli analiza ryzyka wykaże, że zgłoszenie nie jest wymagane, administrator powinien odnotować zdarzenie wraz z uzasadnieniem podjętej decyzji. Brak takiego wpisu może zostać uznany za naruszenie zasady rozliczalności.

Źródło: https://uodo.gov.pl/pl/138/3932 

Photo by Anne Nygård on Unsplash