Grupa Robocza podkreśla, że to na administratorze danych spoczywa odpowiedzialność za ochronę danych osobowych, jednak przy zgłaszaniu naruszeń istna jest także rola procesora, który powinien umożliwić administratorowi danych wywiązanie się z obowiązków dotyczących ewidencjonowania i zgłaszania naruszeń.
W szczególności przywoływana jest treść art. 28 ust. 3 lit. f RODO „uwzględniając charakter przetwarzania oraz dostępne mu informacje,[procesor] pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;” – a zatem także i z obowiązków związanych z ewidencjonowaniem i zgłaszaniem naruszeń, które zostały uregulowane w art. 33-34 RODO.
Wytyczne wskazują, że moment stwierdzenia naruszenia przez procesora, (co do zasady) należy utożsamiać z momentem stwierdzenia naruszenia przez administratora – dlatego tak ważne jest precyzyjne uregulowanie trybu sposobu powiadamiania przez procesora swojego ADO. Grupa robocza wskazuje, że w umowie można udzielić procesorowi uprawnienia do zgłaszania naruszenia w umieniu ADO – jednak należy pamiętać, że od strony formalnej wciąż jest to obowiązek, który spoczywa na ADO
Jednym z obowiązkowych elementów zgłoszenia naruszenia do organu nadzorczego, zgodnie z art. 33 ust. 3 lit. a RODO, jest wskazanie kategorii osób, których dotyczyło naruszenie – wytyczne precyzują, że wskazaniem kategorii może być określenie grupy osób – np. „pracownicy”, „klienci” natomiast przy kategoriach danych osobowych wytyczne podają przy między innymi przykłady „danych o stanie zdrowia” oraz „danych o wykształceniu” – można zatem dostrzec zbieżność z dotychczasową praktyką uwidocznioną np. przy istniejącym w dotychczasowym stanie prawnym obowiązku zgłaszania zbiorów danych, gdzie na podobnych zasadach określano kategorie osób, oraz kategorie danych.
Wytyczne wskazują także, że opis kategorii osób musi być dokonywany w kontekście konkretnego ryzyka – np. jeżeli z kontekstu incydentu wynika, że możliwa jest kradzież tożsamości, to informacje zawarte w zgłoszeniu, a zatem i określenie kategorii osób i danych powinno być tak dokonane tak, by poprzez przekazanie tych informacji skonkretyzować możliwy zakres ewentualnych konsekwencji.
Grupa robocza podkreśla, że podanie w zgłoszeniu naruszenia liczby osób, oraz liczby rekordów może być liczbą szacunkową, a samo zgłoszenie może być dokonane częściowo („notification in phases”) – gdy w miarę upływu czasu ADO uzyska dodatkowe informacje, możliwe będzie uzupełnienie wstępnego zgłoszenia o informacje uzyskane później.
W wytycznych wskazano, że możliwa jest sytuacja, w której organ nadzorczy zostanie poinformowany już po uprzednim poinformowaniu osób, których dotyczyło naruszenie.
Jako wyjątek – choć w pewnych sytuacjach dopuszczalny – wskazano sytuację, w których ADO dokonuje zgłoszenia do organu nadzorczego po upływie 72 godzin, jako przykład sytuacji, w której takie zachowanie byłoby uzasadnione
Grupa Robocza podaje serię naruszeń poufności o charakterze ciągłym, spowodowaną różnymi przyczynami, do których ustalenia niezbędny jest dłuższy czas nić 72 godziny.
W przypadku, gdy naruszenie dotyczy osób w więcej niż jednym państwie członkowskim- co do zasady – ADO powinien poinformować organ „wiodący” – pomocne przy ustalani organu wiodącego w odniesieniu do konkretnej sytuacji mogą być uprzednio wydane wytyczne z 5 kwietnia dotyczące identyfikowania wiodącego organu nadzorczego (WP 244).
Grupa Robocza podaje też przykłady sytuacji, w których dokonanie zgłoszenia będzie zbędne – pomimo zaistnienia naruszenia. Jako przykłady Grupa Robocza podaje:
– ujawnienie danych, które już wcześniej były powszechnie dostępne
– zgubienie płyty cd z danymi osobowymi zaszyfrowanymi w sposób skutecznie uniemożliwiający dostęp do treści (chyba, że nie istnieję kopie zapasowe utraconych danych)
Inaczej mówiąc, w sytuacjach, w których naruszenie polega na utracie np. nośnika z danymi, które jednak zostały skutecznie zaszyfrowane, a istnieją kopie zapasowe pozwalające na odtworzenie informacji zawartych na utraconym nośniku – możliwe jest stwierdzenie, że „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” – zarówno pod kątem poufności, dostępności jak i integralności.
Powyższe uwagi dotyczą jednak wyłącznie tych sytuacji, w których wykorzystana metoda szyfrowania nie zawiera luk lub nie jest zdezaktualizowana. W związku z tym Grupa Robocza podkreśla obowiązek dochowania przez ADO szczególnej staranności przy wyborze takiego oprogramowania/standardu szyfrowania który zapewni realną ochronę danych.
Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego RBDO | Specjalista ds. ochrony danych osobowych
Copyright. Opracowanie autorskie. Wydawnictwo RBDO.PL
Wszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy RBDO.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: biuro@rbdo.pl
Nowe terminy szkoleń z procedur UE RODO Warszawa – 27 listopada oraz 4-5 grudnia 2017 – wyślij delegata firmy i rezerwuj szkolenie tutaj >>
• Nowe procedury ochrony danych UE (RODO) przewidują kary finansowe za uchybienia ochrony danych do 20 mln EURO lub wyższe do 4% przychodu za ub. rok
• W wielu firmach pojawi się obowiązek powołania stanowiska niezależnego Inspektora Ochrony Danych
• Pojawi się wiele nowych procedur, m .in. oceny ryzyk przetwarzania danych, prowadzenie rejestrów czynności czy zgłaszania incydentów w 72 h
—-
Jeśli są Państwo zainteresowani szkoleniem lub audytem i przygotowaniem się do nowych procedur UE (RODO), prosimy o kontakt na mail: biuro@rbdo.pl
Informacje i porady prawne z zakresu ochrony danych: (22) 487 86 70