Jednym z wynikających z RODO wymogów dotyczących przetwarzania danych osobowych jest obowiązek realizowania tej czynności z wykorzystaniem odpowiednich środków technicznych i organizacyjnych, tj. w taki sposób, aby zapewnić bezpieczeństwo tych danych i zagwarantować ochronę przed przetwarzaniem niedozwolonym lub niezgodnym z prawem oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem. Zgodnie z definicją zawartą w art. 4 rozporządzenia, naruszenie ochrony danych osobowych to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. W praktyce naruszenie oznacza utratę określonych atrybutów danych osobowych, tj. ich poufności, integralności lub dostępności.
Poufność jest rozumiana jako ochrona informacji przed ich ujawnieniem osobom nieuprawnionym oraz przed nieautoryzowanym i nieuzasadnionym użyciem. Naruszenie poufności oznacza zatem niedozwolone lub przypadkowe ujawnienie, ale też umożliwienie nieuprawnionego dostępu do danych osobowych. Integralność informacji to cecha oznaczająca jej dokładność, kompletność i poprawność w stosunku do oczekiwań odbiorcy. W analizowanym kontekście jest rozumiana jako nienaruszalność, czyli ochrona przed nieautoryzowaną zmianą danych. Naruszenie integralności danych skutkuje ich nieuprawnioną, niedozwoloną lub przypadkową modyfikacją. Dostępność informacji oznacza, że informacja jest dostępna i użyteczna na żądanie odbiorcy, zaś dostęp do niej jest niezakłócony – zarówno w chwili bieżącego żądania, jak i w przyszłości. Innymi słowy, jest to możliwość uzyskania terminowego i niezawodnego dostępu do informacji oraz korzystania z niej. Naruszeniem dostępności jest przypadkowa lub niedozwolona utrata dostępu do danych lub ich zniszczenie. Zniszczenie oznacza, że dane przestają istnieć, zaś ich odzyskanie jest niemożliwe lub wymaga podjęcia skomplikowanych działań, co nierzadko wiąże się z koniecznością wysokich nakładów finansowych. Utrata danych to sytuacja, w której dane nadal istnieją, ale administrator przestaje mieć kontrolę zarówno nad nimi, jak i nad sposobem ich wykorzystywania. W zależności od okoliczności zdarzenia, naruszenie może wiązać się z utratą poufności, integralności i dostępności jednocześnie lub dwóch spośród tych atrybutów.
Brak odpowiedniej i szybkiej reakcji na naruszenie ochrony danych osobowych może skutkować szkodą osoby fizycznej – nie tylko o charakterze majątkowym, ale również niemajątkowym. Mogą one przybrać formę utraty kontroli nad własnymi danymi osobowymi, ograniczenia praw, dyskryminacji, kradzieży lub sfałszowania tożsamości, straty finansowej, nieuprawnionego odwrócenia pseudonimizacji, naruszenia dobrego imienia, naruszenia poufności danych osobowych chronionych tajemnicą zawodową lub wszelkich innych „znacznych szkód gospodarczych lub społecznych”. Istota, charakter i znaczenie poszczególnych konsekwencji dla osoby, której dane dotyczą, będą przybliżane w kolejnych akapitach.
Pierwszą, najbardziej ogólną kategorią spośród wymienionych możliwych konsekwencji naruszenia, jest utrata kontroli nad własnymi danymi osobowymi. Katalog potencjalnych skutków wynikających z braku jej sprawowania – najczęściej w wyniku utraty poufności danych – jest bardzo szeroki. Istnieje m.in. ryzyko wykorzystania danych przez osobę nieuczciwą do założenia fałszywego profilu internetowego, próbę kontaktu w celu wyłudzenia dodatkowych informacji (np. szczegółów karty kredytowej, danych do logowania), czy wykorzystania danych do zarejestrowania przedpłaconej karty telefonicznej, która może zostać użyta do nielegalnych celów. Sama świadomość braku kontroli nad swoimi danymi osobowymi, które teoretycznie mogą zostać wykorzystane w celach nieuprawnionych, może przyczynić się do pogorszenia stanu zdrowia tej osoby. Stres wywołany nawet pozornie mało istotnym naruszeniem może wpłynąć negatywnie na jej samopoczucie oraz zdrowie psychiczne. W skrajnych sytuacjach, np. nieradzeniu sobie z poważną stratą finansową w konsekwencji kradzieży tożsamości, naruszenie może doprowadzić pośrednio do śmierci osoby, którą dotknęło. Dlatego bardzo istotne jest, aby w przypadku stwierdzenia wysokiego ryzyka naruszenia praw i wolności osób fizycznych w konsekwencji naruszenia, administrator niezwłocznie powiadomił o tym osobę, której dane dotyczą i przedstawił jej możliwości podjęcia działań zabezpieczających przed jego przewidywanymi skutkami.
Jak wskazano wcześniej, utrata dostępu do danych osobowych stanowi naruszenie, ponieważ brak dostępu do danych osobowych może mieć wpływ na prawa i wolności osób fizycznych. Przykładem jest ograniczenie możliwości realizacji przez osobę, której dane dotyczą, przysługujących jej praw. Realizację prawa przysługującego osobie warunkuje często możliwość potwierdzenia jej tożsamości. Naruszenie dostępności lub integralności danych osoby fizycznej może skutkować utrudnieniem lub uniemożliwieniem realizacji jej praw. Skrajnym przykładem może być brak dostępu do danych medycznych w szpitalu, skutkujący np. odwołaniem planowych zabiegów i operacji, co z kolei stwarza ryzyko zagrożenia zdrowia i życia pacjentów. Dotkliwym utrudnieniem w obszarze zachowania kontroli nad danymi osobowymi może stać się równieżograniczenie przysługujących osobie praw wynikających z art. 15-22 RODO, tj. prawa dostępu do danych osobowych, ich sprostowania, usunięcia, przeniesienia, ograniczenia przetwarzania, zgłoszenia sprzeciwu wobec ich przetwarzania, a także niepodlegania decyzji wynikającej ze zautomatyzowanego przetwarzania jej danych. Naruszenie integralności lub dostępności danych osoby fizycznej może sprawić, że administrator nie będzie w stanie prawidłowo zidentyfikować wnioskodawcy. W konsekwencji niemożliwa lub utrudniona będzie weryfikacja posiadanych przez administratora zbiorów pod kątem występowania w niej danych tej osoby.
Kolejnym negatywnym następstwem może być dyskryminacja, rozumiana jako niesprawiedliwe i nieobiektywne różnicowanie osób fizycznych (lub grup), często w formie długotrwałego i celowego, nieuzasadnionego okolicznościami nierównego traktowania, którego podstawą jest posiadanie przez tę osobę (grupę) określonej cechy. Ustawa z dnia 3 grudnia 2010 r. o wdrożeniu niektórych przepisów Unii Europejskiej w zakresie równego traktowania wskazuje, że dyskryminacja bezpośrednia to „sytuacja, w której osoba fizyczna ze względu na płeć, rasę, pochodzenie etniczne, narodowość, religię, wyznanie, światopogląd, niepełnosprawność, wiek lub orientację seksualną jest traktowana mniej korzystnie niż jest, lub byłaby, traktowana inna osoba w porównywalnej sytuacji”. Katalog czynników dyskryminacyjnych wskazany w art. 3 tej ustawy pokrywa się w dużej mierze z katalogiem danych osobowych objętych szczególną ochroną na mocy art. 9 RODO. Przepis ten co do zasady zabrania przetwarzania danych osobowych „ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”, ale wskazuje też przesłanki ich dopuszczalnego przetwarzania. Ujawnienie określonych danych, cech lub stanu zdrowia osoby, której dane dotyczą, może skutkować np. wyeliminowaniem jej np. z procesu rekrutacyjnego potencjalnego pracodawcy, obniżeniem pozycji na liście rekrutacyjnej uczelni, ostracyzmem ze strony współpracowników itd.
Jedną z najpoważniejszych konsekwencji naruszenia danych osobowych jest kradzież lub sfałszowanie tożsamości. Tożsamość to cechy i dane personalne osoby, które pozwalają ją zidentyfikować, zaś kradzież tożsamości to bezprawne wejście w posiadanie danych osobowych innej osoby i wykorzystanie ich wbrew jej woli. Zjawisko to spenalizowano – „kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej” podlega karze pozbawienia wolności do lat 3. Kradzież tożsamości jest przepustką do dalszych szkodliwych działań, m.in.: prób uzyskania dostępu do systemów obsługujących świadczenia medyczne i pozyskania informacji o stanie zdrowia właściciela danych, ukrywania realnej tożsamości przy ponoszeniu konsekwencji działań (np. otrzymaniu mandatu), sfałszowania dokumentów i posługiwania się nimi w czynnościach prawnych, nielegalnego używania konta bankowego założonego na inne dane czy zawarcia umowy z operatorem telekomunikacyjnym. Uciążliwe dla właściciela danych może być też np. zamieszczanie z fałszywego profilu internetowego obraźliwych, nieprawdziwych informacji lub komentarzy, propagowanie nielegalnych treści czy naruszanie dobrego imienia innych. Fałszywe konto może też posłużyć do wyłudzania pomocy materialnej i oszustw finansowych, za które odpowiedzialność – do momentu wyjaśnienia wszystkich okoliczności – będzie przypisywana prawdziwej osobie, której dane dotyczą.
Odczuwalną konsekwencją kradzieży tożsamości jest spowodowanie straty finansowej właściciela danych. Katalog możliwych strat uzależniony jest od zakresu danych, jakości podrobionych dokumentów, zdolności socjotechnicznych osoby, która weszła w posiadanie danych oraz czujności instytucji umożliwiających stworzenie zobowiązania. Osoby nieuczciwe mogą m.in. podjąć próbę uzyskania pożyczek w instytucjach finansowych – przez Internet, telefonicznie, ale i osobiście – z wykorzystaniem tzw. „dowodu kolekcjonerskiego”. Inne działania to m.in. próby zakupu towarów na raty, wyłudzenie ubezpieczenia, zawieranie umów cywilno-prawnych, wynajęcie mieszkania lub pokoju i kradzież jego wyposażenia, wypożyczeni sprzętu lub auta i ich kradzież lub próby zbycia mienia należącego do osoby, której dane dotyczą.
Rzadziej analizowaną konsekwencją naruszenia jest nieuprawnione odwrócenie pseudonimizacji. Pseudonimizacja to przetworzenie danych w taki sposób, aby bez dodatkowych informacji nie było możliwe przypisanie ich do konkretnej osoby fizycznej. W ujęciu technicznym jest to zbiór odwracalnych technik, polegający na takim przetworzeniu danych, aby niemożliwe było ich przypisanie do konkretnej osoby. Ma ona zabezpieczać przed identyfikacją osoby, których dane są przetwarzane. Ponieważ jest odwracalna, to objęte nią informacje – nawet po zaszyfrowaniu lub zniekształceniu w innej formie – są nadal traktowane jako dane osobowe, a zatem podlegają stosownym regulacjom w tym obszarze. Należy odróżniać ten termin od anonimizacji, która jest procesem nieodwracalnym. Najpopularniejsze techniki pseudonimizacji obejmują: szyfrowanie z kluczem tajnym (np. zamianę posiadanych danych na ciąg cyfr lub liter, możliwy do odszyfrowania wyłącznie na podstawie przechowywanego oddzielnie klucza), funkcję skrótu, w tym również z kluczem (z wykorzystaniem funkcji hashującej, zamieniającej długi ciąg znaków na znacznie krótszy); szyfrowanie deterministyczne (czyli przypisanie losowego numeru jako pseudonimu dla każdego atrybutu w bazie danych i usunięcie wszelkich korelacji pomiędzy nimi) oraz tokenizację (zastąpienie fragmentów danych ciągiem losowych liczb, co sprawia, że informacje stają się bezużyteczne dla osób postronnych). Poszczególnym technikom pseudonimizacji odpowiadają zabiegi pozwalające na ich odwrócenie, np. wyodrębnienie (odseparowanie wszystkich lub części informacji pozwalających na identyfikację konkretnej osoby), tworzenie powiązań (zestawienie kilku rekordów dotyczących tej samej osoby – zarówno z jednej, jak i z kilku dostępnych baz danych) oraz wnioskowanie (dedukowanie jednej cechy na podstawie cech opisanych w innym zbiorze). Niezależnie od celowości, odwrócenie pseudonimizacji skutkuje możliwością zapoznania się z pełną treścią danych osobowych, co z kolei umożliwia wykorzystanie danych w celach nieuprawnionych.
Ujawnienie danych osobowych w wyniku naruszenia ich ochrony może skutkować wyjawieniem cech osoby fizycznej lub czynników wpływających na jej sytuację osobistą, zdrowotną, rodzinną, majątkową, itd. Informacje te mogą zostać użyte do próby naruszenia dobrego imienia osoby, której dotyczą. Dobre imię to element czci zewnętrznej, która obejmuje m.in. opinię innych osób o człowieku. Naruszenie dobrego imienia to pomówienie innej osoby o takie postępowanie lub właściwości, które może poniżyć ją w opinii publicznej lub narazić na utratę zaufania potrzebnego w określonym zawodzie, na stanowisku lub w działalności. Może przybrać formę negatywnej wypowiedzi, odnoszącej się do danej osoby w związku z jej życiem, jeśli wypowiedź ta powoduje utratę zaufania do niej. Inne przykłady to publikacja obraźliwego komentarza na temat osoby, pomówienie lub wskazanie, że dopuściła się ona takiego czynu powodującego utratę zaufania innych osób.
W przypadku zawodów zaufania publicznego, np. w kancelariach, realizacja zadań wiąże się ze stałym dostępem do danych osobowych. Obowiązek zachowania tajemnicy zawodowej wiąże się zatem w tym przypadku również z zapewnianiem bezpieczeństwa tych danych. Ochrona tajemnicy zawodowej wynika z przepisów ustaw branżowych i odnosi się do dokumentów zawierających treści, o których osoba dowiedziała się w związku z wykonywaną pracą, pełnioną funkcją lub w ramach sprawowanej działalności (publicznej, społecznej, gospodarczej lub naukowej) i która dotyczy przedmiotu świadczonej działalności. Utrata poufności danych osobowych, które są dodatkowo chronione tajemnicą zawodową, może skutkować odpowiedzialnością dyscyplinarną, cywilną i karną, włącznie z karą ograniczenia wolności lub jej pozbawienia do dwóch lat. Jeżeli niedochowanie tajemnicy doprowadziło do naruszenia czci, wizerunku lub innego dobra osobistego, to konsekwencją może być też odpowiedzialność cywilna z tytułu bezprawnego naruszenia dobra osobistego.
Analiza możliwych konsekwencji naruszenia ochrony danych osobowych pozwala wysnuć wniosek, że jego stwierdzenie wymaga spełnienia łącznie trzech przesłanek: naruszenie musi dotyczyć danych osobowych przetwarzanych przez podmiot, mieć konkretny skutek (zniszczenie, utratę, zmianę, ujawnienie lub dostęp do danych) i wynikać ze złamania zasad bezpieczeństwa danych. Naruszenie może negatywnie wpłynąć na osobę fizyczną w wymiarze fizycznym, finansowym i emocjonalnym. Dlatego każdy incydent powinien zostać dokładnie zbadany przez administratora pod kątem oddziaływania na osobę, której dane dotyczą. Prawidłowa ocena zdarzenia, z uwzględnieniem jego okoliczności, pozwoli podjąć skuteczne działania nie tylko w celu dopełnienia obowiązków formalnych związanych z poinformowaniem o naruszeniu organu nadzorczego, ale również minimalizacji jego skutków oraz zmniejszenia ryzyka ponownego wystąpienia naruszenia.
Bibliografia:
Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny, (tekst jednolity: Dz. U. z 2022 r., poz. 1360), art. 23, 24.
Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (tekst jednolity: Dz.U. z 2022 r., poz. 1138, 1726, 1855), art. 190a, art. 266.
Ustawa z dnia 3 grudnia 2010 r. o wdrożeniu niektórych przepisów Unii Europejskiej w zakresie równego traktowania, (tekst jednolity: Dz.U.2020 poz. 2156), art. 3.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U.UE.L.2016 poz. 119 nr 1, art. 4, art. 9.
Bidziński M., Tajemnica danych i informacji, „Edukacja Prawnicza”, 2012, nr 11 (137), s. 20-21.
Czarnowski A., Gawroński M., Analiza ryzyka i adekwatność środków czyli bezpieczeństwo danych w świetle RODO, LEX/el. 2018.
Grupa Robocza, Art. 29, Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/279, 2018, s. 8.
IT Governance Institute, COBIT 4.1. Metodyka. Cele kontrolne. Wytyczne zarządzania. Modele dojrzałości, Rolling Meadows 2010, s. 3.
Jać P., Dane osobowe: szyfrowanie, anonimizacja, pseudonimizacja, [on-line], LegalHut, 11.02.2020, https://legalhut.pl/blog/branze-nowych-technologii/dane-osobowe-szyfrowanie-anonimizacja-pseudonimizacja, [03.10.2022].
Winiarska A., Klaus W., Dyskryminacja i nierówne traktowanie jako zjawisko społeczno-kulturowe, „Studia BAS”, 2011, nr 2(26), s. 11.
dr Anna Lasota-Kapczuk, p.o. zastępcy naczelnika Wydziału Ochrony Danych Osobowych, Urząd m.st. Warszawy
PL 
EN