Polityka i prawo
UODO podpowiada jak prawidłowo zawiadamiać o naruszeniu ochrony danych osobowych
Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony danych osobowych musi odnosić się do konkretnej sytuacji i być zgodne z zasadą przejrzystości - podkreśla UODO.
Analiza wpływających do Urzędu Ochrony Danych Osobowych zgłoszeń naruszenia ochrony danych osobowych dowodzi, że jedynie część administratorów starannie wywiązuje się z obowiązku zawiadamiania o takich sytuacjach osoby, których naruszenia dotyczą, i robi to w sposób przejrzysty i zrozumiały. Rzetelnie opisują, co się zdarzyło, z jakich przyczyn oraz jakich kategorii danych dotyczyło naruszenie. Adekwatnie do zdarzenia wskazują, jakie mogą być negatywne jego konsekwencje oraz co osoba może zrobić, aby je ograniczyć.
Ze zgłoszeń naruszeń wynika też, że niektórzy administratorzy potrafią ograniczyć występowanie podobnych zdarzeń w przyszłości, wdrażając w tym celu przemyślane rozwiązania (np. skuteczne procedury weryfikacji poprawności danych kontaktowych swoich klientów).
Jednak duża część administratorów wciąż nie w pełni rozumie, jaki jest cel obowiązków określonych w art. 33 i 34 ogólnego rozporządzenia o ochronie danych (RODO) i w konsekwencji nie podchodzi do ich realizacji w sposób odpowiedzialny.
Często zdarza się, że ich zawiadomienia kierowane do osób są napisane ogólnikowo, według standardowych szablonów, nieadekwatnych do danego przypadku i kategorii danych, których dotyczyło naruszenie. Wskazywane osobom zalecenia nie odpowiadają charakterowi naruszenia, a tym samym nie są im przydatne.
Zdarza się też, że zawiadomienia te zawierają sprzeczne informacje. Przykładowo, w pierwszej części zawiadomienia administrator informuje, że stwierdził naruszenie powodujące wysokie ryzyko naruszenia praw danej osoby, w dalszej części powiadomienia wskazuje zaś, że zdarzenie to nie może powodować żadnych negatywnych konsekwencji dla tej osoby. Takie zawiadomienia nie spełniają swojej funkcji i są niezgodne z prawem.
Konieczne elementy zawiadomienia
W sytuacji gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, administrator – zgodnie z art. 34 ust. 1 RODO – zobowiązany jest bez zbędnej zwłoki zawiadomić ją o takim naruszeniu. Zawiadomienie musi obejmować:
- opis charakteru naruszenia (np. przedstawienie okoliczności wystąpienia naruszenia wraz z opisem kategorii danych);
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został
on wyznaczony) lub innego punktu kontaktowego, od którego można uzyskać więcej informacji; - opis możliwych konsekwencji naruszenia ochrony danych osobowych (np. możliwość zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych);
- opis środków zastosowanych i proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego ewentualnych negatywnych skutków (np. poinformowanie o możliwości założenia konta w systemie informacji kredytowej celem monitorowania aktywności kredytowej).
Zawiadomienie o naruszeniu a zasada przejrzystości
Zawiadomienie powinno być napisane przejrzystym, zrozumiałym językiem zgodnie z art. 12 ust. 1 RODO. Należy zatem używać zwrotów bezpośrednich, np.:
- „Podajemy informacje o krokach, które może Pani podjąć w związku z incydentem”;
- „Następstwem naruszenia ochrony Pana danych osobowych może być założenie na Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej)”.
Grupa Robocza Art. 29* w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01) podkreśla, że „najważniejsze, aby osoby, których dane dotyczą, zrozumiały charakter naruszenia i wiedziały, co muszą zrobić, aby się zabezpieczyć”.
Dlatego komunikat kierowany do osoby musi być jasny, spójny i logiczny oraz zawierać dostosowany do konkretnej sytuacji opis możliwych skutków oraz korespondujące z nim zalecenia dla osoby fizycznej (np. jeżeli naruszenie wiąże się z ryzykiem zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych, warto wskazać na możliwość założenia konta w systemie informacji kredytowej, aby monitorować aktywność kredytową).
Żeby zapewnić przejrzystość zawiadomienia, zalecane jest uwzględnienie oddzielenia opisu i charakteru naruszenia od możliwych konsekwencji, środków zaradczych czy danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.
Wybór skutecznej formy
Mając na względzie znaczenie zawiadomienia, powinno być ono sporządzone w formie, która umożliwi podmiotowi danych na wielokrotne zapoznanie się z jego treścią. Wybierając środek komunikacji, trzeba pamiętać, że zawiadomienie musi zostać dostarczone adresatowi w możliwie najkrótszym czasie.
Do przykładów przejrzystych metod zawiadamiania należą:
- komunikacja bezpośrednia (np. bezpośrednie wiadomości e-mail lub SMS),
- zwracające na siebie uwagę bannery,
- powiadomienia na stronach internetowych lub reklamy w mediach drukowanych.
Administrator powinien wybrać taki sposób zawiadomienia, który zapewni jak największą szansę właściwego przekazania informacji wszystkim osobom fizycznym, na które to naruszenie wywiera wpływ. W niektórych przypadkach może to oznaczać, że administrator powinien skorzystać z różnych metod komunikacji, a nie tylko jednego kanału informacyjnego.
Wyjątek od zasady bezpośredniego powiadomienia
Administrator powiadamia osoby, których dane naruszono bezpośrednio, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą (art. 34 ust. 3 lit. c RODO).
Jeżeli administrator zamierza powołać się na wyjątek od ogólnej zasady indywidualnego zawiadamiania osób o naruszeniu, wskazane jest przeprowadzenie wnikliwej analizy całokształtu okoliczności sprawy. Zgodnie z art. 5 ust. 2 RODO, powołując się na wskazany wyjątek, administrator musi umieć wykazać, że indywidualne zawiadomienie osób, których dane dotyczą, z przyczyn obiektywnych jest utrudnione lub niemożliwe.
Administrator, decydując się na wydanie publicznego komunikatu lub innego adekwatnego środka w celu skutecznego zawiadomienia osób o naruszeniu, powinien porównać wysiłek wkładany w udzielenie informacji bezpośrednio osobie, której dane dotyczą, z konsekwencjami i skutkami dla tej osoby.
Do powiadamiania osób, których dane naruszono, administrator powinien stosować komunikaty dedykowane, które nie powinny być przesyłane razem z innymi informacjami, np. newsletterem czy standardową wiadomością. Pomoże to przekazać informacje o naruszeniu w jasny i przejrzysty sposób. Powiadomienia ograniczającego się do komunikatu prasowego czy firmowego bloga nie uznaje się za skuteczne poinformowanie osoby fizycznej o naruszeniu.