Autor: D.S.
Szanowni Państwo,
korzystając z zaproszenia do zgłaszania uwag i sugestii dotyczących wydanego w 2019 roku poradnika „Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych”, jako praktyk zajmujący się analizą naruszeń ochrony danych osobowych w sektorze medycznym, przestawiam swoje uwagi w formie poniższych punktów:
1. Poradnik opisuje przesłanki zwalniające administratora z obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu. Są to sytuacje, kiedy na podstawie przeprowadzonej analizy administrator stwierdza, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe lub w ogóle nie istnieje. Powyższe jest zgodne z brzmieniem art. 33 ust. 1 RODO: „(…)chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (…)”. W kilku miejscach poradnika można jednak przeczytać, że w przypadku samego stwierdzenia ryzyka naruszenia praw i wolności osób fizycznych (bez wskazania, że chodzi o większe niż małe prawdopodobieństwo), obowiązkiem administratora jest zgłoszenie naruszenia Prezesowi UODO (np. ostatni akapit na stronie10: „Administrator danych jest zobowiązany do zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, gdy naruszenie stwarza prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.”). Doprecyzowanie każdorazowo, że chodzi o co najmniej małe prawdopodobieństwo ryzyka naruszenia praw lub wolności osób fizycznych wydaje się wskazane.
2. Pomocnym byłoby podkreślenie w poradniku, że kryterium zakwalifikowania naruszenia ochrony danych osobowych do zgłoszenia organowi nadzorczemu jest poziom prawdopodobieństwa a nie poziom ryzykanaruszenia praw i wolności osób fizycznych. Na to drugie (ryzyko) ma bowiem wpływ nie tylko czynnik prawdopodobieństwa, ale również waga potencjalnych negatywnych skutków zdarzenia dla osoby fizycznej. Jeżeli jednak w ocenie organu pojęcie „małego prawdopodobieństwa” wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych należy zrównać z kategorią tzw. „niskiego ryzyka”, to dobrze byłoby, żeby to wyraźnie wybrzmiało w nowym wydaniu poradnika. Średnie ryzyko naruszenia praw i wolności osób fizycznych może wynikać z wysoko ocenionej powagi potencjalnych skutków, których prawdopodobieństwo wystąpienia oceniono jednak jako znikome. Administrator powinien mieć jasność, czy w takim przypadku zgłaszać naruszenie organowi nadzorczemu, czy jedynie odnotować je w wewnętrznym rejestrze naruszeń.
3. Z kwestią poruszoną w pkt. 1 i 2 związek mają zapisy i przykłady poradnika sugerujące, że charakter danych osobowych determinuje poziom prawdopodobieństwa naruszenia praw i wolności osób fizycznych (zwłaszcza uwaga na stronie 15: „Jeżeli naruszenie dotyczy danych osobowych ujawniających: (…) dane dotyczące zdrowia (…), należy uznać, że występuje duże prawdopodobieństwo takiej szkody.” oraz pierwszy akapit na stronie 23: „Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód.”). Najczęściej charakter danych osobowych będzie wpływał jednak na wagę potencjalnych skutków, a nie na prawdopodobieństwo ich wystąpienia. Na przykład ujawnienie informacji, że osoba jest hospitalizowana na oddziale X pracownikowi medycznemu zatrudnionemu na oddziale Y (osobie nieuprawnionej będącej jednak pracownikiem szpitala i zobowiązanej do zachowania informacji o pacjentach w tajemnicy), chociaż jest naruszeniem w rozumieniu art. 4 RODO, to wydaje się jednak, że prawdopodobieństwo naruszenia praw i wolności osoby można ocenić w tym przypadku jako małe. Oczywiście ocena ryzyka, w tym prawdopodobieństwa oraz powagi skutków zależy zawsze od konkretnych okoliczności i raczej to powinno zostać podkreślone w poradniku w miejsce przyjętego automatyzmu, że naruszenie bezpieczeństwa danych dot. zdrowia (bez analizy okoliczności, czy chociażby szczegółowego zakresu tych danych) zawsze wiąże się z wysokim prawdopodobieństwem naruszenia praw i wolności osoby fizycznej. Wszystkie przykłady podane na stronie 14 poradnika dotyczyć mogłyby danych szczególnych kategorii, co nie ma wpływu na oceniony poziom prawdopodobieństwa naruszenia praw i wolności osób fizycznych. Dla sektora medycznego pomocnym byłoby podanie w poradniku przykładów, gdzie prawdopodobieństwo naruszenia praw i wolności osoby fizycznej oceniono jako niskie przy potencjalnie poważnych negatywnych skutkach (np. zagubienie zaszyfrowanego pendrive’a z kopią kompletnej dokumentacji medycznej pacjenta). Teoretycznie wynik szacowania ryzyka mógłby wskazywać na jego średni poziom (przy niskim prawdopodobieństwie wystąpienia skutków ale ich potencjalnie wysokiej powadze).
4. Bardzo pomocnym dla administratorów byłoby wskazanie w poradniku większej ilości przykładów możliwych negatywnych skutków naruszenia ochrony danych osobowych, jak również środków możliwych do zastosowania w celu zaradzenia zaistniałemu już naruszeniu.