Współczesna organizacja to nie tylko mury i systemy IT – to przede wszystkim potężne zbiory informacji o ludziach: naszych klientach, partnerach i o nas samych. W świecie RODO ochrona tych zasobów nie jest już tylko zadaniem działu prawnego, ale codziennym testem czujności każdego pracownika. Co się dzieje, gdy system zawiedzie? Jak odróżnić incydent od naruszenia i dlaczego transparentność wobec Urzędu Ochrony Danych Osobowych (UODO) jest tańsza niż milczenie?

Aby dobrze reagować, musimy zrozumieć definicję. Naruszenie ochrony danych osobowych to nie tylko kradzież bazy przez hakerów. To każde zdarzenie, które uderza w triadę bezpieczeństwa:

1. Poufność – dane trafiły do kogoś, kto nie powinien ich widzieć (np. błędny e-mail).

2. Dostępność – dane zniknęły lub zostały zablokowane (np. awaria serwera, zgubienie jedynej kopii dokumentacji).

3. Integralność – dane zostały nieuprawnienie zmienione (np. ktoś celowo lub przez błąd zmodyfikował kwoty w systemie płacowym).

Z punktu widzenia przepisów dotyczących ochrony danych osobowych, naruszenie ma miejsce wtedy, gdy dochodzi do „prawdopodobieństwa ryzyka naruszenia praw lub wolności osób fizycznych”. Naruszenie praw lub wolności osób fizycznych to sytuacja, w której w wyniku incydentu związanego z danymi osobowymi (np. wycieku, zgubienia laptopa czy błędnego wysłania e-maila) powstaje realne zagrożenie dóbr osobistych, finansów lub bezpieczeństwa podmiotu danych. To kluczowe sformułowanie oznacza, że nie oceniamy tylko tego, co się stało, ale co może się stać z osobą, której dane dotyczą.

Decyzja o zgłoszeniu naruszenia do organu nadzorczego nie jest podejmowana „na oko”. Inspektor Ochrony Danych (IOD) stosuje rygorystyczne metodologie oceny. Istnieją różne metody przeprowadzania analizy ryzyka naruszenia praw i wolności osób, których dotyczą naruszenia. W praktyce najczęściej jednak stosuje się analizę ryzyka według ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa). To uznana metodyka służąca przede wszystkim do oceny wagi naruszeń ochrony danych osobowych. Pozwala ona administratorom danych w sposób obiektywny zdecydować, czy o danym incydencie należy powiadomić organ nadzorczy oraz osoby, których dane dotyczą.

UODO nakłada surowe kary, gdy administratorzy lekceważą potencjalne skutki. Przykładem jest głośna sprawa jednego z polskich banków, który nie zgłosił zgubienia dokumentów kredytowych. Argumentacja banku: „przecież nikt ich nie znalazł i nie wykorzystał”. Argumentacja UODO: „Samo porzucenie dokumentów z numerem PESEL i adresem stwarza ryzyko kradzieży tożsamości. Administrator nie musi czekać, aż ktoś weźmie kredyt na cudze nazwisko, by zgłosić problem”.

Jeszcze niedawno przyjmowało się, że oszacowanie niskiego ryzyka nie powoduje konieczności zgłaszania naruszenia do Urzędu, jednak ostatnio interpretacja UODO wskazuje, że zgłoszenia wymagają wszystkie naruszenia, które generują jakiekolwiek ryzyko dla podmiotu danych. Przykładem może być tutaj korespondencja Urzędu w jednaj sprawie, gdzie organ nadzorczy zwraca uwagę „że zgodnie z art. 33 ust. 1 Rozporządzenia, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Oznacza to nie tyle, że naruszenia nie trzeba zgłaszać, jeśli ryzyko naruszenia praw i wolności osób fizycznych jest małe lub nieistotne, lecz raczej, że nie wymagają zgłoszenia naruszenia ochrony danych osobowych, w przypadku których ryzyko (jakiekolwiek) prawdopodobnie nie wystąpi. Są to jednak wyjątkowe sytuacje, a administratorzy muszą być w stanie wykazać brak ryzyka”.

Z obowiązku zgłoszenia naruszenia zwalniają administratora tylko sytuacje, w których systemy obronne zadziałały poprawnie. Jeśli pracownik gubi służbowy smartfon, który jest zabezpieczony silnym hasłem, zdalnie zablokowany i posiada zaszyfrowaną pamięć, uznajemy, że dane są zabezpieczone przed „przypadkowym znalazcą”.

Największym wrogiem ochrony danych w firmie nie jest haker, lecz strach pracownika. Obawa przed konsekwencjami służbowymi powoduje, że incydenty są ukrywane. Tymczasem RODO to system oparty na zaufaniu i rozliczalności.

W jednej z decyzji UODO podkreślono, że administrator spóźnił się ze zgłoszeniem, bo pracownik poinformował o zgubieniu teczki z dokumentami dopiero po tygodniu. Urząd nie uznał tego za usprawiedliwienie – organizacja musi mieć taką kulturę pracy, by pracownik wiedział, że szybkie zgłoszenie błędu to ochrona firmy, a nie przyznanie się do winy.

Ochrona danych to proces ciągły. Każda aktualizacja oprogramowania, każde szkolenie i każda zniszczona w niszczarce kartka to cegiełka w murze bezpieczeństwa organizacji. Należy pamiętać:

• Błąd to rzecz ludzka, ale zatajenie błędu to ryzyko dla całej firmy.

• IOD to Twój partner, a nie kontroler. Jego zadaniem jest pomóc Ci naprawić sytuację.

• Transparentność buduje zaufanie. Klienci wybaczą nam błąd, jeśli zareagujemy profesjonalnie. Nie wybaczą nam, jeśli o wycieku dowiedzą się z mediów zamiast od nas.