Obowiązek zgłaszania naruszeń – jak i kiedy realizować?

  

Jednym z nowych zadań, jakie RODO nakłada na administratorów, jest obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. W Polsce organem tym ma być Prezes Urzędu Ochrony Danych Osobowych (w skrócie PUODO).

Dlaczego firma będzie musiała zgłaszać przypadki naruszeń ochrony danych? Chodzi oczywiście o zapewnienie większej kontroli nad danymi osobowymi i zmniejszenie negatywnych skutków naruszenia dla praw i wolności osób, których dane dotyczą.

W niektórych krajach europejskich, np. w Holandii, obowiązek zawiadamiania organu o naruszeniach ochrony danych osobowych istniał już wcześniej, ale dla administratorów działających w Polsce jest to nowość. Oznacza to, że polskie firmy nie posiadają na chwilę obecną stosownych procedur i nie są przygotowane do właściwej realizacji obowiązku zgłaszania naruszeń. Nie dotyczy to oczywiście tych firm, które zdążyły się już dostosować do RODO. Z kolei przedsiębiorcy telekomunikacyjni już wcześniej mieli obowiązek zgłaszania naruszeń do GIODO, ale wynikał on z innych przepisów.

Najpóźniej w dniu 25 maja 2018 r. każda firma powinna być już w pełni gotowa na realizację obowiązku zgłaszania naruszeń do PUODO. Zgodnie z RODO, zgłoszenie naruszenia powinno nastąpić bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jak widać, termin jest krótki. Dodatkowo, jego bieg liczony jest w godzinach zegarowych, a nie roboczych. Oznacza to, że jeżeli do stwierdzenia naruszenia doszłoby np. w piątek o godz. 12.00, termin na dokonanie zgłoszenia upłynie w poniedziałek o godz.12.00.

Pierwszym, co przychodzi na myśl, kiedy mowa jest o obowiązku zgłaszania naruszeń, jest to, że stanowi on rodzaj donosu administratora na siebie, coś w rodzaju autodenuncjacji. W kontekście kar pieniężnych z RODO, od razu zapala się w głowie lampka, że w ten sposób administrator sam wystawia się na ryzyko odpowiedzialności i w związku z tym może lepiej w ogóle zaniechać zawiadomienia Urzędu o incydencie w obszarze ochrony danych osobowych.

Ponieważ strach nigdy nie jest dobrym doradcą, do obowiązku notyfikacji zdecydowanie nie należy podchodzić w ten sposób. Choć mało się o tym mówi, administrator, który poinformuje PUODO o naruszeniu, będzie mógł skorzystać z jego wsparcia, np. w postaci rad i wskazówek, jakie działania może podjąć w celu zmniejszenia skutków naruszenia. Głównym zadaniem Urzędu jest bowiem dbanie o należytą ochronę praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych, a nie piętnowanie administratorów.

Jak wskazałem w jednym z wcześniejszych wpisów, odpowiedzialność za naruszenie ochrony danych w RODO ma charakter zindywidualizowany. Ustawodawca unijny nigdzie nie stwierdził, że u administratora, który dostosował się do RODO, nie może dojść do incydentu w obszarze ochrony danych osobowych. W razie takiego zdarzenia, znaczenie w kontekście ewentualnej odpowiedzialności będzie mieć poziom i adekwatność środków organizacyjnych i technicznych wdrożonych przez firmę w celu ochrony danych osobowych.

W ostateczności, jeżeli Prezes Urzędu dowie się o naruszeniu z innych źródeł i w trakcie kontroli okaże się, że administrator świadomie zaniechał zawiadomienia PUODO, będzie to stanowić okoliczność obciążającą administratora. Co więcej, brak notyfikacji sam w sobie stanowi naruszenie RODO, które jest zagrożone karą do 10 000 000 EUR lub 2 % całkowitego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. W takim przypadku, na administratora będą mogły zostać nałożone dwie kary.

Nie każdy przypadek naruszenia ochrony danych osobowych będzie skutkować koniecznością zgłoszenia do PUODO. Nie będzie takiego obowiązku, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W praktyce, ustalenie to często może być dla administratora trudne, szczególnie jeżeli w firmie nie wyznaczono inspektora ochrony danych i nie ma pracownika, który posiadałby wiedzę w zakresie bezpieczeństwa informacji.

Jeżeli zachodzą wątpliwości, czy dane zdarzenie rzeczywiście jest naruszeniem ochrony danych podlegającym zgłoszeniu do PUODO, zalecana jest konsultacja z zewnętrznym specjalistą w zakresie ochrony danych osobowych.

W związku z obowiązkiem notyfikacji naruszeń, w firmie powinny zostać opracowane stosowne procedury szybkiego reagowania. Aby móc zgłosić naruszenie ochrony danych do PUODO, należy najpierw ustalić, że do samego naruszenia faktycznie doszło. Firma powinna zatem wprowadzić stosowne mechanizmy, które umożliwią jej wykrycie incydentu w obszarze ochrony danych. Powzięcie wiadomości o naruszeniu np. po kilku miesiącach od zdarzenia, z pewnością nie będzie działać na jego korzyść.

Warto dodać, że w niektórych przypadkach, administrator będzie miał także obowiązek zawiadomienia o naruszeniu także osób, których dane dotyczą. W związku z tym, powinien mieć możliwość ustalenia, czyje dane osobowe i w jakim zakresie zostały naruszone.

Co istotne, kiedy w RODO mowa jest o naruszeniu ochrony danych osobowych, nie oznacza to wyłącznie uzyskania dostępu do danych przez osobę nieuprawnioną w wyniku jej świadomego, bezprawnego działania, ale także wiele innych zdarzeń, w tym niezamierzonych, incydentalnych czy przypadkowych. Przykładowo, do naruszenia ochrony danych osobowych może dojść w sytuacji, gdy administrator utraci dane, np. w wyniku awarii nośnika, na którym były one zapisane (przypadek braku kopii zapasowej) lub  pomyłkowego usunięcia danych przez pracownika, który nie został właściwie przeszkolony w zakresie zasad przetwarzania i ochrony danych osobowych. Ci administratorzy, którzy nie będą dbać o wiedzę swoich pracowników w zakresie przepisów o ochronie danych osobowych i wewnętrznych procedur (które również nie powinny być ustalone raz na zawsze, ale co pewien czas sprawdzane i aktualizowane), będą narażeni na znacznie wyższe ryzyko.

Niezależnie od obowiązku zgłoszenia naruszenia do PUODO, każdy administrator powinien prowadzić wewnętrzny rejestr naruszeń ochrony danych osobowych. Wpisowi do tego rejestru podlegać będą wszystkie zdarzenia, w tym mniej znaczące incydenty, niepodlegające zgłoszeniu do PUODO ani zawiadomieniu osoby, której dane dotyczą.

Jeżeli uznajesz ten wpis za wart polecenia, udostępnij go, aby wiadomości o nowym obowiązku zgłaszania naruszeń dotarły do jak największej liczby zainteresowanych.

Zobacz także:

RODO – obalamy mity

Dodaj komentarz