UE RODO. Wytyczne w sprawie zgłaszania naruszeń ochrony danych – (Część II)

Grupa Robocza podkreśla, że to na administratorze danych spoczywa odpowiedzialność za ochronę danych osobowych, jednak przy zgłaszaniu naruszeń istna jest także rola procesora, który powinien umożliwić administratorowi danych wywiązanie się z obowiązków dotyczących ewidencjonowania i zgłaszania naruszeń.

W szczególności przywoływana jest treść art. 28 ust. 3 lit. f RODO „uwzględniając charakter przetwarzania oraz dostępne mu informacje,[procesor] pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;” – a zatem także i z obowiązków związanych z ewidencjonowaniem i zgłaszaniem naruszeń, które zostały uregulowane w art. 33-34 RODO.

Wytyczne wskazują, że moment stwierdzenia naruszenia przez procesora, (co do zasady) należy utożsamiać z momentem stwierdzenia naruszenia przez administratora – dlatego tak ważne jest precyzyjne uregulowanie trybu sposobu powiadamiania przez procesora swojego ADO. Grupa robocza wskazuje, że w umowie można udzielić procesorowi uprawnienia do zgłaszania naruszenia w umieniu ADO – jednak należy pamiętać, że od strony formalnej wciąż jest to obowiązek, który spoczywa na ADO

Jednym z obowiązkowych elementów zgłoszenia naruszenia do organu nadzorczego, zgodnie z art. 33 ust. 3 lit. a RODO, jest wskazanie kategorii osób, których dotyczyło naruszenie – wytyczne precyzują, że wskazaniem kategorii może być określenie grupy osób – np. „pracownicy”, „klienci” natomiast przy kategoriach danych osobowych wytyczne podają przy między innymi przykłady „danych o stanie zdrowia” oraz „danych o wykształceniu” – można zatem dostrzec zbieżność z dotychczasową praktyką uwidocznioną np. przy istniejącym w dotychczasowym stanie prawnym obowiązku zgłaszania zbiorów danych, gdzie na podobnych zasadach określano kategorie osób, oraz kategorie danych.

Wytyczne wskazują także, że opis kategorii osób musi być dokonywany w kontekście konkretnego ryzyka – np. jeżeli z kontekstu incydentu wynika, że możliwa jest kradzież tożsamości, to informacje zawarte w zgłoszeniu, a zatem i określenie kategorii osób i danych powinno być tak dokonane tak, by poprzez przekazanie tych informacji skonkretyzować możliwy zakres ewentualnych konsekwencji.

Grupa robocza podkreśla, że podanie w zgłoszeniu naruszenia liczby osób, oraz liczby rekordów może być liczbą szacunkową, a samo zgłoszenie może być dokonane częściowo („notification in phases”)  – gdy w miarę upływu czasu ADO uzyska dodatkowe informacje, możliwe będzie uzupełnienie wstępnego zgłoszenia o informacje uzyskane później.

W wytycznych wskazano, że możliwa jest  sytuacja, w której organ nadzorczy zostanie poinformowany już po uprzednim poinformowaniu osób, których dotyczyło naruszenie.

Jako wyjątek – choć w pewnych sytuacjach dopuszczalny – wskazano sytuację, w których ADO dokonuje zgłoszenia do organu nadzorczego po upływie 72 godzin, jako przykład sytuacji, w której takie zachowanie byłoby uzasadnione
Grupa Robocza podaje serię naruszeń poufności o charakterze ciągłym, spowodowaną różnymi przyczynami, do których ustalenia niezbędny jest dłuższy czas nić 72 godziny.

W przypadku, gdy naruszenie dotyczy osób w więcej niż jednym państwie członkowskim- co do zasady – ADO powinien poinformować organ „wiodący” – pomocne przy ustalani organu wiodącego w odniesieniu do konkretnej sytuacji mogą być uprzednio wydane wytyczne z 5 kwietnia dotyczące identyfikowania wiodącego organu nadzorczego (WP 244).

Grupa Robocza podaje też przykłady sytuacji, w których dokonanie zgłoszenia będzie zbędne – pomimo zaistnienia naruszenia. Jako przykłady Grupa Robocza podaje:

– ujawnienie danych, które już wcześniej były powszechnie dostępne

– zgubienie płyty cd z danymi osobowymi zaszyfrowanymi w sposób skutecznie uniemożliwiający dostęp do treści (chyba, że nie istnieję kopie zapasowe utraconych danych)

Inaczej mówiąc, w sytuacjach, w których naruszenie polega na utracie np. nośnika z danymi, które jednak zostały skutecznie zaszyfrowane, a istnieją kopie zapasowe pozwalające na odtworzenie informacji zawartych na utraconym nośniku – możliwe jest stwierdzenie, że „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” – zarówno pod kątem poufności, dostępności jak i integralności.

Powyższe uwagi dotyczą jednak wyłącznie tych sytuacji, w których wykorzystana metoda szyfrowania nie zawiera luk lub nie jest zdezaktualizowana. W związku z tym Grupa Robocza podkreśla obowiązek dochowania przez ADO szczególnej staranności przy wyborze takiego oprogramowania/standardu szyfrowania który zapewni realną ochronę danych.


Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego RBDO | Specjalista ds. ochrony danych osobowych

Copyright. Opracowanie autorskie. Wydawnictwo RBDO.PL

Wszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy RBDO.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: biuro@rbdo.pl


Nowe terminy szkoleń z procedur UE RODO Warszawa – 27 listopada oraz 4-5 grudnia 2017  – wyślij delegata firmy i rezerwuj szkolenie tutaj >>

• Nowe procedury ochrony danych UE (RODO) przewidują kary finansowe za uchybienia ochrony danych do 20 mln EURO lub wyższe do 4% przychodu za ub. rok

 W wielu firmach pojawi się obowiązek powołania stanowiska niezależnego Inspektora Ochrony Danych

 Pojawi się wiele nowych procedur, m .in. oceny ryzyk przetwarzania danych, prowadzenie rejestrów czynności czy zgłaszania incydentów w 72 h

—-

Jeśli są Państwo zainteresowani szkoleniem lub audytem i przygotowaniem się do nowych procedur UE (RODO), prosimy o kontakt na mail: biuro@rbdo.pl

Informacje i porady prawne z zakresu ochrony danych: (22) 487 86 70

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *