Blog prawniczy

Naruszenie praw i wolności w kontekście ochrony danych osobowych i RODO

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY | PARTNER

Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: sekretariat@linkekulicki.pl
tel. +48 789 178 462

Opublikowano:

Naruszenie praw i wolności w kontekście ochrony danych osobowych to jedno z kluczowych pojęć w RODO. Od właściwej oceny poziomu tego ryzyka zależy szereg obowiązków administratora danych – od wdrożenia odpowiednich zabezpieczeń, przez przeprowadzenie analizy skutków przetwarzania, aż po konieczność zgłoszenia naruszenia organom nadzorczym i osobom poszkodowanym. W tym artykule przyjrzymy się, jak RODO definiuje te naruszenia i jakie konkretne działania musi podjąć administrator w zależności od poziomu ryzyka.

Naruszenie praw i wolności – co to?

Przetwarzanie danych osobowych wiąże się z różnymi poziomami ryzyka dla praw i wolności osób, których te dane dotyczą. Zagrożenia te mogą przybierać różne formy i prowadzić do konkretnych szkód – zarówno materialnych, jak i niematerialnych.

Szczególnie niebezpieczne sytuacje to przede wszystkim:

  • Możliwość wykorzystania danych do dyskryminacji danej osoby
  • Ryzyko kradzieży tożsamości lub oszustw
  • Potencjalne straty finansowe
  • Zagrożenie dla reputacji osoby
  • Wyciek informacji objętych tajemnicą zawodową
  • Utrata kontroli nad swoimi danymi osobowymi

Poziom ryzyka znacząco wzrasta, gdy przetwarzane są dane szczególnych kategorii, takie jak:

  • Informacje o pochodzeniu etnicznym
  • Poglądy polityczne i przekonania
  • Przynależność do związków zawodowych
  • Dane zdrowotne
  • Informacje o życiu seksualnym
  • Dane o wyrokach karnych

Dodatkową ostrożność należy zachować w przypadku:

  • Profilowania osób (np. ocena ich sytuacji finansowej, zdrowotnej, preferencji czy zachowań)
  • Przetwarzania danych osób szczególnie wrażliwych, zwłaszcza dzieci
  • Operacji na dużych zbiorach danych, które dotyczą znacznej liczby osób

W każdym z tych przypadków skutki niewłaściwego przetwarzania danych mogą być szczególnie dotkliwe dla osób, których te dane dotyczą i wiążą się z ryzykiem naruszenia praw i wolności.

Sprawdź również: Wdrożenie RODO w firmie krok po kroku – od czego zacząć?

Wdrożenie środków technicznych i organizacyjnych

Od ryzyka naruszenia lub wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą RODO uzależnia kilka rzeczy. Jedną z najważniejszych jest konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych. Art. 24 RODO stanowi, że:

  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
  2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

RODO nie wskazuje jakie dokładnie środki dany podmiot ma wdrożyć. Ocena ryzyka zostaje w tym zakresie pozostawiona danej organizacji.Administratorzy danych nie są pozostawieni sami sobie w kwestii wdrażania odpowiednich środków ochrony danych osobowych. Istnieje kilka wiarygodnych źródeł, z których mogą czerpać wiedzę i wskazówki dotyczące prawidłowego zabezpieczenia danych oraz wykazania zgodności z przepisami. Te praktyczne wskazówki mogą dotyczyć różnych aspektów, takich jak metody identyfikacji potencjalnych zagrożeń, sposoby oceny ryzyka (jego źródeł, charakteru i prawdopodobieństwa wystąpienia) i rekomendowane rozwiązania minimalizujące zidentyfikowane ryzyka

Informacje te mogą być przekazywane poprzez:

  • Zatwierdzone kodeksy postępowania dla poszczególnych branż
  • Certyfikaty potwierdzające zgodność z wymogami RODO
  • Oficjalne wytyczne wydawane przez Europejską Radę Ochrony Danych
  • Zalecenia inspektorów ochrony danych

Co ważne, Europejska Rada Ochrony Danych może także wskazywać, które operacje przetwarzania danych nie niosą ze sobą wysokiego ryzyka, oraz jakie podstawowe środki bezpieczeństwa są wystarczające w takich przypadkach.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Ocena skutków dla ochrony danych

Kolejną sytuacją, w której znaczenie ma ryzyko wysokiego ryzyka naruszenia praw lub wolności osób fizycznych opisana została w art. 35 RODO.

W przypadku, gdy planowane działania związane z przetwarzaniem danych osobowych mogą stwarzać poważne zagrożenia dla praw i wolności osób fizycznych, RODO nakłada na administratora danych osobowych konkretny obowiązek. Musi on przeprowadzić szczegółową ocenę skutków ochrony danych (DPIA – Data Protection Impact Assessment). Taka ocena powinna skupiać się na kilku kluczowych elementach:

  1. Zidentyfikowaniu źródeł potencjalnego ryzyka,
  2. Określeniu charakteru zagrożeń,
  3. Przeanalizowaniu specyfiki ryzyka,
  4. Oszacowaniu jego powagi.

Na podstawie wyników tej analizy administrator powinien zaplanować i wdrożyć odpowiednie środki bezpieczeństwa, które zapewnią zgodność przetwarzania z wymogami RODO. Jest jednak szczególny przypadek – jeśli przeprowadzona ocena wykaże występowanie wysokiego ryzyka, a administrator stwierdzi, że nie jest w stanie go skutecznie zminimalizować (biorąc pod uwagę dostępne technologie i koszty ich implementacji), musi przed rozpoczęciem przetwarzania skonsultować się z organem nadzorczym tj. Prezesem Urzędu Ochrony Danych Osobowych.

Zgłoszenie naruszenia do PUODO i poinformowanie osoby

Kolejnym istotnym przypadkiem, w którym ważne jest dobre zrozumienie tego z czym wiąże się naruszenie praw i wolności w kontekście danych osobowych jest art. 33 RODO, który dotyczy konieczności zgłoszenia naruszenia ochrony danych do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Do takiego zgłoszenia musi dojść w ciągu 72 godzin po stwierdzeniu naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo w przypadku gdy naruszenie może powodować wysokie ryzyko naruszenia tych praw i wolności osoby fizycznej należy poinformować daną osobę o naruszeniu.

Kancelaria RODO – Kancelaria Linke Kulicki

Kancelaria Linke Kulicki to kancelaria prawna, która od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowej pomocy dla firm. Rzetelnie sprawdzamy wszystkie kwestie, dzięki czemu jesteśmy w stanie wykazać ewentualne braki w zakresie ochrony danych osobowych i zaproponować skuteczne zmiany gwarantujące bezpieczeństwo. Nasza aktywność koncentruje się także na reprezentowaniu Klientów przed Prezesem Urzędu Ochrony Danych Osobowych oraz w postępowaniach sądowych z zakresu ochrony danych osobowych.