Wskazówki Grupy Roboczej Art. 29 w sprawie zgłaszania naruszeń organowi nadzorczemu

RODO nie definiuje kategorii osób, których dane dotyczą, ani kategorii wpisów danych osobowych. Grupa Robocza Art. 29 sugeruje jednak, że kategorie osób, których dotyczą dane, powinny odwoływać się do rodzajów osób fizycznych, których dane osobowe naruszono. Przykładowo mogą to być dzieci i inne grupy wymagające szczególnej opieki, pracownicy czy klienci. Podobnie kategorie wpisów danych osobowych mogą odnosić się do różnych typów wpisów, które może przetwarzać administrator, takich jak: dane o stanie zdrowia, informacje dotyczące opieki społecznej, szczegóły finansowe, numery rachunków bankowych, numery paszportów itd.

Zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Według Grupy Roboczej Art.  29 „zniszczenie” danych osobowych oznacza sytuację, w której dane przestają istnieć lub przestają istnieć w formie nadającej się do użytku przez administratora. „Uszkodzenie” oznacza zaś sytuację, w której dane osobowe uległy niechcianej modyfikacji lub stały się niekompletne. „Utrata” danych to sytuacja, w której dane mogą nadal istnieć, ale administrator danych utracił kontrolę nad nimi lub dostęp do nich bądź nie jest już w ich posiadaniu. 

Grupa Robocza Art. 29 określa naruszenie ochrony danych osobowych jako naruszenie poufności, integralności i dostępności. Do naruszenia poufności może dojść, np. gdy osoba, która jest zobowiązana do zachowania danych w tajemnicy, ujawni te dane niezależnie czy dokona tego celowo, czy nieświadomie. Naruszenie integralności zajdzie, gdy np. dane osobowe zostaną zmienione w sposób nieuprawniony. Według Grupy Roboczej Art. 29 najwięcej trudności może powstać przy zidentyfikowaniu atrybutu dostępności naruszenia. Grupa Robocza Art. 29 jako przykład utraty dostępności podaje sytuacje, w których doszło do usunięcia danych, a administrator nie jest w stanie odzyskać do nich dostępu np. z kopii zapasowej. Takie zdarzenia można określić jako utratę dostępności. Utrata dostępności może również nastąpić w przypadku znaczącego zakłócenia działalności organizacji, np. w wyniku przerwy w dostawie prądu. 

Grupa Robocza Art. 29 zaleca dokumentowanie uzasadnienia decyzji podjętej w odpowiedzi na naruszenie ochrony danych osobowych. W szczególności należy udokumentować powody decyzji w przypadku niezgłoszenia naruszenia. Należy podać przyczyny, dla których administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne. 

Ogólne rozporządzenie o ochronie danych wymaga od administratora niezwłocznego zgłoszenia naruszenia ochrony danych osobowych (jeżeli to możliwe, to w ciągu 72 godzin od jego stwierdzenia). Pojawiają się jednak wątpliwości, kiedy należy uznać, że administrator „stwierdził” naruszenie.  Zdaniem Grupy Roboczej Art. 29 należy przyjąć, że administrator może stwierdzić naruszenie, kiedy ma wystarczającą wiedzę i stopień pewności na temat zdarzenia związanego z naruszeniem danych osobowych. Dlatego każdy przypadek należy rozważać indywidualnie w zależności od okoliczności konkretnego naruszenia. W niektórych przypadkach wyraźnie można stwierdzić, że doszło do naruszenia. Natomiast w innych stwierdzenie naruszenia ochrony danych osobowych może zająć więcej czasu. Przykładowo, w sytuacji utraty płyty CD z niezaszyfrowanymi danymi często nie da się ustalić, czy osoby nieupoważnione uzyskały do nich dostęp. Taki przypadek należy jednak zgłosić, ponieważ istnieje wystarczający stopień pewności co do tego, że doszło do naruszenia. Administrator „stwierdza” naruszenie w chwili uzyskania informacji o utracie płyty.