UE RODO. Wytyczne omawiające obowiązek zgłaszania naruszeń ochrony danych w 72 h _ część 2

Grupa Robocza podkreśla, że to na administratorze danych spoczywa odpowiedzialność za ochronę danych osobowych, jednak przy zgłaszaniu naruszeń istna jest także rola procesora, który powinien umożliwić administratorowi danych wywiązanie się z obowiązków dotyczących ewidencjonowania i zgłaszania naruszeń.

W szczególności przywoływana jest treść art. 28 ust. 3 lit. f RODO „uwzględniając charakter przetwarzania oraz dostępne mu informacje,[procesor] pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;” – a zatem także i z obowiązków związanych z ewidencjonowaniem i zgłaszaniem naruszeń, które zostały uregulowane w art. 33-34 RODO.

Wytyczne wskazują, że moment stwierdzenia naruszenia przez procesora, (co do zasady) należy utożsamiać z momentem stwierdzenia naruszenia przez administratora – dlatego tak ważne jest precyzyjne uregulowanie trybu sposobu powiadamiania przez procesora swojego ADO. Grupa robocza wskazuje, że w umowie można udzielić procesorowi uprawnienia do zgłaszania naruszenia w umieniu ADO – jednak należy pamiętać, że od strony formalnej wciąż jest to obowiązek, który spoczywa na ADO

Jednym z obowiązkowych elementów zgłoszenia naruszenia do organu nadzorczego, zgodnie z art. 33 ust. 3 lit. a RODO, jest wskazanie kategorii osób, których dotyczyło naruszenie – wytyczne precyzują, że wskazaniem kategorii może być określenie grupy osób – np. „pracownicy”, „klienci” natomiast przy kategoriach danych osobowych wytyczne podają przy między innymi przykłady „danych o stanie zdrowia” oraz „danych o wykształceniu” – można zatem dostrzec zbieżność z dotychczasową praktyką uwidocznioną np. przy istniejącym w dotychczasowym stanie prawnym obowiązku zgłaszania zbiorów danych, gdzie na podobnych zasadach określano kategorie osób, oraz kategorie danych.

Wytyczne wskazują także, że opis kategorii osób musi być dokonywany w kontekście konkretnego ryzyka – np. jeżeli z kontekstu incydentu wynika, że możliwa jest kradzież tożsamości, to informacje zawarte w zgłoszeniu, a zatem i określenie kategorii osób i danych powinno być tak dokonane tak, by poprzez przekazanie tych informacji skonkretyzować możliwy zakres ewentualnych konsekwencji.

Grupa robocza podkreśla, że podanie w zgłoszeniu naruszenia liczby osób, oraz liczby rekordów może być liczbą szacunkową, a samo zgłoszenie może być dokonane częściowo („notification in phases”)  – gdy w miarę upływu czasu ADO uzyska dodatkowe informacje, możliwe będzie uzupełnienie wstępnego zgłoszenia o informacje uzyskane później.

W wytycznych wskazano, że możliwa jest  sytuacja, w której organ nadzorczy zostanie poinformowany już po uprzednim poinformowaniu osób, których dotyczyło naruszenie.

Jako wyjątek – choć w pewnych sytuacjach dopuszczalny – wskazano sytuację, w których ADO dokonuje zgłoszenia do organu nadzorczego po upływie 72 godzin, jako przykład sytuacji, w której takie zachowanie byłoby uzasadnione
Grupa Robocza podaje serię naruszeń poufności o charakterze ciągłym, spowodowaną różnymi przyczynami, do których ustalenia niezbędny jest dłuższy czas nić 72 godziny.

W przypadku, gdy naruszenie dotyczy osób w więcej niż jednym państwie członkowskim- co do zasady – ADO powinien poinformować organ „wiodący” – pomocne przy ustalani organu wiodącego w odniesieniu do konkretnej sytuacji mogą być uprzednio wydane wytyczne z 5 kwietnia dotyczące identyfikowania wiodącego organu nadzorczego (WP 244).

Grupa Robocza podaje też przykłady sytuacji, w których dokonanie zgłoszenia będzie zbędne – pomimo zaistnienia naruszenia. Jako przykłady Grupa Robocza podaje:

– ujawnienie danych, które już wcześniej były powszechnie dostępne

– zgubienie płyty cd z danymi osobowymi zaszyfrowanymi w sposób skutecznie uniemożliwiający dostęp do treści (chyba, że nie istnieję kopie zapasowe utraconych danych)

Inaczej mówiąc, w sytuacjach, w których naruszenie polega na utracie np. nośnika z danymi, które jednak zostały skutecznie zaszyfrowane, a istnieją kopie zapasowe pozwalające na odtworzenie informacji zawartych na utraconym nośniku – możliwe jest stwierdzenie, że „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” – zarówno pod kątem poufności, dostępności jak i integralności.

Powyższe uwagi dotyczą jednak wyłącznie tych sytuacji, w których wykorzystana metoda szyfrowania nie zawiera luk lub nie jest zdezaktualizowana. W związku z tym Grupa Robocza podkreśla obowiązek dochowania przez ADO szczególnej staranności przy wyborze takiego oprogramowania/standardu szyfrowania który zapewni realną ochronę danych.


Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego DPOS | Specjalista ds. ochrony danych osobowych

Copyright. Opracowanie autorskie. Wydawnictwo DPOS.PL

Wszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy DPOS.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: biuro@dpos.pl


Nowe terminy szkoleń z procedur UE RODO Warszawa>>

• Nowe procedury ochrony danych UE (RODO) przewidują kary finansowe za uchybienia ochrony danych do 20 mln EURO lub wyższe do 4% przychodu za ub. rok

 W wielu firmach pojawi się obowiązek powołania stanowiska niezależnego Inspektora Ochrony Danych

 Pojawi się wiele nowych procedur, m .in. oceny ryzyk przetwarzania danych, prowadzenie rejestrów czynności czy zgłaszania incydentów w 72 h

—-

Jeśli są Państwo zainteresowani szkoleniem lub audytem i przygotowaniem się do nowych procedur UE (RODO), prosimy o kontakt na mail: biuro@dpos.pl

Informacje i porady prawne z zakresu ochrony danych: (22) 487 86 70

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *