Co to jest naruszenie ochrony danych osobowych
Naruszeniem ochrony danych jest naruszenie bezpieczeństwa, które prowadzi do:
- przypadkowego lub niezgodnego z prawem zniszczenia, utracenia danych osobowych (naruszenie dostępności),
- przypadkowego lub niezgodnego z prawem zmodyfikowania danych osobowych (naruszenie integralności),
- nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych (naruszenie poufności).
Naruszenie może wynikać zarówno z przyczyn leżących po stronie administratora, jak i z powodów od niego niezależnych.
Ważne jest, by administrator odpowiednio zabezpieczył dane, przewidując różne scenariusze.
Przykład
Pracownik wysyła załącznik z projektem umowy, który zawiera dane osobowe klienta, do innej osoby. W efekcie ta osoba mogła zapoznać się z danymi osobowymi klienta.
Tutaj trzeba położyć nacisk na słowo „odpowiednio", ponieważ administrator powinien dostosować poziom zabezpieczeń do:
- stanu wiedzy technicznej,
- kosztu wdrażania oraz
- charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
Znaczy to, że inne obowiązki ciążą na banku, który przetwarza szeroki zakres danych osobowych setek tysięcy osób, a inne na małej lokalnej firmie, która produkuje meble i przetwarza dane klientów niezbędne do wykonania zleceń.
Skąd dowiesz się o naruszeniu ochrony swoich danych osobowych
Najczęściej źródłem informacji o naruszeniu będą:
- administrator, u którego doszło do naruszenia,
- media,
- osoba lub podmiot, który uzyskał Twoje dane osobowe w wyniku naruszenia.
Może być jednak i tak, że nie dowiesz się o naruszeniu ochrony Twoich danych osobowych. Co więcej, w niektórych przypadkach administrator nie ma obowiązku zawiadomić Cię o naruszeniu. Zależy to od tego, jak istotne ryzyko rodzi naruszenie.
Ważne
Administrator musi zweryfikować i ocenić wagę każdego naruszenia. Jeżeli ustali, że naruszenie powoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych, wówczas powinien Cię o nim zawiadomić.
Czasem administratorzy zawiadamiają osoby o mniej istotnych naruszeniach, dając im w ten sposób szansę na podjęcie kroków, które pomogą im zabezpieczyć ich interesy, pomimo ograniczonego ryzyka.
Czy musisz zgłosić naruszenie inspektorowi ochrony danych administratora albo do PUODO
Nie, na Tobie nie ciąży taki obowiązek. Jeżeli jednak masz informacje o naruszeniu, to inspektor ochrony danych może być dla Ciebie źródłem dodatkowych informacji. Może też pomóc rozwiać Twoje wątpliwości.
Jeżeli chodzi o poinformowanie PUODO - czyli Prezesa Urzędu Ochrony Danych Osobowych - to oczywiście możesz to zrobić. Nie jest jednak wykluczone, że administrator sam zgłosił naruszenie, choć trzeba pamiętać, że nie musi tego robić, jeżeli waga naruszenia jest niska.
Czy musisz podjąć dodatkowe czynności
Zasadniczo nie masz takiego obowiązku. Jednak niekiedy podjęcie dodatkowych kroków może zabezpieczyć Cię przed ewentualnymi skutkami naruszeń. Administrator podejmie (a przynajmniej powinien) kroki, które powinny zmniejszyć ryzyko naruszenia Twoich praw i wolności, jednak nie jest w stanie zapobiec wszystkim skutkom naruszenia ochrony danych. Może natomiast zaproponować Ci odpowiednie działania, zawiadamiając Cię o naruszeniu.
Przykład
Administrator zawiadomił Cię, że hakerzy uzyskali dostęp do przechowywanych przez niego danych, które są zawarte w umowach, w tym Twoich. Wśród nich są: imiona i nazwiska, adres zamieszkania, PESEL i numer dowodu osobistego. Przy takim zestawie ujawnionych danych powinno się rozważyć przede wszystkim niezwłoczne zastrzeżenie numeru PESEL i dowodu osobistego
Zakres czynności, które możesz podjąć, zależy przede wszystkim od tego:
- co wiesz o naruszeniu,
- jak istotny zakres danych został ujawniony, zmieniony lub utracony,
- ile osób uzyskało dostęp do Twoich danych,
- jakie są skutki zdarzenia dla Ciebie (np. brak możliwości korzystania z określonych usług),
- czy osoby odpowiedzialne za naruszenie działały intencjonalnie.
Musisz także mieć na uwadze, że administrator może poinformować Cię o całym szeregu potencjalnych skutków naruszenia. Miej jednak świadomość tego, że nie każdy z nich rzeczywiście musi nastąpić.
Najgorsze, co możesz zrobić, to ulec panice i podejmować decyzje pod wpływem emocji.
Jakie działania możesz podjąć - przykłady
Katalog działań, które możesz podjąć, zależy od rodzaju naruszenia. Poniżej prezentujemy przykłady czynności, które mogą pomóc Ci zminimalizować skutki naruszenia, gdy wyciekną Twoje newralgiczne dane, takie jak:
Numer Twojego dowodu osobistego:
- możesz zastrzec dowód osobisty w dowolnym banku lub korzystając z usługi Biura Informacji Kredytowej;
Twój PESEL:
- możesz zastrzec swój PESEL w aplikacji mObywatel lub w urzędzie gminy;
Numer Twojej karty płatniczej oraz kod CVV:
- możesz zastrzec kartę, korzystając z bankowości elektronicznej lub dzwoniąc na infolinię swojego banku. W ten sposób można zastrzec kartę w dowolnym momencie, 24 godziny 7 dni w tygodniu. Można też wykorzystać uniwersalny, międzybankowy System Zastrzegania Kart, dzwoniąc pod (+48) 828 828 828.
Czy przysługuje Ci rekompensata za naruszenie RODO
Wielu osobom wydaje się, że naruszenie ochrony danych skutkuje łatwą możliwością uzyskania zadośćuczynienia od administratora. Niestety, rzeczywistość jest zgoła odmienna. Szerzej o zadośćuczynieniach piszemy tutaj: Zadośćuczynienie z tytułu naruszenia RODO – czy to możliwe?
Ogólne wnioski są jednak takie, że krzywda osób, będących ofiarami naruszeń ochrony danych, jest wyceniana przez sądy relatywnie nisko. O ile oczekiwania z reguły oscylują w okolicach kilkudziesięciu tysięcy, o tyle ostatecznie zasądzane zadośćuczynienia raczej nie przekraczają kwoty 1-2 tysięcy złotych.
Podsumowanie
Gdy uzyskasz informację o naruszeniu, przydatne może być odpowiedzenie sobie na następujące pytania:
- W jaki sposób mogę odczuć skutki naruszenia?
- Co o mnie wie osoba, która otrzymała dane?
- Co może zrobić przy ich użyciu?
- W czym brak dostępu do danych utrudnia mi życie?
- Jakie znam metody, żeby temu zapobiec?
- Czy potrzebuję pomocy specjalisty?
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Czy administrator zawsze musi podjąć wszelkie możliwe działania, by zapobiec naruszeniom?