Jak liczyć termin 72 godzin na zgłoszenie incydentu ochrony danych osobowych

Obowiązek zgłaszania naruszenia ochrony danych osobowych został wprowadzony przepisami RODO. Jest to jeden z najistotniejszych obowiązków, jaki został nałożony na administratorów danych, przede wszystkim w celu ograniczenia negatywnych konsekwencji incydentu ochrony danych osobowych dla osób, których dane dotyczą. Jednak chociaż przepisy RODO obowiązują już ponad rok, wciąż ich praktyczne zastosowanie budzi wiele kontrowersji. Jedną ze spornych kwestii jest czas, w jakim administratorzy muszą zgłaszać naruszenia oraz sposób, w jaki należy liczyć termin na zgłoszenie incydentu ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych.

W celu udzielenia odpowiedzi na pytanie, jak liczyć termin na zgłoszenie incydentu ochrony danych osobowych, trzeba najpierw ustalić, czym w ogóle jest incydent podlegający zgłoszeniu organowi nadzorczemu i w którym momencie dochodzi do takiego naruszenia.

Zgodnie z definicją zawartą w RODO: „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

W praktyce oznacza to każdą sytuację, w której dojdzie do:

  • naruszenia poufności (nieuprawnione ujawnienie lub nieuprawniony dostępu do danych osobowych),
  • naruszenia dostępności (zniszczenie lub utracenie danych osobowych),
  • naruszenia integralności (nieuprawnione zmodyfikowanie danych osobowych).

Wskazówka!

Przykładowymi incydentami naruszenia danych osobowych mogą być:

  • kradzież/zgubienie dokumentów, pendrive’ów, laptopów,
  • włamania do pomieszczeń,
  • zalania/zniszczenia dokumentów, pendrive’ów, laptopów,
  • awarie systemów informatycznych.
  •  

W tym miejscu należy wskazać, że art. 33 ust. 1 mówi o zgłoszeniu naruszenia ochrony danych „bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia”, a zatem administrator danych powinien liczyć termin 72 godzin od chwili, w której stwierdzi, że doszło do incydentu.We wszystkich tych przypadkach, kiedy dochodzi do naruszenia ochrony danych osobowych, zanim administrator zgłosi taki incydent, musi być w stanie najpierw sam go stwierdzić. Wbrew pozorom nie zawsze jest to proste. Oczywiście są sytuacje, które można stosunkowo łatwo ocenić pod kątem ewentualnego naruszenia ochrony danych osobowych. Przede wszystkim są to wszelkiego rodzaju fizyczne przełamania środków bezpieczeństwa,
np. włamanie do siedziby administratora danych lub kradzież nośników danych. Dużo trudniejsze jest np. stwierdzenie włamania do sytemu informatycznego. Wszystko zależy od stosowanych systemów, ich monitorowania i wdrożonych zabezpieczeń. W zaawansowanych systemach większość ataków czy prób dokonania ataku powinna być dość łatwa do stwierdzenia. Są systemy, które same ostrzegają przed niepożądanym działaniem użytkowników czy też osób trzecich. Może się jednak zdarzyć, że administrator (albo osoby odpowiedzialnie za kwestie bezpieczeństwa informatycznego) nie zauważą włamania do sytemu (np. gdy sprawca użyje zawansowanych narzędzi do obejścia wdrożonych zabezpieczeń. Z różnych powodów, czasem bardzo prozaicznych, może dojść do sytuacji, w której naruszenie ochrony danych nie zostanie zauważone (np. „znikną” pendrive’y z danymi osobowymi, które były w zamykanej szafie, do której nikt nie zaglądał przez kilka dni).

Trzeba jednak pamiętać, że takie podejście nie zwalnia administratora od stałego monitorowania procesów przetwarzania danych oraz wdrożenia odpowiednich procedur pozwalających wykrywać incydenty naruszenia bezpieczeństwa danych osobowych. W motywie 88 RODO wskazano, że przy określaniu szczegółowych przepisów o formie i procedurach mających zastosowanie do zawiadamiania o naruszeniu ochrony danych osobowych należy wziąć pod uwagę okoliczności naruszenia, w tym fakt, czy dane osobowe były zabezpieczone odpowiednimi technicznymi środkami ochrony skutecznie ograniczającymi prawdopodobieństwo oszustwa dotyczącego tożsamości lub innych form nadużycia. W tych przepisach i procedurach należy ponadto uwzględnić prawnie uzasadnione interesy organów ścigania, jeżeli przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia ochrony danych osobowych.

W tym celu konieczne jest przede wszystkim przeszkolenie osób upoważnionych do przetwarzania danych osobowych, tak aby zwracały uwagę na sytuacje mogące stanowić naruszenia bezpieczeństwa danych osobowych (przebywanie osób nieupoważnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe, zgubienie dokumentów itp.). Konieczne jest także wdrożenie narzędzi, które pozwolą w odpowiedni sposób monitorować systemy informatyczne, tak aby ewentualne zagrażania zostały zauważone. Oczywiście, poziom takich narzędzi zależy od stosowanych systemów oraz rodzaju przetwarzanych danych. W mniejszych podmiotach, gdzie nie przetwarza się danych szczególnych kategorii, wystarczające może okazać się zainstalowanie odpowiednich programów antywirusowych. Natomiast przy bardziej złożonych systemach rodzaj stosowanych narzędzi powinien zostać dobrany do stwierdzonych, potencjalnych zagrożeń.

Wskazówka!

Termin 72 godzina na zgłoszenie naruszenia Prezesowi Urzędu Ochrony Danych Osobowych jest liczony od momentu stwierdzenia naruszenia. Jednak nie zwalnia to administratorów danych od monitorowania procesów przetwarzania danych, a w uzasadnionych sytuacjach od wdrożenia narzędzi, które pomogą prowadzić taki nadzór oraz będą wykrywać potencjalne zagrożenia.