Autor: NewTechLaw.eu sp. z o.o.

Szanowni Państwo,

korzystając z możliwości, przesyłam poniżej swoje propozycje dotyczące zmian w Poradniku “Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych”

1. Uwaga generalna:
- poradniki / wytyczne / opinie powinny mieć swoje pełną metrykę zawierającą: numer dokumentu, kategorię, tytuł, wersję i datę wydania oraz listę autorów.  Systematyka zawarta w takich metrykach daje możliwość lepszego referowania / linkowania do dokumentów;    

2. Uwaga generalna:
- dobrze, aby wszystkie przykłady były ponumerowane dla lepszego referowania / linkowania do konkretnego przykładu;

3. Uwaga generalna:
- proszę rozważyć wprowadzenia na początku słowniki terminologicznego w szczeglnosci w przypadku takich pojęć jak “incydent bezpieczeństwa”, “potencjalne naruszenie ochrony danych” “zdarzenie mające wpływ na bezpieczeństwo”, “bezpieczeństwo danych” - które można zaczerpnąć z norm ISO.

Strona 3 Punkt 01. Pojęcie naruszenia ochrony danych osobowych. Definicja wraz z przykładami.

Jest:

“Przykład I
Przypadkowe wysłanie danych osobowych klienta do niewłaściwego działu firmy lub osoby postronnej.”

Propozycja nowego brzmienia:

“Przykład I
Przypadkowe wysłanie danych osobowych klienta do niewłaściwej firmy np. innego kontrahenta lub osoby postronnej zamiast do innego działu administratora”

Uzasadnienie: administrator posiada autonomię w zakresie tego kogo i jak wielu swoich pracowników lub współpracowników upoważnia do przetwarzania danych. Przepisy nie nakazują administratorowi ograniczania liczby "osób upoważnionych". Ograniczenie takie może nałożyć na siebie sam administrator wprowadzając taki środek minimalizujący dostęp do danych konkretnym pracownikom - komórkom organizacyjnym. Przykład jest o tyle nietrafiony, że przedsiębiorcy dążą do tego aby jak najwięcej pracowników znało czy rozpoznawało klientów, aby każdy pracownik z najwyższą starannością dbał o klientów przedsiębiorstwa, niezależnie od tego czy pracuje w dziale IT, Księgowości czy Kadrach.

Strona 4 Punkt 01. Pojęcie naruszenia ochrony danych osobowych. Definicja wraz z przykładami

Jest:

“Przykład II
Pracownik przypadkowo lub osoba nieupoważniona celowo usuwa dane ze zbioru. Administrator próbuje odzyskać dane z kopii zapasowej, jednak jego działania nie przynoszą rezultatu.”

Propozycja nowego brzmienia:
Przykład II
Pracownik przypadkowo lub osoba nieupoważniona celowo usuwa dane ze zbioru. Administrator próbuje odzyskać dane z kopii zapasowej, jednak jego działania nie przynoszą rezultatu w skutek czego administrator dochodzi do wniosku, że została usunięta jedyna kopia (oryginał danych) i nie ma żadnych kopii zapasowych czy innych źródeł z których dane te można odzyskać / przywrócić.

Uzasadnienie:

Chodzi o doprecyzowanie, aby nie było wątpliwości czy ktoś “nie umiał” przywrócić danych z kopii bezpieczeństwa.

Strona 4 Punkt 01. Pojęcie naruszenia ochrony danych osobowych. Definicja wraz z przykładami    

Propozycja dodania Przykładu II

“Osoba uprawniona przełamuje zabezpieczenia systemu kadrowo-płacowego, włamuje się do zbioru danych i podmienia numery kont bankowych pracowników w wyniku czego, przelewy wynagrodzeń dla pracowników są wykonywane na konto przestępcy, a administrator nie jest w stanie (np. na podstawie logów systemu) wykazać kto i kiedy podmienił numery rachunków bankowych pracowników w systemie kadrowo-płacowym.”  

Strona 5 Punkt 2.1. Administrator

W części "W tej procedurze powinno się zawrzeć m.in.: (...) warto dopisać jeszcze kilka elementów, które powinna zawierać procedura:

- jaka jest różnica pomiędzy incydentem bezpieczeństwa a naruszeń ochrony danych,
- opis postępowania w przypadku incydentów bezpieczeństwa
- przykłady typowych incydentów bezpieczeństwa
- przykłady typowych naruszeń ochrony danych osobowych
- jakimi kanałami personel i do kogo ma zgłaszać zauważone incydenty
- kto i w jaki sposób w imieniu administratora stwierdza naruszenie ochrony dnaych
- kto odpowiada za podpisanie zgłoszenie naruszenia ochrony danych a kto za przesłanie takiego zgłoszenia do UODO

Pojęcie “incydent bezpieczeństwa” można zastąpić pojęciem “potencjalne naruszenie ochrony danych”.

Strona 6 Punkt 2.2. Współadministrotorzy

Warto dodać zdanie podsumowujące:

“Współadministratorzy powinni ustalić w umowie (porozumieniu), który z nich odpowiada za poszczególne elementy procesu obsługi naruszeń ochrony danych:
- przyjmowanie zgłoszeń o incydentach / naruszeniach ochrony danych,
- analizowanie zgłoszeń i pozyskiwanie dodatkowych informacji,
- podejmowanie decyzji o wystąpieniu naruszenia,
- zawiadomienie UODO o naruszeniu w imieniu współadministratorów, 

Strona 6 Punkt 2.3. Podmiot przetwarzający

Po zdaniu “Zgodnie z art. 33 ust. 2 RODO, podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.”

proponuję dodać następujące wyjaśnienie praktyczne:

“Należy pamiętać, że ostateczną decyzję czy doszło czy nie doszło do naruszenia ochrony danych podejmuje administrator a nie podmiot przetwarzający. Nawet jeśli podmiot przetwarzający jest przekonany o wystąpieniu naruszenia ochrony danych, to może on nie mieć pełnego obrazu procesów przetwarzania jakie zachodzą po stronie administratora. Korzystanie z usług podmiotu przetwarzającego polega na outsourcingu części procesu przetwarzania danych i dlatego procesor może nie mieć pełnego obrazu przetwarzania danych osobowych.

Przykład nr [...]
Podmiot przetwarzający otrzymał otrzymał dysk twardy z ustrukturyzowanymi bazami danych zawierające dane osobowe. Przedmiotem zlecenia usługi jest przeprowadzenie operacji łączenia baz i przygotowaniu ich w nowej bazie w nowej strukturze. Podmiot przetwarzający przystępując do zlecenia nie wykonał kopii danych z pierwotnego dysku. Jedyny nośnik z danymi osobowymi ulega uszkodzeniu w taki sposób, że nie ma możliwości odzyskania z niego danych osobowych. Dla podmiotu przetwarzającego jest to oczywiste naruszenie ochrony - utrata / zniszczenie danych. Jednakże podmiot przetwarzający nie wie, że administrator jest w posiadaniu kopii bezpieczeństwa danych, którą wykonał przed ich przekazaniem do podmiotu przetwarzającego. Pomimo prześiadczenia podmiotu przetwarzającego o wystąpieniu naruszenia ochrony danych, administrator stwierdza, że zaistniała sytuacja jest tylko incydentem bezpieczeństwa a nie jest naruszeniem ochrony danych. Fakt całej sytuacji jest odnotowany w ewidencji incydentów i naruszeń jednak nie jest przygotowywane zawiadomienie o naruszeniu ochrony danych do UODO”

Strona 6 Punkt 2.3. Podmiot przetwarzający

Proponuję na koniec dodać podpowiedzi dot. uzgodnień organizacyjnych pomiędzy administratorem i podmiotem przetwarzającym w zakresie naruszeń.

Propozycja treści:

“Choć art. 28 w zakresie dotyczącym współpracy pomiędzy administratorem i podmiotem przetwarzającym w przypadku naruszeń nakłada tylko ogólny obowiązek współpracy stron, warto rozważyć wprowadzenie do umowy lub do uzgodnień operacyjnych pomiędzy stronami umowy odpowiedzi na poniższe pytania, które pozwolą obu stronom umowy powierzenia wypełnić ciążące na nich obowiązki.

1.    Komu i jakim kanałami komunikacji (jakie dane kontaktowe administratora: np. imię i nazwisko, adres e-mail, nr telefonu) należy zgłaszać potencjalne naruszenia ochrony danych?
2.      Kto po stronie podmiotu przetwarzającego (np. imię i nazwisko, adres e-mail, nr telefonu) jest uprawniony do powiadamiania administratora o potencjalnym naruszeniu ochrony danych osobowych?
3.      Kto jest uprawnionych do działania w imieniu administratora (np. imię i nazwisko, adres e-mail) do wydawania instrukcji, poleceń podmiotowi przetwarzającemu w przypadku zgłoszenia potencjalnego naruszenia ochrony danych?
4.      W jakich godzinach można kontaktować się w sprawach związanych z naruszeniami - zarówno po stronie administratora jak i podmiotu przetwarzającego?
5.      W jaki sposób ma postępować podmiot przetwarzający po godzinach pracy administratora, w dni wolne od pracy (święta, weekendy)?
6.      W jaki sposób ma postępować podmiot przetwarzający gdy brak jest kontaktu po stronie administratora?
7.      Czy podmiot przetwarzający jest uprawniony (czy może działać jak pełnomocnik) aby zgłaszać naruszenia ochrony danych do UODO w imieniu administratora?
8.      Jaki jest szczegółowy zakres informacji, który podmiot przetwarzający ma przekazywać o potencjalnym naruszeniu do administratora?
9.      Czy podmiot przetwarzający powinien dokonać oceny ryzyka potencjalnego naruszenia, a jeśli tak to wg jakiej metody?
10.     Czy podmiot przetwarzający powinien przygotować projekt zgłoszenia naruszenia do UODO?

Strona 7 Punkt 03. O jakich naruszeniach trzeba powiadomić Prezesa UODO?

Pierwsze zdanie:
“W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych.”

proponuję zastąpić w następujący sposób:

“W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych w pierwszej kolejności należy przywrócić bezpieczeństwo przetwarzanie danych. Przykładowo jeśli doszło do wycieku danych, należy jak najszybciej zabezpieczyć dane osobowe, system czy operacje, tak aby przywrócić ich bezpieczeństwo. Równolegle należy zbierać informacje o zdarzeniu, aby dokona analiza i oceny pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych.”

Strona 7 Punkt 03. O jakich naruszeniach trzeba powiadomić Prezesa UODO?

Na końcu proponuję dodać diagram / opis ogólnego procesu postępowania z naruszeniami:

1.    Pracownik / współpracownik otrzymuje informację lub identyfikuje potencjalne naruszenie ochrony danych.
2.      Jeśli naruszenia ochrony trwa nadal, osoba(y) odpowiedzialne doprowadzają do zabezpieczenia procesów przetwarzania aby przywrócić bezpieczeństwo danych.
3.      Osoba(y)odpowiedzialne zbierają informację o naruszeniu, dokonują analizy i oceny wg przyjętych u administratora kryteriów / metodologii
4.      Osoba(y)uprawnione podejmują decyzję czy doszło do naruszenia ochrony danych.
5.      Jeśli jest mało prawdopodobne, że doszło do naruszenia praw lub wolności - osoba(y) odpowiedzialne odnotowują i dokumentują całe zdarzenie w ewidencji naruszeń.
6.      Jeśli prawdopodobieństwo jest inne niż “małe”, że doszło do naruszenia praw lub wolności:
    
a.     osoba(y) odpowiedzialna przygotowują zgłoszenie naruszenia do UODO na wzorze zgłoszenia ze strony UODO,
b.      osoba(y)uprawniona podpisują zgłoszenie naruszenia do UODO,
c.      osoba(y) odpowiedzialna za wysyłanie zgłoszeń do UODO wysyła zgłoszenie,
d.      osoba(y)odpowiedzialne odnotowują i dokumentują całe zdarzenie w ewidencji naruszeń.

Osoba(y)odpowiedzialne monitorują wykonanie zaplanowanych działań korekcyjnych, korygujących, zapobiegawczych.
Osoba(y)uprawniona koresponduje z UODO w przypadku dodatkowych pytań ub wyjaśnień o jakie wnioski organ.    

Strona 7 Punkt 03. O jakich naruszeniach trzeba powiadomić Prezesa UODO?    

Na końcu punktu proponują dodać ostrzeżenie z trójkątem czerwonym “Uwaga!”

“Wielu administratorów korzysta z metodologii agencji ENISA “Recommendations for a methodology of the assessment of severity of personal data breaches” z 2013 r. do oceny ryzyka naruszenia. Ocena ryzyka naruszenia ochrony danych wg powyżej metodologii ma na celu m.in. ustalenie czy w związku z wystąpieniem naruszenia należy zawiadomiać podmoty danych zgodnei z art. 34 RODO. Ocena ta jednak (nawet jeśli wynik jest “niski”) nie służy do tego, aby uzasadnić brak zgłoszenia naruszenia do UODO. Innymi słowy nawet jeśli wg metodologii ENISA wynik pokazuje “niskie ryzyko” należy dokonać zgłoszenia do UODO ponieważ do naruszenia doszło.”

Strona 8 Punkt 04. W jaki sposób powiadomić Prezesa UODO o naruszeniu?

Na końcu punktu proponują dodać:

1. ostrzeżenie z trójkątem czerwonym “Uwaga!” w brzmieniu:

“W przypadku naruszeń ochrony danych, w szczególności naruszenia poufności oraz gdy w proces obsługi naruszenia zaangażowane są podmioty przetwarzające, zbieranie informacji o zdarzeniu i jego analiza może potrwać więcej niż 72h. W takim przypadku, administrator powinien dokonać zgłoszenia “wstępnego” i określić termin w jakim zamierza uzupełnić informację o naruszeniu.”

dodatkowy akapit w brzmieniu:

"Zgłoszenie naruszenia powinno być wypełnione przez osoby odpowiedzialne w organizacji, które posiadają zarówno wiedzę jak i dostęp do informacji o naruszeniu.
Decyzję o naruszeniu powinny podjąć osoby uprawnione np. poprzez zaakceptowanie i podpisanie zgłoszenia naruszenia. Osobami uprawnionymi mogą być zarówno osoby formalnie reprezentujące administratora jak i osoby, które uprawnione są do takich decyzji np. na podstawie pełnomocnictwa czy upoważnienia wynikającego z zakresu czynności, obowiązków, regulaminu, procedury czy innego dokumentu wewnętrznego administratora.

Wysyłkę zgłoszenia naruszenia powinna dokonać osoba odpowiedzialna np. osoba posiadająca dostęp do skrzynki na ePUAP. Inspektor ochrony Danych (jeśli został wyznaczony i zgłoszony do UODO) także może dokonać takiej wysyłki zgłoszenia naruszenia."

ostrzeżenie z trójkątem czerwonym “Uwaga!” w brzmieniu:

“Decyzję o naruszeniu ochrony danych podejmuje administrator czyli osoba(y) uprawniona do takich czynności. Inspektor Ochrony Danych nie może takich decyzji podejmować, nawet na gdy administrator nada mu takie uprawnienie. Oczywiście, IOD może wyrazić swoje zdanie, opinię czy rekomendacje w zakresie naruszenia a administrator powinien zawsze włączyć IOD w proces zgłoszania naruszenia. Jednak ostateczne decyzja czy doszło do naruszenia i obowiązek zgłoszenia do UODO ciąży wyłącznie na administratorze”

Strona 10 punkt 06. W jakim terminie należy zgłosić naruszenie Prezesowi UODO?

Ostatni akapit:
“Należy pamiętać, że podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zobowiązany jest do zgłoszenia go administratorowi (art. 33 ust. 2 RODO). Administrator, dokonując oceny ryzyka naruszenia praw lub wolności osób fizycznych, decyduje czy zgłosić takie naruszenie organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą.”

proponuje zastąpić następującym brzmieniem:

“Należy pamiętać, że podmiot przetwarzający po stwierdzeniu potencjalnego naruszenia ochrony danych osobowych zobowiązany jest do zgłoszenia go administratorowi (art. 33 ust. 2 RODO). Administrator, dokonując ostatecznej oceny:
a. czy doszło do naruszenia ochrony danych?
b. jeśli doszło do naruszenia ochrony danych - oceny ryzyka naruszenia praw lub wolności osób fizycznych?
c. czy zgłosić takie naruszenie organowi nadzorczemu oraz powiadomić osoby, których dane dotyczą?"