Kiedy mamy do czynienia z naruszeniem ochrony danych osobowych
W pierwszej kolejności należy ustalić, czy wystąpiło naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Zgodnie z tą definicją, naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące m.in. do nieuprawnionego ujawnienia lub dostępu do danych osobowych.
W praktyce o „wycieku” można mówić wtedy, gdy dane trafiają do osób nieuprawnionych albo gdy uzyskują do nich dostęp osoby, które nie powinny ich znać w danym zakresie.
Masz problem prawny? Kliknij tutaj i zapytaj prawnika ›
Czy wewnętrzne ujawnienie danych w zarządzie oznacza naruszenie
W opisanej sytuacji dokumenty trafiły do członków zarządu, a więc do osób działających w ramach organizacji. To jednak nie przesądza, że naruszenia nie było. Kluczowe jest, czy każdy członek zarządu był upoważniony i miał uzasadnioną potrzebę dostępu do pełnego zakresu danych innych członków, zwłaszcza takich jak login do bankowości.
Jeżeli login (nawet bez hasła) oraz pozostałe dane nie były niezbędne do realizacji celu, jakim było podpisanie dokumentów, a ich ujawnienie wykraczało poza zasadę ograniczenia dostępu w organizacji, zdarzenie może zostać potraktowane jako incydent naruszający poufność danych.
Znaczenie zakresu danych i zasady minimalizacji
W dokumentach znalazły się dane o wysokiej wartości identyfikacyjnej (np. numer PESEL) oraz informacja związana z dostępem do usług finansowych (login). Sam login bez hasła zwykle nie umożliwia zalogowania, ale w połączeniu z innymi informacjami może zwiększać ryzyko nadużyć, choćby w scenariuszach socjotechnicznych.
Warto też zwrócić uwagę na zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO). Powstaje uzasadniona wątpliwość, czy bank powinien był umieszczać w dokumentach tak szeroki zakres danych wszystkich członków zarządu, zwłaszcza jeśli nie było to konieczne do podpisu.
Ocena ryzyka i decyzja, czy zgłaszać sprawę do UODO
Administrator danych ma obowiązek niezwłocznie ocenić incydent i ryzyka dla praw lub wolności osób fizycznych. Z perspektywy art. 33 RODO istotne jest, czy naruszenie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
W tej sprawie mocnym argumentem za niskim ryzykiem jest to, że dane nie zostały ujawnione publicznie ani nieznanym podmiotom, tylko ograniczonemu, zidentyfikowanemu gronu osób wewnątrz organizacji. To zwykle obniża prawdopodobieństwo realnej szkody. Z drugiej strony, sam fakt niecelowego ujawnienia loginu i pełnych danych identyfikacyjnych może wymagać potraktowania zdarzenia jako naruszenia i udokumentowania go.
Jeżeli po analizie uznacie, że ryzyko jest niskie, może nie powstać obowiązek zgłoszenia naruszenia do Prezesa UODO, ale nadal należy zachować dokumentację. Jeżeli jednak macie wątpliwości co do oceny ryzyka lub obawiacie się eskalacji konfliktu, dopuszczalne jest rozważenie zgłoszenia, aby wykazać dochowanie należytej staranności.
Potrzebujesz pomocy prawnika? Kliknij tutaj i opisz swój problem ›
Dokumentacja i działania organizacyjne po incydencie
Niezależnie od tego, czy finalnie zdecydujecie się na zgłoszenie, należy:
-
udokumentować zdarzenie w rejestrze naruszeń, opisując okoliczności, zakres danych, krąg odbiorców i podjęte działania,
-
zabezpieczyć dokumenty, aby nie doszło do dalszego rozpowszechniania,
-
wewnętrznie wyjaśnić sprawę w zarządzie, aby ograniczyć napięcia i pokazać, że sytuacja jest obsłużona zgodnie z procedurami,
-
skontaktować się z bankiem i zwrócić uwagę na nadmiar danych w przekazanych dokumentach, w tym na potrzebę ograniczenia zakresu danych w przyszłości.
Jeżeli w stowarzyszeniu działa inspektor ochrony danych, warto go zaangażować w ocenę incydentu oraz w przygotowanie dokumentacji.
Relacja z bankiem jako odrębnym administratorem
Bank co do zasady działa jako odrębny administrator danych w zakresie prowadzenia relacji bankowej. Jeżeli to bank przygotował dokumenty w sposób ujawniający nadmiar danych, bank również powinien rozważyć ten incydent w swoich procesach. Z perspektywy stowarzyszenia kluczowe jest jednak własne udokumentowanie zdarzenia i ocena, czy w ramach organizacji doszło do nieuprawnionego dostępu.
Podsumowanie
Sytuacja może zostać uznana za naruszenie ochrony danych osobowych, ponieważ doszło do ujawnienia w ramach zarządu informacji, które mogły wykraczać poza niezbędny zakres, w szczególności loginów do bankowości. Jednocześnie okoliczności wskazują, że ryzyko negatywnych konsekwencji dla osób jest raczej niskie, bo dane nie trafiły do nieznanych odbiorców ani poza organizację. Niezależnie od decyzji o zgłoszeniu do UODO, zdarzenie powinno zostać formalnie ocenione i udokumentowane. Rekomendowane jest także podjęcie działań organizacyjnych i kontakt z bankiem w celu ograniczenia podobnych sytuacji w przyszłości.
Przykłady
Przykład 1
Stowarzyszenie otrzymuje z banku zbiorczy dokument do podpisu, w którym widnieją pełne dane identyfikacyjne wszystkich członków zarządu, mimo że do podpisu wystarczyłby tylko imienny wykaz i funkcje. Zarząd dokumentuje incydent i prosi bank o zmianę wzoru, wskazując na zasadę minimalizacji danych.
Przykład 2
Członek zarządu otrzymuje e-mailem załącznik z danymi innych osób i przekazuje go dalej innym członkom „dla wygody”. W ramach oceny incydentu zarząd wprowadza zasadę, że wrażliwe załączniki są udostępniane wyłącznie w trybie indywidualnym oraz zabezpieczone hasłem.
Przykład 3
W organizacji pojawia się spór, czy doszło do naruszenia, i jeden z członków zapowiada skargę. Zarząd przygotowuje notatkę z analizy ryzyka, wpis do rejestru naruszeń oraz korespondencję do banku, aby w razie kontroli wykazać rozliczalność i adekwatne działania.
Oferta porad prawnych
W ramach porad prawnych analizujemy incydenty RODO, przygotowujemy ocenę ryzyka, wpisy do rejestru naruszeń oraz pomagamy w opracowaniu pism do banku lub zgłoszeń do Prezesa UODO, jeśli są zasadne. Wspieramy również w tworzeniu i aktualizacji procedur ochrony danych w organizacjach.
.jpg)
Cesja kredytu na faktycznego kredytobiorcę .jpg "Obowiązek alimentacyjny wobec dziadka, kolejność i odpowiedzialność krewnych")
.jpg "Wjazd obywatela Kolumbii do Polski w celu pracy, ruch bezwizowy, wiza, legalność pobytu i zatrudnienia")
