W październiku kontynuujemy serię poświęconą pojęciom, które zostały przez prawodawcę unijnego zdefiniowane w art. 4 RODO. Niniejszy odcinek newsletteru zostanie poświęcony bardzo ważnemu pojęciu, jakim jest „naruszenie ochrony danych osobowych”.
Właściwe rozumienie tego pojęcia jest istotne, ponieważ zależy od tego prawidłowe wypełnienie obowiązków opisanych w art. 33 i 34 RODO (które będą tematem późniejszych odcinków newsletteru).
DEFINICJA „NARUSZENIA OCHRONY DANYCH OSOBOWYCH”
Zgodnie z art. 4 pkt. 12 RODO „naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Powyższa definicja składa się z trzech elementów, które muszą wystąpić jednocześnie.
ELEMENTY SKŁADAJĄCE SIĘ NA „NARUSZENIE OCHRONY DANYCH OSOBOWYCH”
Pierwszym elementem składającym się na „naruszenie ochrony danych osobowych” jest związek z czynnością przetwarzania danych osobowych, która była tematem Komunikatu IOD-y 2024 III. Co prawda każda czynność wykonywana na danych osobowych może wiązać się z naruszeniem ich ochrony, jednakże w przypadku gdy nie przetwarzamy danych dotyczących osób fizycznych, nie może dość do naruszenia opisanego powyższą definicją.
Drugim elementem składowym przedmiotowego pojęcia jest naruszenie bezpieczeństwa. W praktyce oznacza to naruszenie zasad lub mechanizmów wdrożonych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
Ostatnim elementem definicji jest zaistnienie skutku w postaci „przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”.
Według dr hab. M. Sakowkiej-Baryła „Sytuacja, w której spełnione zostały dwie pierwsze przesłanki, ale nie wystąpi trzecia, może być kwalifikowana jedynie jako naruszenie zasad przetwarzania określonych w RODO i nie będzie powodowała uruchomienia art. 33 i 34 RODO (chodzi tu np. o sytuację, w której dojdzie do pomyłkowego przekazania pakietu danych osobowych w ręce podmiotu nieuprawnionego, ale adresat go nie odbierze, lub wysłania takiego pakietu na nieistniejący adres, co powodować będzie zwrot przesyłek)” M. Sakowska – Baryła [w:] „Ogólne rozporządzenie o ochronie danych osobowych. Komentarz”).
NARUSZENIE OCHRONY DANYCH OSOBOWYCH A INCYDENT
Jak wskazuje Grupa Robocza Art. 29 w Wytycznych WP 250 rev. 01 naruszenie ochrony danych osobowych „jest rodzajem incydentu bezpieczeństwa“. Według dr P. Litwińskiego powołującego się na powyższe wytyczne „(…) tym, co umożliwia odróżnienie incydentu od naruszenia, jest wystąpienie sytuacji, w której administrator danych nie jest w stanie zapewnić zgodności przetwarzania danych osobowych z zasadami wynikającymi art. 5 RODO. Stąd choć wszystkie przypadki naruszenia ochrony danych osobowych są incydentami bezpieczeństwa, nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych” (P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021).
TYPY NARUSZEŃ
W Wytycznych WP 250 Grupa Robocza Art. 29 wskazuje na trzy typy naruszeń ochrony danych osobowych:
- naruszenie poufności danych – jest to incydent, w wyniku którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych (np. wysyłka wiadomości zawierającej dane osobowe do nieuprawnionego odbiorcy);
- naruszenie integralności danych – jest to zdarzenie, w wyniku którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych (przykładowo gdy pracownik wpisując imię i nazwisko klienta popełnia błąd, w wyniku którego zamiast „Jan Kowalski” do bazy danych wprowadzony zostaje „Jan Kowalewski”);
- naruszenie dostępności danych – jest to sytuacja, w wyniku której dochodzi do przypadkowego lub nieuprawnionego zniszczenia bądź utraty dostępu do danych osobowych (przykładowo zgubienie nośnika typu pendrive zawierającego dane osobowe, dla których nie wykonano kopii zapasowej, ale również awaria i czasowa niedostępność systemu, w którym przechowywane są dane istotne z perspektywy czynności przetwarzania lub dla podmiotu danych).
Natomiast w praktyce mogą zdarzyć się sytuacje, kiedy naruszenie można zakwalifikować jednocześnie do więcej niż jednego wskazanego powyżej typu.