Reguła 72 godzin: Jak zgłosić naruszenie RODO bez narażania się na dodatkowe kary?

Naruszenie ochrony danych osobowych to incydent bezpieczeństwa, który prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Zgodnie z art. 33 i 34 RODO sposób, w jaki Państwa organizacja reaguje na naruszenie, może być równie istotny jak samo naruszenie. Opóźnione lub nieodpowiednie powiadomienie jest traktowane jako odrębne naruszenie, często pociągające za sobą własną karę.

Zrozumienie 72-godzinnego harmonogramu

Zgodnie z art. 33 ust. 1 administrator ma obowiązek zawiadomić właściwy organ nadzorczy bez zbędnej zwłoki, a w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych osobowych. Bieg terminu rozpoczyna się nie w momencie wystąpienia naruszenia, ale w momencie powzięcia o nim wiadomości przez organizację. To rozróżnienie ma znaczenie: naruszenie, które miało miejsce kilka tygodni temu, ale zostało wykryte dopiero dzisiaj, powoduje obowiązek 72 godzin od momentu wykrycia.

Jeśli powiadomienie nie zostanie dokonane w ciągu 72 godzin, administrator musi podać przyczyny opóźnienia. Organy nadzorcze wykazują ograniczoną tolerancję dla nieuzasadnionych opóźnień. Holenderski organ ochrony danych (Autoriteit Persoonsgegevens) nałożył grzywny specjalnie za opóźnione powiadomienie, traktując je jako odrębne naruszenie na mocy art. 83 ust. 4 lit. a).

Co stanowi naruszenie podlegające zgłoszeniu?

Nie każdy incydent bezpieczeństwa wymaga zgłoszenia organowi nadzorczemu. Art. 33 ust. 1 kwalifikuje ten obowiązek: powiadomienie jest wymagane, chyba że jest mało prawdopodobne, że naruszenie spowoduje ryzyko dla praw i wolności osób fizycznych. Ten próg oparty na ryzyku oznacza, że muszą Państwo oceniać każde naruszenie indywidualnie.

Wytyczne EROD 01/2021 w sprawie przykładów dotyczących powiadamiania o naruszeniu ochrony danych osobowych zawierają przydatną taksonomię scenariuszy podlegających i niepodlegających zgłoszeniu:

Prawdopodobnie podlega zgłoszeniu:

• Atak ransomware szyfrujący dane pacjentów w szpitalu
• Nieautoryzowany dostęp do bazy danych klientów zawierającej informacje finansowe
• Błędnie przekierowana wiadomość e-mail zawierająca dane dotyczące wynagrodzeń pracowników wysłana do odbiorcy zewnętrznego
• Skradziony laptop zawierający niezaszyfrowane dane osobowe
• Eksfiltracja danych osobowych przez złośliwą osobę mającą dostęp do informacji poufnych

Prawdopodobnie nie podlega zgłoszeniu:

• Zgubiony lub skradziony zaszyfrowany laptop, którego klucz szyfrowania nie został naruszony
• Krótkotrwała przerwa w zasilaniu powodująca tymczasowy brak dostępu do danych bez ich trwałej utraty
• Wewnętrzne błędnie przekierowane wiadomości e-mail, w przypadku których odbiorca jest zobowiązany do zachowania poufności i potwierdza ich usunięcie.

W razie wątpliwości, proszę trzymać się zasady zgłaszania naruszeń. Organy nadzorcze są znacznie bardziej wyrozumiałe dla organizacji, które zgłaszają naruszenie, które okazuje się niskiego ryzyka, niż dla tych, które nie zgłaszają naruszenia, które później okazuje się znaczące.

Wymagania dotyczące treści powiadomienia

Art. 33 ust. 3 określa minimalny zakres informacji, które muszą być zawarte w powiadomieniu organu nadzorczego:

1. Opis charakteru naruszenia, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę rekordów danych osobowych, których naruszenie dotyczy.
2. Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego.
3. Opis prawdopodobnych konsekwencji naruszenia.
4. Opis środków podjętych lub proponowanych w celu zaradzenia naruszeniu, w tym, w stosownych przypadkach, środków mających na celu złagodzenie jego ewentualnych negatywnych skutków.

Jeżeli nie jest możliwe przekazanie wszystkich informacji w tym samym czasie, informacje mogą być przekazywane etapami (art. 33 ust. 4). Wiele organów nadzorczych akceptuje wstępne zawiadomienie, po którym w miarę postępów postępowania przekazywane są raporty uzupełniające.

Kiedy należy powiadomić osoby, których dane dotyczą?

Art. 34 nakłada dodatkowy obowiązek bezpośredniego zawiadomienia osób, których dane dotyczą, jeżeli naruszenie może spowodować wysokie ryzyko naruszenia ich praw i wolności. Próg jest wyższy niż w przypadku zawiadomienia organu nadzorczego: wysokie ryzyko, a nie tylko ryzyko.

Komunikacja z osobami, których dane dotyczą, musi być prowadzona jasnym i prostym językiem i musi opisywać charakter naruszenia, dane kontaktowe inspektora ochrony danych, prawdopodobne konsekwencje oraz środki podjęte w celu zaradzenia naruszeniu. Bezpośrednie powiadomienie nie jest wymagane, gdy:

• Administrator wdrożył odpowiednie środki techniczne (takie jak szyfrowanie), które sprawiają, że dane są nieczytelne dla osób nieuprawnionych.
• Administrator podjął dalsze środki, które zapewniają, że wysokie ryzyko nie jest już prawdopodobne.
• Indywidualne powiadomienie wymagałoby nieproporcjonalnego wysiłku, w którym to przypadku dozwolony jest publiczny komunikat lub podobny środek.

Budowanie Państwa zdolności reagowania na naruszenia

Skuteczna reakcja na naruszenie nie jest improwizowana. Wymaga przygotowania, dokumentacji i regularnego testowania. Poniższe ramy pomogą Państwa organizacji skutecznie reagować w przypadku wystąpienia naruszenia:

Krok 1: Wykrywanie i eskalacja

Wdrożenie kontroli technicznych (wykrywanie włamań, monitorowanie dzienników, wykrywanie punktów końcowych) i ustanowienie jasnych ścieżek eskalacji. Każdy pracownik powinien wiedzieć, jak wewnętrznie zgłosić podejrzenie naruszenia. Proszę zdefiniować zespół reagowania na naruszenia, w skład którego wejdą przedstawiciele działu IT, działu prawnego, działu komunikacji i kierownictwa wyższego szczebla.

Krok 2: Wstępna ocena

W ciągu kilku godzin od wykrycia naruszenia należy ocenić jego charakter i zakres. Proszę określić, jakie dane zostały naruszone, ilu osób to dotyczy, czy naruszenie trwa i jaki jest jego prawdopodobny wpływ. Ocena ta będzie podstawą do podjęcia decyzji o powiadomieniu.

Krok 3: Ograniczenie

Proszę podjąć natychmiastowe działania w celu powstrzymania naruszenia. Może to obejmować odizolowanie dotkniętych systemów, unieważnienie naruszonych danych uwierzytelniających, zablokowanie złośliwych adresów IP lub aktywację systemów kopii zapasowych. Proszę udokumentować wszystkie działania ograniczające i ich harmonogram.

Krok 4: Powiadomienie

W oparciu o ocenę ryzyka proszę przygotować i przesłać organowi nadzorczemu powiadomienie w ciągu 72 godzin. Jeśli naruszenie powoduje zastosowanie art. 34, proszę równolegle przygotować zawiadomienia dla osób, których dane dotyczą. Proszę skorzystać z gotowych szablonów, aby przyspieszyć ten proces.

Krok 5: Dochodzenie i działania naprawcze

Proszę przeprowadzić dokładną analizę przyczyn źródłowych. Proszę zidentyfikować lukę w zabezpieczeniach, która została wykorzystana, mechanizmy kontrolne, które zawiodły oraz środki niezbędne do zapobieżenia ponownemu wystąpieniu ataku. Proszę udokumentować ustalenia i niezwłocznie wdrożyć działania naprawcze.

Krok 6: Przegląd po incydencie

Po natychmiastowej reakcji należy przeprowadzić formalny przegląd po incydencie z udziałem wszystkich zainteresowanych stron. Zaktualizować procedury reagowania na naruszenie w oparciu o wyciągnięte wnioski. Proszę przesłać raport końcowy do organu nadzorczego w wymaganym terminie.

Typowe błędy, których należy unikać

• Nieuznanie incydentu bezpieczeństwa za naruszenie ochrony danych osobowych
• Oczekiwanie na zakończenie dochodzenia przed powiadomieniem organu nadzorczego
• Podanie niekompletnych lub niedokładnych informacji we wstępnym powiadomieniu
• Zaniedbanie dokumentowania naruszeń ocenionych jako niskiego ryzyka (art. 33 ust. 5 wymaga prowadzenia rejestru naruszeń dla wszystkich naruszeń).
• Niedoszacowanie ryzyka dla osób, których dane dotyczą, w celu uniknięcia obowiązku powiadomienia
• Niepowiadomienie osób, których dane dotyczą, w przypadku osiągnięcia progu wysokiego ryzyka zgodnie z art. 34

72-godzinny okres na powiadomienie jest krótki, ale organizacje, które przygotują się z wyprzedzeniem (z udokumentowanymi procedurami, szablonami powiadomień i przeszkolonym zespołem reagowania na naruszenia), mogą konsekwentnie wypełniać ten obowiązek. Koszt przygotowania jest znikomy w porównaniu z karami i szkodami dla reputacji, które wynikają z niewłaściwie zarządzanej reakcji na naruszenie.