RODO w praktyce szkolnej. Część 3 – Naruszenia danych osobowych

Analiza ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością dokonania zgłoszenia oraz zawiadomienia osób, których dotyczy naruszenie, nie jest łatwa. Ponadto przyznanie się do błędów lub nieprawidłowości wywołuje dodatkową frustrację oraz strach przed nałożeniem kary, gdyż zawiadomienie może skutkować interwencją organu nadzorczego (Urzędu Ochrony Danych Osobowych) – zgodnie z jego zadaniami i uprawnieniami określonymi w rozporządzeniu RODO. Ewentualna kontrola mogłaby doprowadzić do ujawnienia braku albo nieadekwatności istniejących środków bezpieczeństwa.
Warto jednak pamiętać, że umiejętność przyznania się do błędu nie jest oznaką słabości, tylko okazją do poprawy i rozwoju. Przede wszystkim jednak odpowiednia reakcja na naruszenie ochrony danych osobowych pomoże uchronić osoby, których dane zostały naruszone, przed możliwymi negatywnymi skutkami zdarzenia.

Kategorie naruszeń danych osobowych

Jak wynika z podanej w rozporządzeniu RODO definicji, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Pojęcie zniszczenia odnosi się do sytuacji, gdy dane osobowe przestają istnieć w jakiejkolwiek postaci pozwalającej na ich odczyt. Z kolei utracenie wiąże się z brakiem możliwości sprawowania kontroli nad danymi, najczęściej w postaci braku możliwości dostępu do nich.
Można wyróżnić trzy kategorie naruszeń ochrony danych osobowych:

• naruszenie dotyczące poufności danych, 
• naruszenie dotyczące dostępności do danych,
• naruszenie dotyczące integralności danych.

Nie zawsze dane zdarzenie można jednoznacznie zakwalifikować do danej kategorii. Może się np. okazać, że w wyniku naruszenia doszło do nieuprawnionego ujawnienia danych, czyli naruszenia poufności, a w efekcie także do utracenia ich dostępności i integralności. Przykładem może być zdalne włamanie do komputera, kradzież danych, a następnie ich zniszczenie lub zmiana.

Naruszenie poufności 

Z naruszeniem poufności danych osobowych będziemy mieli do czynienia wówczas, gdy powierzone nam dane osobowe w wyniku złamania zasad bezpieczeństwa zostaną w nieuprawniony sposób ujawnione lub udostępnione. Przykładem takiego naruszenia jest przesyłanie wiadomości e-mail z danymi osobowymi do niewłaściwych adresatów. Jeżeli dane nie zostaną zaszyfrowane, dojdzie do utraty poufności, którą niewątpliwie należy zgłosić organowi nadzorczemu. Jeżeli jednak dane będą skutecznie zabezpieczone hasłem dostępu, można założyć, że nie dojdzie do ich ujawnienia i w związku z tym do zagrożenia związanego z naruszeniem praw i wolności podmiotów danych. Taki incydent należy opisać w wewnętrznej dokumentacji i wdrożyć działania zapobiegające ich ponownemu wystąpieniu.
W związku z powyższym przykładem warto przytoczyć decyzję, którą wydał Prezes Urzędu Ochrony Danych Osobowych pod koniec ubiegłego roku. Naruszenie polegało na wysłaniu pocztą elektroniczną, przez agenta ubezpieczeniowego będącego podmiotem przetwarzającym dla TUiR WARTA S.A., polisy ubezpieczeniowej zawierającej dane osobowe do nieuprawnionego adresata. W wyniku tego działania doszło do naruszenia poufności danych dwóch osób w zakresie imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy. 
O naruszeniu ochrony danych osobowych organ nadzorczy został poinformowany przez nieuprawnionego adresata, który zawiadomił o tym fakcie także firmę ubezpieczeniową. Pomimo dużej wagi danych, które zostały w sposób nieuprawniony ujawnione, firma uznała, że incydentu nie należy zgłaszać do organu nadzorczego, ponieważ osoba ubezpieczona sama podała błędny adres poczty e-mail, a ponadto z przekazanej informacji wynikało, że adresat wiadomości jest świadomy przepisów i wagi informacji, jakie otrzymał, i zobowiązał się do ich usunięcia.
Jednak zdaniem Prezesa Urzędu Ochrony Danych Osobowych zakres danych, których poufność została naruszona, przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych, a fakt niezgłoszenia incydentu do organu i niepoinformowania osób, których dane zostały w nieuprawniony sposób udostępnione, zasługuje na karę pieniężną w wysokości 85 588 zł. Firma ubezpieczeniowa uniknęłaby kary, gdyby zweryfikowała adres poczty elektronicznej podany przez klienta lub przesłała dane osobowe w postaci zaszyfrowanego pliku. 
Z naruszeniem poufności danych osobowych będziemy mieli do czynienia także wtedy, gdy nastąpi utrata (kradzież, zgubienie) elektronicznych nośników danych, np. komputera, dysku twardego, karty pamięci czy pendrive’a. Jeżeli wskazane nośniki będą odpowiednio zabezpieczone unikalnymi hasłami dostępu, ryzyko naruszenia poufności danych będzie minimalne, więc zgłoszenie do organu nadzorczego nie wydaje się zasadne. 
Nie trzeba będzie także dokonywać zgłoszenia, gdy waga lub zakres ujawnionych danych nie będą na tyle duże, by stanowić zagrożenie dla osób fizycznych. Jeżeli nauczyciel zgubi niezabezpieczony pendrive, na którym są tylko imiona i nazwiska kandydatów przyjętych i nieprzyjętych do szkoły, dyrektor może ograniczyć się do odnotowania incydentu w dokumentacji wewnętrznej, wszak są to dane podlegające upublicznieniu. Jeżeli jednak obok nazwisk pojawią się adresy, należy dokonać zgłoszenia do organu nadzorczego i zawiadomić o naruszeniu rodziców uczniów.
Do naruszenia poufności może też dojść w wyniku złego zabezpieczenia systemów informatycznych. O ile komputery, które są na wyposażeniu szkoły, poddawane są okresowym przeglądom zabezpieczeń, o tyle sprzęt prywatny, którego nauczyciele używają podczas zdalnego nauczania, pozostaje najczęściej poza kontrolą dyrektora i nie zawsze wyposażony jest we właściwe oprogramowanie. Dlatego uświadomienie nauczycieli w kwestii ryzyka związanego z przetwarzaniem danych w sieci i przedstawienie sposobów na bezpieczne prowadzenie lekcji z wykorzystaniem Internetu było nadrzędnym zadaniem dyrektora przed wprowadzeniem nauczania na odległość. 

Naruszenie dostępności danych lub ich integralności 

Naruszenie dostępności danych osobowych polega na czasowej bądź trwałej utracie kontroli nad danymi, pozbawieniu dostępu lub zniszczeniu danych osobowych. Można do nich zaliczyć zgubienie lub kradzież nośnika z danymi osobowymi, przypadkowe lub celowe usunięcie danych, awarię sprzętu komputerowego, działanie złośliwego oprogramowania powodujące utratę danych albo brak możliwości zalogowania do systemu zawierającego dane osobowe, co może być wynikiem utraty hasła dostępu. Dostępność w powyższych przypadkach nie zostanie utracona, jeśli administrator danych będzie dysponował kopiami bezpieczeństwa.
Niebezpieczeństwo naruszenia dostępności danych związane jest także z otwieraniem niebezpiecznych załączników do wiadomości, które mogą zawierać szkodliwe oprogramowanie destabilizujące działanie komputera i w konsekwencji zagrażające utratą zgromadzonych w nim informacji.
Należy wiedzieć, że nie każda czasowa niedostępność danych jest naruszeniem. Będzie nim tylko wtedy, gdy brak dostępności będzie się wiązał z ryzykiem dla praw lub wolności osób fizycznych. Czasowy brak dostępu nauczyciela do dziennika elektronicznego, wynikający np. z prac konserwacyjnych, nie będzie stanowił naruszenia bezpieczeństwa. Jeżeli jednak brak dostępu do systemu SIOEO spowoduje niezgłoszenie uczniów w dopuszczalnym terminie do egzaminu zewnętrznego, będziemy mieli wysokie ryzyko dla praw lub wolności uczniów i takie zdarzenie należy potraktować jako naruszenie wymagające zgłoszenia do organu nadzorczego. Tylko szybkie rozwiązanie problemu pozwoli potraktować zdarzenie w kategoriach incydentu wewnętrznego, bez konieczności zgłaszania go i powiadamiania o nim uczniów i ich rodziców.
Przypadki zainfekowania systemów informatycznych złośliwym oprogramowaniem mogą także skutkować naruszeniem integralności danych, jeśli dojdzie do nieautoryzowanej zmiany ich treści.
Aby uniknąć naruszenia danych osobowych zgromadzonych w systemach informatycznych, należy dobrać skuteczne zabezpieczenia oraz cyklicznie je testować, w szczególności w zakresie podatności i błędów, a także możliwych skutków działania zagrożeń na zasoby. W przypadku nieakceptowanego poziomu ryzyka należy podjąć działania zaradcze.

Postępowanie w przypadku naruszenia 

Administrator danych, którego w szkole reprezentuje dyrektor, musi być dobrze przygotowany na niezwłoczne wdrożenie odpowiednich działań po uzyskaniu informacji o naruszeniu. Zgodnie bowiem z motywem 85 RODO, brak właściwej i jednocześnie szybkiej reakcji może skutkować m.in. powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak: utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.
Do szybkości działania zmusza także dyrektora przepis art. 33 ust. 1 RODO, w myśl którego ma on zaledwie 72 godziny na zgłoszenie naruszenia do organu nadzorczego. Zgłoszeniu podlegają jedynie takie naruszenia, które stwarzają duże ryzyko naruszenia praw lub wolności osób fizycznych. Dyrektor powinien więc dysponować wewnętrzną procedurą, która pomoże mu dokonać oceny ryzyka, na jakie narażone są osoby fizyczne, oraz ustalić, czy w danym przypadku należy dokonać zgłoszenia, czy nie. Procedura będzie też pomocna w określeniu działań mających na celu ograniczenie skali naruszenia i przywrócenie stanu sprzed wystąpienia naruszenia.
Ponadto dyrektor szkoły musi ustalić zasady zgłaszania naruszeń po stronie podmiotów przetwarzających dane, zgodnie z zawartą umową powierzenia. Ponieważ podmiot przetwarzający nie musi oceniać prawdopodobieństwa wystąpienia ryzyka wynikającego z naruszenia, przekazanie dyrektorowi informacji o zdarzeniu powinno nastąpić bez zbędnej zwłoki, jednak warto w umowie wskazać nieprzekraczalny termin pozwalający na ustalenie, czy rzeczywiście doszło do naruszenia danych. Zgłoszenia do organu nadzorczego dokonuje zawsze administrator danych, którym pozostaje podmiot, który powierzył przetwarzanie danych, a więc dyrektor reprezentujący szkołę. Bieg 72-godzinnego terminu obowiązującego dyrektora rozpoczyna się od momentu, w którym podmiot przetwarzający poinformował go o wystąpieniu naruszenia danych.
Zgłoszenia do organu nadzorczego można dokonać na 4 sposoby:

• elektronicznie poprzez wypełnienie formularza dostępnego bezpośrednio na platformie biznes.gov.pl,
• elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP,
• elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl lub platformie epuap.gov.pl,
• tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu Ochrony Danych Osobowych.

Formularz w edytowalnym pliku tekstowym dostępny jest na stronie urzędu, pod adresem: uodo/gov.pl.
W zgłoszeniu powinny się znaleźć co najmniej następujące informacje:

• opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie,
• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, gdzie można uzyskać więcej informacji,
• opis możliwych konsekwencji naruszenia ochrony danych osobowych,
• opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W przypadku gdy w zgłoszeniu nie możemy opisać wszystkich okoliczności zdarzenia, należy wskazać, że bardziej szczegółowe informacje będą sukcesywnie przekazywane w późniejszym terminie. Nie zawsze jest przecież możliwe pełne ustalenie charakteru naruszenia w tak ograniczonym czasie. Szczególnie trudne do oceny są cyberataki, ponieważ skutki naruszenia muszą być poddane specjalistycznej analizie.
Może się zdarzyć, że początkowo zgłoszenie nie będzie wymagane ze względu na fakt, iż prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych jest niskie. Z czasem jednak sytuacja może się zmienić i wówczas należy ponownie przeprowadzić ocenę ryzyka i w razie potrzeby dokonać zgłoszenia.
Do kategorii osób, których dane dotyczą, zaliczyć możemy np. uczniów, rodziców czy nauczycieli. Natomiast w kategoriach danych mogą się mieścić dane dotyczące przebiegu nauczania, zdrowia, wsparcia psychologiczno-pedagogicznego czy udzielanych świadczeń socjalnych, a także dane identyfikacyjne, w szczególności numery PESEL i dowodu osobistego.
Poza zgłoszeniem do organu nadzorczego, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dyrektor bez zbędnej zwłoki powinien o takim naruszeniu zawiadomić także wszystkie osoby, których dane dotyczą. Zawiadomienie, napisane jasnym i prostym językiem, powinno opisywać charakter naruszenia oraz zawierać podobne informacje jak te kierowane do organu nadzorczego, z wyjątkiem wskazania kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie.
W niektórych przypadkach powiadomienie wskazanych osób będzie wymagało od dyrektora szkoły niewspółmiernie dużego wysiłku, a nawet może okazać się niemożliwe. W takim przypadku można wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane o naruszeniu w równie skuteczny sposób. Dobrą praktyką będzie umieszczenie na stronie internetowej szkoły rzucających się w oczy banerów lub komunikatów.
Dyrektor powinien prowadzić wewnętrzny rejestr naruszeń danych osobowych oraz dokumentować wszystkie przypadki naruszeń ochrony danych osobowych, odnotowując okoliczności, w jakich doszło do incydentu, kategorie osób i zakres danych osobowych, których dotyczyło naruszenie, skutki zdarzenia i jakie działania zaradcze podjął, aby zminimalizować negatywne następstwa naruszenia. W dokumentacji powinno się także znaleźć uzasadnienie decyzji dyrektora, gdy postanowi nie zgłaszać naruszenia do organu nadzorczego.
We wszystkich wskazanych działaniach dyrektora powinien wspierać powołany przez niego inspektor ochrony danych, który co do zasady musi mieć dużą wiedzę na temat procedur, które należy podjąć po uzyskaniu informacji o naruszeniu danych osobowych. Należy pamiętać, że zgodnie z art. 39 rozporządzenia RODO jednym z zadań inspektora ochrony danych jest pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, a w tak trudnej dla dyrektora sytuacji jego współpraca z organem jest niezbędna.

Ocena ryzyka naruszenia praw lub wolności

Dokonanie oceny, czy naruszenie danych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, przysparza administratorom danych wielu problemów. Wynikają one z braku ogólnych kryteriów wartościujących prawdopodobieństwo i wagę zagrożeń powstałych w wyniku zaistniałego zdarzenia. Jako wskazówkę należy traktować tutaj treść motywu 75 rozporządzenia RODO. Zgodnie z tym zapisem ryzyko pojawia się wtedy, gdy przetwarzanie danych osobowych może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności jeżeli:

• przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji, wszelką inną znaczną szkodą gospodarczą lub społeczną,
• osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi,
• przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa,
• oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych,
• przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci,
• przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Oczywiste jest, że ryzyko wzrasta, gdy negatywne skutki naruszenia są poważniejsze lub gdy wzrasta prawdopodobieństwo ich wystąpienia.

Przykłady naruszeń

Do naruszeń, które należy zgłosić do organu nadzorczego, można przykładowo zaliczyć:

• zgubienie niezaszyfrowanego nośnika pamięci w rodzaju: pendrive’a, karty pamięci, dysku zewnętrznego, zawierającego dane, bez względu na to, czy mamy wiedzę, że osoba nieuprawniona uzyskała do nich dostęp,
• utrata klucza deszyfrującego przy jednoczesnym braku kopii zapasowej zaszyfrowanych danych,
• publikacja w Internecie nieprawidłowo zanonimizowanych dokumentów, jak np. uchwał rady pedagogicznej (pomimo użycia elektronicznego zakreślacza w dokumentach pdf przekopiowanie treści uchwały do plików tekstowych może spowodować ujawnienie zamazanych danych),
• wysłanie wiadomości pocztą e-mail, która zawierała niezabezpieczony hasłem plik z danymi osobowymi, nawet wtedy gdy osoba, do której trafiła wiadomość, usunęła otrzymane dane i zobowiązała się do zachowania poufności,
• włamanie do sieci, w której odbywało się przetwarzanie danych osobowych – należy stwierdzić, czy bezpieczeństwo danych zostało naruszone,
• kradzież lub ujawnienie hasła dostępu do systemu zawierającego dane osobowe, chyba że można ewidentnie wykluczyć fakt zalogowania się do systemu przez osobę nieuprawnioną,
• zgubienie, kradzież lub nieuprawnione udostępnienie dokumentacji psychologiczno-pedagogicznej (indywidualne teczki uczniów, orzeczenia i opinie z poradni psychologiczno-pedagogicznej),
• zgubienie wypełnionych formularzy zgłoszeń na wycieczkę szkolną, zawierających informacje dotyczące zdrowia dzieci (przyjmowane leki, alergie pokarmowe).

Organowi nadzorczemu nie trzeba zgłaszać naruszeń, co do których jest mało prawdopodobne, by skutkowały ryzykiem naruszenia praw lub wolności osób fizycznych. Do takich sytuacji można zaliczyć:

• zgubienie nośnika z danymi chronionymi programem szyfrującym, który uniemożliwia osobie nieupoważnionej złamanie zabezpieczeń za pomocą dostępnych technologicznie środków, chyba że będzie się to wiązało z naruszeniem dostępności danych (brak kopii zapasowej danych), które będzie stanowiło wysokie ryzyko wystąpienia negatywnych skutków,
• zgubienie nośnika z danymi publicznie dostępnymi, jak np. imiona i nazwiska nauczycieli, listy uczniów przyjętych i nieprzyjętych do szkoły (podczas pandemii obowiązek publikacji na stronie internetowej szkoły),
• wysłanie do niewłaściwej szkoły danych uczniów spełniających obowiązek szkolny (szkołę, która nie jest właściwym adresatem, można potraktować jako odbiorcę „zaufanego”, czyli takiego, który nie podejmie żadnych dalszych działań w kwestii przesłanych danych oraz że niezwłocznie zniszczy lub zwróci dane),
• omyłkowe przekazanie przez nauczyciela rodzicom dzieci z jednej klasy listy uczniów, którzy otrzymali promocję do następnej klasy,
• wysłanie pocztą elektroniczną do grupy rodziców wiadomości dotyczącej organizacji wycieczki szkolnej bez użycia opcji „ukryte do wiadomości”, powodujące ujawnienie adresów e-mail rodziców,
• pozostawienie przez nauczyciela sprawdzonych i ocenionych sprawdzianów w sali lekcyjnej, do których czasowy dostęp będą mieli uczniowie z danej klasy.

W przypadku jakichkolwiek wątpliwości w stosunku do zaistniałego incydentu dyrektor powinien zgłosić naruszenie organowi nadzorczemu i wówczas ma prawo oczekiwać wskazówek co do konieczności powiadomienia osób, których dane zostały naruszone.

Kary za niezgłoszenie naruszenia

Przytoczony wcześniej przypadek nałożenia administracyjnej kary pieniężnej na TUiR WARTA S.A. za niezgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych naruszenia danych osobowych nie jest odosobniony. Ostatnio jeszcze większa kara – 136 tys. zł – została nałożona na spółkę ENEA S.A.
Naruszenie polegało na wysłaniu e-maila z niezaszyfrowanym, niezabezpieczonym hasłem załącznikiem zawierającym dane osobowe kilkuset osób w postaci: imion i nazwisk, adresów e-mail, numerów telefonów, a także informacji o dacie rejestracji w systemie. W wyniku dokonanej analizy incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych spółka nie stwierdziła naruszenia ochrony danych skutkującego koniecznością zawiadomienia organu nadzorczego oraz osób, których dotyczy naruszenie. Jak się później okazało – niesłusznie.
W obu przypadkach informację na temat nieprawidłowości przekazały do organu nadzorczego osoby, które stały się nieuprawnionym adresatem danych osobowych. Ich działanie było zrozumiałe, gdyż jak wynika z art. 107 ustawy o ochronie danych osobowych, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli przetwarzanie dotyczy danych szczególnie chronionych, górna granica pozbawienia wolności jest jeszcze większa, bo wynosi trzy lata. Przypadkowi odbiorcy przesłanych wiadomości stali się więc niechcący podmiotem przetwarzającym dane osobowe, do przetwarzania których nie mieli upoważnienia, więc trudno się dziwić, że zgłosili ten fakt do urzędu.
Biorąc powyższe pod uwagę, jeżeli w szkole dojdzie do podobnych sytuacji, z dużym prawdopodobieństwem trzeba zakładać, że organ nadzorczy o naruszeniu się dowie, niezależnie od uzyskanych od dyrektora informacji.
Zgłoszenie incydentu naruszenia danych osobowych należy odbierać nie tylko jako obowiązek wynikający z przepisu prawa, ale też jako chęć współdziałania w rozwiązaniu kryzysowej sytuacji.