Pytania i odpowiedzi według Kamila Wojciechowskiego
16 maja 2025 r. odbył się drugi webinar związany z Poradnikiem dotyczącym naruszeń ochrony danych osobowych. Podczas webinaru wyjaśniane były wątpliwości oraz prowadzący udzielali odpowiedzi na pytania zebrane podczas webninaru przeprowadzonego 28 marca. Zaznaczam, że moje „nieoficjalne” odpowiedzi nie stanowią wiążącej interpretacji czy rozwiązania. I nie chodzi o to, że się asekuruję czy obawiam własnego zdania. Wręcz przeciwnie. Po prostu rzetelność rozpatrywania zapytania wymaga w praktyce często pogłębionej analizy oraz indywidualnego podejścia – osadzenia pytania w pewnym kontekście oraz otoczeniu prawno-organizacyjnym. W związku z tym, bazuję jedynie na sformułowanych pytaniach.
Czy kilkugodzinna utrata dostępu do danych osobowych jest naruszeniem bezpieczeństwa?
Tego typu zdarzenie zakwalifikowane powinno być jako incydent bezpieczeństwa. Jeżeli naruszony zostaje atrybut dostępności to możemy mówić także o naruszeniu ochrony danych osobowych. W zależności od tego, jaki jest charakter tego naruszenia oraz czy wywiera ono wpływ na podmioty danych, a także jaki to wpływ, może okazać się, że będzie mało prawdopodobne, iż dojdzie do naruszenia praw i wolności osób fizycznych. Może też być tak, że jednak wyższe ryzyko wystąpi i z jakichś względów rozważane będą inne ścieżki działania. Kluczowa będzie w tej sytuacji analiza ryzyka. Dodam, że przy odpowiednim podjeściu i sprzyjających okolicznościach tego typu zdarzenie można przeprocesować tak, aby zgłoszenie naruszenia ochrony danych osobowych do organu nadzroczego nie było konieczne.
Czy pseudonim używany w sieci przez daną osobę to też dana osobowa?
Odpowiedź nie jest jednoznaczna, gdyż w zależności od określonej sytuacji taki pseudonim może stanowić dane osobowe lub nie. Wiele zależy od kontekstu i tła, w jakich ów pseudonim jest używany i na ile jest charakterystyczny, rozpoznawalny i umożliwia powiązanie go z konkretną osobą. Pseudonim jako dane osobowe klasyfikowałbym zgodnie z przyjętymi definicjami oraz wytycznymi. Jeżeli mamy przykładowo do czynienia z medium społecznościowym czy forum, gdzie identyfikowane są osoby, a używają pseudonimów lub też jest łatwo, racjonalnie ustalić kto pod danym pseudonim się „ukrywa”, to wtedy informacje te najpewniej będą stanowić dane osobowe. Bez względu na to czy chodzi o pseudonim czy inne informacje, rozpatrywać ich status jako danych osobowych, trzeba w określonym kontekście oraz zgodnie z przyjętymi definicjami.
Przypadek, gdy ktoś włamuje się na naszą skrzynkę mailową tylko po to, aby wysyłać spam – wtedy powinniśmy rozważyć czy stwierdzać naruszenie z uwagi na możliwą utratę poufności danych zawartych w tej skrzynce mailowej, tak?
Tak, jeżeli doszło do włamania na skrzynkę poczty elektronicznej, a znajdowały się tam treści zawierające dane osobowe, to powinniśmy rozpatrywać co najmniej naruszenie atrybutu poufności i stwierdzić naruszenie ochrony danych osobowych, a dalej naruszenie praw i wolności osób fizycznych. Uwzględniamy oczywiście charakter zdarzenia oraz jego kontekst i okoliczności, tak aby przywołać faktyczny obraz sytuacyjny i racjonalnie ocenić skalę i powagę zdarzenia.
W przesłanej do Klienta umowie nie zmieniono nr PESEL (z innej umowy) – inny klient otrzymał swoje dane osobowe (imię nazwisko, adres) i błędny PESEL (innego klienta) – mamy naruszenie i jak należy je obsłużyć (tylko wpis do rejestru naruszeń, zawiadomienie PUODO, zawiadomienie PUODO i Klienta). Dodam, że klient, który otrzymał błędny PESEL usunął wiadomość (złożył stosowane oświadczenie) a tak naprawdę “zwykły Kowalski” z PESEL-a wyczyta tylko płeć i datę urodzenia (brak możliwości jednoznacznej identyfikacji osoby). Jak podejść do takiego naruszenia?
Przeprowadzamy analizę takiego zdarzenia. Kwalifikujemy je jako naruszenie ochrony danych osobowych. Deklaracja czy oświadczenie Klienta nie stanowi gwarancji, że usunięcie miało faktycznie miejsce. A nawet jeżeli, to nie ma pewności, że dane nie zostały zachowane mimo to. Natomiast w mojej ocenie może stanowić to jeden z elementów wpływających na ocenę naruszenia i jego skutki czy możliwość eskalacji. Pod uwagę powinno się wziąć także kim jest ów klient i jak go klasyfikujemy – być może jako zaufanego odbiorcę. Nie każde naruszenie dotyczące numeru PESEL będzie automatycznie kwalifikowało się do zgłoszenia naruszenia do Prezesa UODO czy do powiadamiania osób, których to naruszenie dotyczy. Liczy się kontekst i nie sposób jednoznaczenie stwierdzić, że zawsze należy takie naruszenie zgłaszać albo że nie trzeba tego robić. Zalecałbym przyjąć wewnętrzne kryteria, bazując na praktyce, zasadach oraz wytycznych, które pozwolą na skuteczną i racjonalną klasyfikację naruszenia. Pamiętać należy, że skupiamy się na potencjalnych oraz ewentualnie zmaterializowanych skutkach dla podmiotów danych.
Na kim spoczywają konsekwencje dotyczące incydentu? Na administratorze danych? Inspektorze Ochrony Danych? Pracowniku, który niechcący upublicznił dane?
Rozumiem, że chodzi tu o naruszenie ochrony danych osobowych. Odpowiedzialność za naruszenie ponosi administrator. Pracownik może ponieść odpowiedzialność przewidzianą dla niego np. pracowniczą. Inspektor Ochrony Danych podobnie, w przypadku rażącego zaniedbania czy rozmyślnego działania na szkodę administratora, może ponieść odpowiedzialność. Natomiast w przypadku naruszenia spoczywa ona przede wszystkim na administratorze, ale także dotyka podmiotu przetwarzającego – gdyby takowy brał udział w procesie przetwarzania danych osobowych i naruszenie wystąpiło z jego winy/po jego stronie.
Proszę o omówienie zagadnienia “definitywnego zaradzenia” naruszeniu oraz podanie przykładów.
Myślę, że chodzić może o sytuację, w której mamy wystarczającą dozę pewności, że reakcja na naruszenie spowodowała, że mu zaradziliśmy i jesteśmy w momencie, gdy jest mało prawdopodobne, aby wystąpiły negatywne skutki dla podmiotów danych. Tak więc z taką sytuacją można mieć do czynienia, gdy po naruszeniu podjęto działania prowadzące do eliminacji lub minimalizacji skutków naruszenia i doprowadzono do jego zakończenia. Najbardziej oczywiste przykłady to te, które odnoszą się do naruszenia związanego z atrybutem dostępności lub integralności. W ich przypadku jest relatywnie łatwiej zarządzać skutkami, jeśli dysponujemy odpowiednimi narzędziami i możliwościami. Naruszenie atrybutu poufności, gdy doszło do ujawnienia danych osobowych, ich wycieku i na przykład publikacji w Internecie, zaradzenie skutkom jest w zasadzie (niemal) niemożliwe. Jeśli doszło np. do zaszyfrowania danych osobowych na dyskach serwerowych, ale w ciągu określonego czasu odtworzono te dane osobowe i zdarzenie nie generuje ryzyka dla podmiotów danych, można powiedzieć, że zaradzono definitywnie temu naruszeniu. Podobnie, gdy doszłoby do modyfikacji danych w systemach lub dokumentach, co zostałoby wykryte, ale byłaby możliwość przywrócenia stanu pierwotnego, to także można powiedzieć o definitywnym zaradzeniu. W przypadku atrybutu poufności, jedynie w kontrolowanym i „znanym” środowisku jest możliwe, aby definitywnie naruszeniu zaradzić. Musimy mieć wystarczającą pewność, że podjęte działania mitygują nam ryzyko, a ponadto mamy na przykład do czynienia z zaufanym odbiorcą. Generalnie przyjąć warto, że definitywne zaradzenie naruszeniu to sytuacja, gdy albo nie są już możliwe negatywne skutki dla podmiotów danych albo poprzez zastosowane zabezpieczenia i działania spowodowano, że jest mało prawdopodobne, aby takie skutki wystąpiły i były dotkliwe. Ponadto doszło do przywrócenia stanu sprzed wystąpienia naruszenia i jest to stan trwały i potwierdzony. Warunkiem jest także to, aby w praktyce źródło naruszenia zostało zneutralizowane. Oczywiście należy zastosować pełną procedurę ponaruszeniową i zakończyć działania z wynikiem pozytywnym.
Czy incydentem bezpieczeństwa jest publikacja przez klienta wizerunku naszego pracownika w Internecie bez jego zgody (naruszenia dokonał klient)?
Tak, tego typu zdarzenie można zakwalifikować jako incydent i dalej jako naruszenie ochrony danych osobowych. Ponadto samo ujawnienie wizerunku bez zezwolenia narusza przepisy odrębne. Naruszenie w opisanym przypadku występuje po stronie Klienta (ujawniającego).
Czy wysyłka FV do nieprawidłowego odbiorcy wymaga zgłoszenia? (FV nie zawiera danych typu pesel, data ur. ani przedmiotu zakupu, nie jest nic ujawniającego informacje o kupującym typu zakup usługi medycznej).
Jeżeli faktura nie zawiera danych osobowych to nie będziemy rozpatrywać nieprawidłowej wysyłki jako naruszenia ochrony danych osobowych. Możemy za to spojrzeć na to zdarzenie jako na incydent i oczywiście dokonać weryfikacji, aby wyeliminować takie sytuacje na przyszłość.
Poproszę o wyjaśnienie granic “ryzyka”, bo ryzyko może być realne lub czysto teoretyczne. Jeżeli w zakres incydentu wchodziłoby także ryzyko czysto teoretyczne lub nawet hipotetyczne, to w praktyce wszystko stanie się incydentem, bo ryzyko teoretyczne można mnożyć do granic wyobraźni. Jakie problemy generuje tzw. ryzyko teoretyczne w praktyce np. jeżeli rano zauważę otwartą szafę w HR to realnie mogę zweryfikować kto wchodził do pokoju, kto miał dostęp i dlaczego nie została na noc zamknięta i tutaj np. ocenić, że po prostu pracownik zapomniał, ale nie mam podstaw by uznać, że coś się stało = incydentu nie ma/jest niskiej rangi. Ale mogę też teoretyzować, że sprzątaczka pewnie miała telefon i zrobiła lub mogła zrobić fotokopie akt w nocy, choć na to dowodów nie mam… Ostatecznie musiałbym uznać wtedy, że incydent jest, ryzyko teoretyczne jest = zgłoszenie.
Jak wspominałem w odpowiedziach przy okazji pytań z pierwszego webinaru – nie przyjmujemy czarnych scenariuszy i nie zgłaszamy każdego podejrzenia (naruszenia). Kierujemy się przepisami. Zgłaszamy naruszenia ochrony danych osobowych zgodnie z definicją naruszenia. A to rozumiane jest wąsko. Zamiast o czarnych scenariuszach lepiej mówić o powtarzalnej, rozliczalnej i dobrze opisanej analizie ryzyka. Monitorowanie zagrożeń oraz poziomy ryzyka to nie jest pisanie dramatycznego scenariusza, a racjonalna analiza oparta o wskaźniki i mierniki jakościowe oraz ilościowe. Trzeba ocenić czy i jakie skutki mogą wystąpić w przypadku konkretnego zdarzenia i poznać okoliczności oraz to, jaka wystąpi dotkliwość dla podmiotów danych. Nie popadałbym w przesadę i snucie wizji, jeśli nie znajdują one racjonalnego argumentu. Co do teoretyzowania w opisanym przypadku – nie chodzi o teoretyzowanie tylko o analizę zdarzenia. A na to przewidziana jest jakaś metodyka. I tym się kierujemy.
Czy w ilości wpisów naruszonych danych osobowych imię i nazwisko liczone powinno być łącznie czy jako oddzielne niezależne wpisy?
Według mnie informacje takie jak imię i nazwisko należy traktować łącznie jako jeden wpis, jeżeli występują w zestawie danych osobowych. Generalnie pojęcie „wpisy” traktowane jest różnie. Osobiście jako wpis rozumiem rekord bazy danych zawierających określony zestaw danych osobowych. Przykładowo, jeśli w rejestrze/bazie danych przechowywane jest 100 pozycji/rekordów, a każdy rekord zawiera imię i nazwisko, numer telefonu, adres zamieszkania, numer PESEL, to mamy do czynienia z sytuacją, gdy dysponujemy 100 wpisami (w każdym wpisie mamy 4-elementowy zestaw danych osobowych). Pojedynczy wpis to zestaw danych osobowych zawarty w danym rekordzie. Nie utożsamiam wpisów z pojedynczymi danymi osobowymi i nie sumuję ich. Ponadto jeśli mamy do czynienia z zestawem danych, gdzie rekordy powtarzają się, to zliczamy je. Tak więc jeżeli 5 rekordów dotyczy tej samej osoby to identyfikuję je jako 5 wpisów. Tak więc możemy mieć sytuację, w której występuje 100 wpisów składających się z x-elementowych zestawów zawierających dane osobowe. Podajemy przy tym, jakie to dane osobowe – tutaj już bez powtórzeń.
Jakie jest konkretnie ryzyko dla osoby fizycznej w sytuacji doręczenia zamówionych przez nią butów innemu odbiorcy? (ujawnione dane: imię, nazwisko, adres doręczenia, rozmiar nr buta)
Więcej problemów i frustracji może wystąpić z powodu samego faktu nieotrzymania na czas produktu, potrzeby wyjaśnienia sprawy, ponownego oczekiwania na wysyłkę itp. niż w obszarze zagrożeń związanych z przetwarzaniem danych osobowych. Oczywiście sytuacje mogą być różne. Uwzględnić trzeba kto jest nadawcą (gdzie kupiono buty), czy taki produkt nie ujawnia dodatkowych informacji o osobie, do kogo przesyłka została doręczona czy co odbiorca zrobił po jej otrzymaniu. Generalnie, najpewniej przy wskazanym zestawie danych i przy okolicznościach bez szczególnych cech generujących dodatkowe zagrożenia, będzie mało prawdopodobne, aby naruszenie to powodowało ryzyko dla praw i wolności osoby fizycznej. Naruszenie do odnotowania w wewnętrznym rejestrze, wdrożenie mechanizmów na przyszłość, aby sytuacja się nie powtórzyła lub zminimalizowano ilość takich zdarzeń. Dodam, że jedno zdarzenie drugiemu nierówne, więc możliwe, że z jakichś względów stwierdzone będzie, że jednak ryzyko istnieje i wymaga zgłoszenia do Prezesa UODO.
Czy wysłanie maila z widocznymi adresami odbiorców (ktoś wkleił 100 adresów do DW zamiast UDW) dot. np. promocji jakichś produktów (pomijam aspekt zgód marketingowych) stanowi naruszenie, które należy zgłosić do PUODO?
Tak, taka wysyłka stanowi naruszenie ochrony danych osobowych. Ujawnia co najmniej adresy poczty elektronicznej, być może częściowo imiona i nazwiska, ale także potencjalnie inne informacje o osobach. Zależy czego dotyczy wysłany mail – promocji czy informacji o jakichś produktach. Myślę, że znaczenie może też mieć w wymiarze skutku to czy odbiorcami wiadomości są np. osoby zapisane na konkretny newsletter lub kanał informacyjny i otrzymują generalnie tożsame treści czy odbiorcami są przypadkowe osoby, załączone z innej listy/książki adresowej. Może wystąpić sytuacja, w której tego typu naruszenie będzie wymagało zgłoszenia do Prezesa UODO.
Jak w takim razie w ogóle definiować “naruszenie praw lub wolności”. Jeżeli przyjmiemy za poradnikiem (str. 12), że takim naruszeniem (negatywnym następstwem) może być dyskomfort, niepokój osoby fizycznej, to zasadniczo każde naruszenie będzie generowało takie ryzyko.
Nie każde naruszenie, gdzie wystąpić może dyskomfort, poczucie strachu, zagubienia, stres czy niepokój będzie kwalifikowało się jako niosące ryzyko lub wysokie ryzyko dla praw i wolności osób fizycznych. Każdorazowo uwzględnia się więcej czynników dokonując oceny poprzez przyjętą metodykę. W zasadzie, gdy dochodzi do naruszenia określonych praw lub wolności, choćby wskazanych wprost w RODO, to jest to albo obiektywnie możliwe w danej sytuacji albo zmaterializowało się. Tak więc samo naruszenie praw i wolności jest łatwe do identyfikacji (z jakimi prawami i wolnościami możemy mieć do czynienia). Ewentualne wątpliwości może budzić zakres i skala powagi takiego naruszenia.
Kto stwierdza naruszenie? Podmiot przetwarzający czy ADO?
Naruszenie stwierdza administrator. Natomiast w przypadku relacji z podmiotem przetwarzającym może wystąpić sytuacja, gdy naruszenie ochrony danych osobowych zmaterializuje się po stronie tego podmiotu. Wtedy w zależności od zawartej umowy i uzgodnień, ale też kierując się przepisami prawa, podmiot przetwarzający zgłasza takie naruszenie do administratora. Zgłasza, gdy je „stwierdzi”. Tak więc w pewnym sensie podmiot przetwarzający oceniając po swojej stronie jakieś zdarzenie i wiedząc, że powinien naruszenie zgłosić do administratora, niejako najpierw musi je stwierdzić. Tak więc administrator otrzymuje informację, że w ocenie procesora doszło do naruszenia ochrony danych osobowych. Dalej administrator weryfikuje to powiadomienie i dokonuje ostatecznej jego oceny i kwalifikacji. Zgodnie z wytycznymi EROD może być tak, że wystąpi naruszenie, które w zasadzie w momencie informowania o nim administratora może zostać uznane za stwierdzone – administrator otrzymuje takie zgłoszenie, że niemal od razu ma wystarczającą pewność i stwierdza, że „tak, mamy naruszenie”. W innych sytuacjach administrator może potrzebować nieco czasu na zweryfikowanie zawiadomienia i podjęcie decyzji. Wyobraźmy sobie, że procesor zgłasza naruszenie, które stwierdził i dotyczy ono zaszyfrowania danych osobowych, co do których wydane zostało polecenie przetwarzania, a znajdowały się one w zasobach procesora. Administrator dostaje zgłoszenie, ale po analizie okazuje się, że dysponuje aktualną kopią tych danych osobowych i jest w stanie w szybkim czasie je odtworzyć i przywrócić stan pierwotny, a ponadto ma narzędzia, aby wspomóc procesora w zabezpieczeniu zasobów i eliminacji zagrożenia. Tak więc nawet jeśli procesor stwierdził naruszenie i to o wysokim ryzyku, to administrator dysponując dodatkową wiedzą może to ryzyko zmitygować stosując odpowiednie i skuteczne środki zabezpieczenia. Dlatego niekiedy stwierdzenie naruszenia (i czas stwierdzenia) będą niemal tożsame z tym, gdy administrator otrzyma powiadomienie od procesora. Niekiedy będzie wymagało to dodatkowej analizy. Czas badania powinien być racjonalny i możliwy do wytłumaczenia. Wszelkie działania należy dokumentować, a ewentualne opoźnienia argumentować. Bezzwłoczne i sprawne działanie w takich sytuacjach jest jednym z wymogów wobec administratora, ale i procesora.
Czy organy administracji publicznej, sądy, inspekcje, straże itp. nie powinny być z automatu traktowane jako podmiotu zaufane? Administrator się wygłupi pisząc do podmiotu danych, że omyłkowe wysłanie pisma do Sądu będzie się wiązać z wysokim ryzykiem naruszenia praw lub wolności.
Kto zetknął się z problematyką ochrony danych osobowych w administracji publicznej, tego wiara w „domyślność” traktowania tego obszaru jako zaufanych odbiorców, będzie co najmniej zachwiana. W rzeczywistości takich podmiotów nie powinno się traktować jako odbiorców zaufanych w sposób domyślny. Przy konkretnym naruszeniu należy dokonać indywidualnej oceny biorąc pod uwagę całokształt zdarzenia. Oczywiście istnieje możliwość, że w konkretnej sytuacji okaże się, że jakiś nieuprawiony odbiorca zostanie uznany za zaufanego. Natomiast to nadal kwestia indywidualna i wynikająca z przeprowadzonej oceny. Nie trzeba się „wygłupiać”, wystarczy przeprowadzić dobrą analizę i uwzględnić charakter takiego podmiotu, co być może wpłynie na wynik końcowy i decyzję „co robić dalej”.
Czy oświadczenie o wykasowaniu błędnie otrzymanego maila możemy potraktować, że ryzyko spadło do niskiego lub brak ryzyka?
Samo oświadczenie o wykasowaniu błędnie otrzymanego maila nie jest wystarczającym narzędziem obniżającym ryzyko do mało prawdopodobnego albo jego eliminacji. Trzeba by osadzić to działanie w konkretnej sytuacji i kontekście, a wtedy może stanowić element brany pod uwagę w analizie naruszenia. Natomiast nie będzie to decydujący aspekt, który miałby wpływać w sposób znaczący na obniżenie ryzyka.
Jak można udowodnić usunięcie wiadomości?
Sposoby są zapewne różne, to kwestia sytuacji i możliwości. Przykładowo jako dowód usunięcia wiadomości można przyjąć oświadczenie w tej sprawie, dokonanie inspekcji z notatką, potwierdzenie przez niezależną osobę, rejestracja wykonanej operacji w formie wizualnej, zapisanie i ujawnienie dzienników zdarzeń lub logów systemowych. Oczywiście trudno jednoznacznie stwierdzić, że dowolnie podjęte działania odzwierciedlają stan faktyczny. Trzeba by mieć wystarczający poziom pewności, że uprzednio nie dokonano skopiowania, wydrukowania czy archiwizacji takiej wiadomości. Można uwiarygodnić takie usunięcie w sposób bardziej konkretny, gdy mamy do czynienia z odbiorcą zaufanym lub też zaistniałą okoliczność, gdy odbiór wiadomości odbył się w kontrolowanym środowisku. Mam na myśli sytuację, kiedy komunikacja polega nadzorowi lub innego rodzaju monitorowaniu czy oglądowi, co pozwala na wyeliminowanie momentu, gdy miałoby dojść do nieautoryzowanego powielenia wiadomości. To oczywiście hipotetyczne rozważania. W praktyce sytuacje są na tyle różne, że sposób dokumentowania działań najlepiej dostosować indywidualnie, szczególnie gdy istnieją procedury określające zachowanie i możliwości działania.
Jak należy potraktować wysłanie niezaszyfrowanego emaila do prawidłowego odbiorcy?
Decyzję o sposobie zabezpieczenia korespondencji wysyłanej poprzez pocztę elektroniczną podejmuje administrator, ewentualnie w porozumieniu z odbiorcą, gdy ustalane są określone kanały stałej komunikacji i wymiany danych. Po stronie nadawcy maila niezaszyfrowana wiadomość, gdy zawiera dane osobowe, może być rozpatrywana w kierunku incydentu bezpieczeństwa. Natomiast, aby mówić o naruszeniu ochrony danych osobowych trzeba by stwierdzić naruszenie atrybutów bezpieczeństwa w postaci poufności, integralności lub dostępności. Sam fakt niezabezpieczenia wysyłki nie stanowi co do zasady naruszenia takich atrybutów.
Czyli w sytuacji w której stwierdzimy, że ryzyko jest ryzykiem niskim, nie zachodzi potrzeba zgłoszenia incydentu do organu?
Posługując się pojęciem „niskie ryzyko” powinno się je zdefiniować na potrzeby stosowanej metodyki analizy naruszeń ochrony danych osobowych. Co do zasady takie pojęcie nie jest zdefiniowane w RODO. Precyzując – gdy stwierdzimy, że występuje ryzyko naruszenia ochrony danych osobowych, pojawia się wymóg zgłoszenia takiego naruszenia do organu nadzorczego. Jeżeli mamy do czynienia z sytuacją, gdy nie identyfikujemy ryzyka lub racjonalnie oceniamy, że nie będzie rodziło konsekwencji dla podmiotów danych, to najpewniej okaże się, że nie ma potrzeby zgłoszenia takiego naruszenia do organu nadzorczego.
Jeżeli to kontrahent sam wskazał nam błędny adres email, na który wysłaliśmy pakiet CV (pomyłka nie była po naszej stronie), to czy też jest traktowane jako naruszenie uruchamiające obowiązek zgłoszenia do organu nadzorczego?
Traktowałbym to jako potencjalne naruszenie ochrony danych osobowych. Nie ma znaczenia dla skutku sytuacyjnego to, czy kontrahent podał dobry czy zły adres. Wystarczające jest, że doszło do ujawnienia danych osobowych nieuprawionyemu odbiorcy. Pozostałe okoliczności to elementy brane pod uwagę w ocenie zdarzenia, ale nie zmieniają jego sedna. Warto tutaj zwrócić uwagę na to czy nadawca wiadomości prawidłowo dokonał analizy ryzyka i stosuje adekwatne środki zabezpieczenia. Być może przesyłanie tego typu dokumentów powinno odbywać się poprzez zastosowanie dodatkowych zabezpieczeń dostępu, wlaśnie z uwagi na możliwe omyłki w zdefiniowanym odbiorcy. Ponadto zweryfikować warto, w jaki sposób prowadzone jest potwierdzanie prawidłowości adresu odbiorcy i czy w ogóle ktoś tego dokonuje. Ustalanie kanałów i sposobów komunikacji jest dosyć istotnym elementem współpracy między kontrahentami. Tak więc reasumując, oczywiście takie zdarzenie należy klasyfikować jako naruszenie ochrony danych osobowych. W związku z tym trzeba dokonać stosowanej analizy i ustalić poziom ryzyka, podjąć decyzję co do dalszego postępowania i minimalizowania skutków tego naruszenia.
Jak w takim razie traktować incydent polegający na tym, że klient sam podał nam nieprawidłowe dane kontaktowe (błędny adres) i na podstawie tych danych przesłaliśmy umowę i oczywiście odebrała ją osoba trzecia (przypadkowa, nieupoważniona, niezaufana). Jeżeli musimy to rozpatrzyć jako naruszenie i zgłosić do UODO to mamy prosty sposób, aby działać na niekorzyść administratora generując naruszenia u tego ADO.
Pytanie podobne do poprzedniego, więc uzupełniam tylko o kontekst. Zdarzenie takie jest naruszeniem ochrony danych osobowych – jak je ocenimy (i jego powagę) zależy od tego, jakie dane osobowe zostały ujawnione nieuprawionym osobom. Ponownie – dopełnienie staranności oraz przetwarzanie danych aktualnych i dokoywanie weryfikacji w tym zakresie leży w interesie i obowiązku administratora. Jeżeli administrator posługuje się nieaktualnymi lub błędnymi danymi, to być może nie ma sprawnych procedur na zapewnienie rzetelności przetwarzanych danych osobowych. Dlatego warto ustalać odpowiednie kanały komunikacji, weryfikować i potwierdzać dane kontaktowe oraz należycie zabezpieczać przesyłane dane, tak aby nawet w sytuacji, gdy tarafią do nieuprawionego odbiorcy, ryzyko naruszenia było eliminowane lub minimalne.
Wysyłam paczkę z dokumentami z danymi osobowymi. Operator pocztowy. Paczka zaginęła. Czy operator odpowiada za zdarzenie w kontekście naruszenia d.o.? Wysyłający – ADO. A jaką rolę pełni operator pocztowy? Jak był temat “fumigacji pudeł zawierających d.o.” to miało być pp. Jak przeprowadzka to też. A z operatorem pocztowym już nie (wiadomo dane nadawcy i odbiorcy udostępnienie).
Operator pocztowy nie odpowiada za zawartość korespondencji w omawianym rozumieniu. Skąd ma wiedzieć co jest w kopercie czy pudle (że są tam dane osobowe)? Za to nadawca odpowiada za wybór operatora oraz sposób nadania paczki – z dostępnych opcji oferowanych przez operatora. Czy to operator pocztowy czy firma kurierska. Dodatkowo, w przypadku firmy kurierskiej możemy mieć do czynienia z sytuacją, gdy firma taka wystąpi w podwójnej roli – poza pozycją administratora wystąpi jako podmiot przetwarzający. Operator pocztowy odpowiada na mocy odrębnych przepisów w zakresie doręczenia przesyłek. Tak więc w kontekście danych osobowych może przetwarzać te, które są na paczce/kopercie. I w tym zakresie jest administratorem. Administratorem danych „w paczce” jest nadawca. WIelokrotnie miałem do czynienia z zagubieniem przesyłki czy jej zniszczeniem przez operatora albo kuriera – naprawdę da się te sprawy przeprocesować i przejść przez „nie bez szwanku „łagodnie” z punktu widzenia administratora-nadawcy. Należy jednak spełnić co najmniej kilka warunków.
A co zrobić w przypadku, gdy komornik wysyła do nas na ogólny e-mail dane dłużnika (również z danymi PESEL) bez zabezpieczenia i po delikatnym zwróceniu uwagi nadal to robi, zgłosić?
Należy pamiętać, że to komornik jako samodzielny administrator decyduje o sposobie zabezpieczenia danych osobowych. Być może ustalił, że stosowane przez niego środki są wystarczające. To, że w czyjejś ocenie jest inaczej, to osobna kwestia i nie jest to wiążące dla takiego administratora. Dlatego też ewentualne zawiadomienie o możliwych nieprawidłowościach po stronie odrębnego administratora i przesłanie go do organu nadzorczego traktowałbym raczej jako ostateczność. Najpierw warto zwrócić się z prośbą czy sugestiami, udokumentować ten fakt profilaktycznie, a następnie, gdy to nie przynosi skutku, a „mamy wrażenie”, że taka korespondencja rodzi ryzyko, to w trosce o dobro osób, których dane są w ten sposób przetwarzane, można podjąć kolejne kroki.
A jakby PESEL Prezydenta został ujawniony jako osoby publicznej, byłoby to naruszeniem?
Nawet gdyby sam Prezydent ujawnił swój PESEL to dalej nie oznacza, że można ten PESEL swobodnie przetwarzać w dowolnym celu tylko dlatego, że jest publicznie jawny. To samo dotyczy wszelkich danych osobowych w rejestrach i zasobach dostępnych np. online. Przetwarzanie takich danych osobowych bez podstawy prawnej czy bez spełnianie wymogów RODO będzie prowadziło do naruszenia prawa, ale może też prowadzić do naruszenia ochrony danych osobowych oraz praw i wolności osób fizycznych, których te dane dotyczą.
Kim jest osoba odpowiedzialna za bezpieczeństwo danych, która stwierdza, że doszło do naruszenia? Czy trzeba kogoś takiego wyznaczyć? Pytam, bo każdy pracownik ma obowiązek dbać o bezpieczeństwo w większym lub mniejszym stopniu.
Odpowiedzialność (generalnie) za bezpieczeństwo przetwarzania danych osobowych ponosi administrator. Oczywiście za bezpieczeństwo odpowiadają wszyscy pracownicy organizacji. Administrator tworzy wewnętrzne zasady dotyczące ochrony danych osobowych, których każda osoba w organizacji powinna przestrzegać. Nadzór nad poszczególnymi obszary bezpieczeństwa mogą sprawować wyznaczone osoby np. stanowiska czy zespoły utworzone dla zgodności prawnej, bezpieczeństwa fizycznego, cyberbezpieceństwa, ochrony sieci itd. Pracownicy przestrzegając ustalonych zasad oraz wiedząc jak identyfikować i reagować na potencjalne zagrożenia, wspomagają organizację w minimalizowaniu ryzyka oraz zapewnienia bezpieczeństwa. Po to też administrator powinien prowadzić szkolenia oraz działania uświadamiające. To kwestia przyjętych procedur oraz rzeczywistych potrzeb. Wszystko zależy od wielkości organizacji, jej potrzeb oraz charakteru działalności. Nie zmienia to tego, że za całokształt ochrony danych osobowych odpowiada administrator – i w związku z tym spoczywa na nim szeeg obowiązków.
Czy administrator danych musi być poczytalny? A jeżeli nie to czy jego decyzje np. dotyczące incydentów są wiążące?
RODO nie odnosi się wprost do cechy poczytalności administratora. W tym zakresie szukałbym rozwiązań na gruncie odrębnych przepisów. Patrzyłbym w kierunku oceny zdolności do czynności prawnych i ograniczeń w tym zakresie. Skierowałbym to pytanie do radcy prawnego specjalizującego się w tej dziedzinie, aby dokonał oceny oraz wydał opinię. Podobnie w kontekście wiążących decyzji – ocenić należałby stopień poczytalności oraz badać stan wpływający na podejmowanie decyzji przez administratora. Jednak całościowo – posiłkowałbym się opinią zewnętrzną, wydaną na gruncie odrębnych przepisów i nie widzę w tym przypadku wiodącej roli Inspektora Ochrony Danych czy osoby ze specjalizacji ochrony danych osobowych.
Czy poczta nie jest niezależnym administratorem?
Poczta Polska jest co do zasady uznawana za samodzielnego/niezależnego administratora danych osobowych w związku z usługami pocztowymi. Znaleźć można zdania odrębne i próby lokowania operatora pocztowego w roli podmiotu przetwarzającego. Natomiast zdaje się przeważać pogląd jak w zdaniu pierwszym.
Czemu mam ponosić odpowiedzialność za działania odrębnego administratora (operatora pocztowego)?
Nadawca przesyłki nie ponosi odpowiedzialności bezpośredniej za działalność operatora pocztowego. Ponosi za to odpowiedzialność za swoje działania, decyzje oraz dokonywane wybory. Podobnie ponosi odpowiedzialność za dane osobowe, które przetwarza, także gdy decyduje się je przesyłać za pośrednictwem operatora pocztowego.
