Decyzją z dnia 22 kwietnia 2021 roku PUODO nałożył karę pieniężną w wysokości 1,1 mln zł na Cyfrowy Polsat S.A. tytułem niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z firmą kurierską przez szybką identyfikację naruszeń ochrony tych danych. Jednym z aspektów, nad którym pochylił się PUODO, jest stworzenie rekomendacji w zakresie dokonywania oceny wagi naruszeń.

 

Prezes Urzędu Ochrony Danych Osobowych (PUODO) udzielił rekomendacji, by w procesie zgłaszania naruszeń danych osobowych do organu nadzorczego oraz w procedurze zgłaszania naruszeń podmiotom danych osobowych korzystać z metody stworzonej przez ENISA. Wg Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), waga naruszenia danych osobowych powinna pozostawać w ścisłym związku z potencjalnym wpływem na prawa lub wolności osób, których naruszenie dotyczy.

 

Wagę naruszeń można obliczyć z uwzględnieniem następujących czynników: 

  • Kontekst Przetwarzania Danych (KPD) – pozwala na określenie, jakie kategorie danych są związane z naruszeniem (np. podstawowe, szczególne, finansowe, poufne) oraz czynniki mające wpływ na ten kontekst (np. czas trwania naruszenia, zakres danych, liczba osób, których dotyczy naruszenie, publiczna dostępność danych);
  • Prawdopodobieństwo Identyfikacji (PI) – umożliwia wskazanie stopnia łatwości zidentyfikowania osoby, której naruszone dane dotyczą przez osobę, która weszła w ich posiadanie;
  • Okoliczności Naruszenia (ON) – ułatwia ustalenie czy wystąpiły takie okoliczności, jak naruszenie poufności, integralności, dostępności danych osobowych, a także czy sprawca działał intencjonalnie.

PUODO w wyżej wspomnianej decyzji wskazuje, iż nie jest wystarczające zastosowanie powyżej opisanej metody. Konieczne jest wskazanie przyjętych przez spółkę kryteriów oceny ryzyka, uwzględniających specyfikę funkcjonowania administratora. W opinii PUODO, ocena przeprowadzona przez spółkę nie zawierała dostatecznego uzasadnienia przyjętych na jej potrzeby kryteriów. Tym samym, każdy z administratorów powinien dokonać analizy przetwarzanych danych, z uwzględnieniem ich charakteru, skali naruszenia oraz możliwych negatywnych  skutków  dla  podmiotów  danych.  Kluczowym czynnikiem  jest  natomiast  rodzaj i wrażliwość danych osobowych. Im większa wrażliwość danych, tym większe ryzyko powstania szkody dla osób, których naruszenie dotyczy. Do kategorii takich danych zaliczyć można te, które dotyczą m.in. zdrowia, dokumenty tożsamości, czy też dane finansowe (np. dane kart kredytowych), gdyż ich ujawnienie innej osobie może skutkować nawet kradzieżą tożsamości. 

 

PUODO nie zgodził się zatem ze stanowiskiem spółki, jakoby przekazywanie przesyłek, których nadawcą był Cyfrowy Polsat S.A. osobom innym, aniżeli ich adresaci, a ponadto kradzież takich przesyłek bądź ich zgubienie były zdarzeniami o niskim stopniu ryzyka naruszenia danych. 

 

Metoda opracowana przez ENISA jest przydatna przy ocenie ryzyka naruszenia danych osobowych, jednakże należy ją przeprowadzić rzetelnie i precyzyjnie, z uwzględnieniem każdego czynnika wpływającego na kontekst naruszenia. Wówczas może ona stanowić podstawę podjęcia decyzji
w przedmiocie dokonania zgłoszenia takiego naruszenia do odpowiedniego organu oraz powiadomienia o nim podmiotów danych.

 

Zachęcamy Państwa do kontaktu z naszym zespołem ekspertów prawnych, który rozwieje wszelkie wątpliwości związane z kwestią naruszeń danych osobowych, a także pomoże dokonać audytu przyjętych procedur wewnętrznych celem stworzenia rozwiązań spójnych z aktualnymi wymogami prawnymi.

Kontakt

Logo LinkedIn Logo LinkedIn

Krzysztof Jarosiński

Partner, radca prawny, audytor wiodący ISO 27001