autor: Maciej M.
W pierwszej kolejności przedstawiam swoje uwagi do treści poradnika opublikowanego w 2019 roku:
1. W punkcie 3 poradnika – w odpowiedzi na pytanie: „O jakich naruszeniach trzeba powiadomić Prezesa UODO” wskazano, że w przypadku naruszenia dotyczącego danych szczególnych kategorii należy uznać, że występuje duże prawdopodobieństwo takiej szkody. Abstrahując od przyjętej nomenklatury (wydaje się, że ryzyko raczej należy określić mianem „wysokiego” a nie „dużego”) wydaje się, że w wielu przypadkach takie naruszenie nie musi wiązać się z wysokim poziomem ryzyka dla podmiotu danych. Np. nieuprawniony dostęp do informacji o stanie zdrowia w postaci informacji o braku przeciwwskazań do wykonywania pracy na określonym stanowisku nie powinien wiązać się z wysokim ryzykiem dla podmiotu danych;
2. W punkcie 9.1. poradnika, odnosząc się do przykładu dotyczącego zagubionego nośnika danych, który został zaszyfrowany wskazano, że w przypadku gdy: „po czasie okaże się, że naruszono bezpieczeństwo klucza” to zmieni się poziom ryzyka naruszenia praw i wolności osób, co może skutkować koniecznością zgłoszenia naruszenia. Wydaje się jednak, że w praktyce takie „naruszenie bezpieczeństwa klucza” może nastąpić wiele lat po zagubieniu nośnika, zaś administrator może powziąć informacje o tym, że stosowana dla zagubionego nośnika technologia szyfrująca nie może być już uznawana za bezpieczną – wiele miesięcy po zaistnieniu takiego faktu. Jednocześnie na przestrzeni lat istotnie może zmienić się sytuacja osób, których dane były zapisane na zagubionym nośniku. Czy zatem Urząd dopuszcza możliwość określenia terminu, po upływie którego pomimo zmiany okoliczności (stanu wiedzy technicznej) naruszenie nie będzie podlegać zgłoszeniu do Urzędu (np. 10 lat od zaistnienia naruszenia)?
3. W punkcie 9.2.(A) poradnika jako ostatnie kryterium oceny ryzyka dla osób fizycznych będącego wynikiem naruszenia wskazano liczbę osób, na które naruszenie wywiera wpływ. Wydaje się jednak, że takie kryterium nie powinno być brane pod uwagę skoro administrator zobowiązany jest zgłaszać naruszenia skutkujące ryzykiem naruszenia praw i wolności nawet dla jednej osoby fizycznej;
4. W punkcie 9.2. poradnika wskazano trzy różne metodologie oceny ryzyka związanego z naruszeniem ochrony danych jednakże nie wskazano jednoznacznie, czy w ocenie Urzędu administratorzy mogą wybrać jedną z tych metodologii czy też któraś z tych metodologii jest preferowana przez Urząd;
5. W punkcie 9.3. poradnika wskazano, że w przypadku gdy naruszenie obejmuje dane osobowe w postaci imienia, nazwiska i numeru PESEL w większości sytuacji występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych. Czy w świetle zmiany przepisów i wprowadzenia możliwości zastrzeżenia numeru PESEL oraz wymogu po stronie banków i innych instytucji finansowych oraz firmy telekomunikacyjnych czy towarzystw ubezpieczeń weryfikacji rejestru zastrzeżeń można przyjąć, że ryzyko naruszenia w takim przypadku będzie niższe niż wysokie? Czy biorąc pod uwagę jawność i łatwą dostępność danych w postaci imienia i nazwiska oraz numeru PESEL w wielu rejestrach, w tym KRS, CRBR czy w księgach wieczystych przedstawione w poradniku stanowisko nie jest zbyt kategoryczne?
6. W punkcie 9.3. poradnika znajduje się także informacja o zagrożeniu związanym z nieuprawnionym dostępem do imienia i nazwiska oraz numeru PESEL w postaci wyrobienia dowodu kolekcjonerskiego. Wydaje się jednak, że na potrzeby wyrobienia takiego dowodu konieczne jest posiadanie znacznie szerszego zakresu danych, w tym chociażby serii i numeru takiego dokumentu czy daty jego wystawienia i terminu ważności.
7. W punkcie 12.1. poradnika wskazano, że wysokie ryzyko naruszenia praw i wolności osób fizycznych zachodzi wtedy gdy naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji, a takie konsekwencje naruszenia mogą być skutkiem naruszenia dotyczącego „danych wrażliwych”. Jednocześnie sformułowanie „dane wrażliwe” nie zostało zdefiniowane ani w tym dokumencie ani w RODO, więc doprecyzowania wymaga to, czy autorzy poradnika odnoszą się w tym przypadku wyłącznie do danych szczególnych kategorii czy także do innych danych.
8. W punkcie 15 w podpunkcie dotyczącym błędów przy opisie możliwych konsekwencji naruszenia ochrony danych osobowych wskazano, że przy naruszeniu dotyczącym takich danych jak imię, nazwisko i PESEL możliwa jest „kradzież tożsamości lub sfałszowanie tożsamości uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach pozabankowych…”. Wydaje się jednak, że do kradzieży czy sfałszowania tożsamości nie dochodzi poprzez zaciągnięcie zobowiązań finansowych z wykorzystaniem danych innych osobowych. Możliwy jest natomiast scenariusz, w którym w związku z kradzieżą tożsamości dojdzie do zaciągnięcia takiego zobowiązania.
Niezależnie od powyższych uwag, zwracam się z prośbą o rozważenie możliwości omówienia w poradniku poniższych zagadnień i udzielenia odpowiedzi na nw. pytania:
1. W decyzji z dnia 18 października 2023 roku w sprawie DKN.5131.55.2022 nałożona została administracyjna kara pieniężna za niezgłoszenie naruszenia ochrony danych osobowych polegającego na nieuprawnionym ujawnieniu danych jednej osoby w zakresie: imię, nazwisko, adres do korespondencji oraz marka, model i numer rejestracyjny pojazdu, a także numer polisy, numer szkody i jej wartość oraz kwotę uznanego roszczenia. Z treści decyzji wynika, że organ nie miał wątpliwości, że nieuprawnione ujawnienie danych jednego podmiotu danych w ww. zakresie jednej osobie będzie skutkować ryzykiem naruszenia praw i wolności podmiotu danych. Niestety w uzasadnieniu decyzji nie wskazano jakie prawa lub wolności podmiotu danych mogłoby zostać naruszone w związku z nieuprawnionym ujawnieniem danych w ww. zakresie. Uprzejmie proszę o rozważenie możliwości uwzględnienia tej informacji w poradniku.
2. Uprzejmie proszę o rozważenie możliwości uwzględnienia w poradniku informacji dotyczących sugerowanych przez Urząd środków bezpieczeństwa, które powinni wdrażać administratorzy w przypadku naruszeń ochrony danych, do których dochodzi w wyniku zniszczenia lub zagubienia przesyłek kurierskich/pocztowych zawierających dokumenty z danymi osobowymi.
3. Uprzejmie proszę o rozważenie możliwości przedstawienia w poradniku opinii dotyczącej konieczności zgłoszenia naruszenia ochrony danych osobowych polegającego na nieuprawnionym ujawnieniu danych osobowych w postaci służbowego adresu e-mail pracownika oraz opinii w zakresie naruszenia polegającego na nieuprawnionym ujawnieniu innych „danych służbowych”, czyli imienia i nazwiska, stanowiska służbowego, nazwy pracodawcy i służbowych danych kontaktowych pracownika (adres e-mail, numer telefonu).
4. Uprzejmie proszę o rozważenie możliwości uwzględnienia w poradniku informacji o dziesięciu najczęściej zgłaszanych naruszeniach z informacją o zakresie danych osobowych, które podlegały naruszeniu oraz informacją o prawach i wolnościach podmiotów danych, które mogą zostać zagrożone w wyniku poszczególnych naruszeń.