Obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu wg Rozporządzenia UE

• Rafał Stępniewski
• /
• 25 lipca 2016

Naruszenie ochrony danych osobowych i obowiązek jego zgłaszania nie były dotychczas uregulowane w krajowej ustawie o ochronie danych osobowych. Dopiero Rozporządzenie UE o ochronie danych osobowych z maja tego roku zdefiniowało czym jest naruszenie, określiło obowiązki związane ze zgłaszaniem naruszeń, sposobach ich spełnienia, a także powiadomieniem osób, których prawa lub wolności mogą zostać naruszone wskutek takiego zdarzenia.

Przed wejściem w życie Rozporządzenia UE (dalej: Rozporządzenie) kwestie naruszenia ochrony danych osobowych zostały określone pośrednio w art. 174a – 174d ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne oraz w nowelizacji ustawy z 16 listopada 2012 r. stanowiącej implementację Rozporządzenia Komisji Europejskiej z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych.

Naruszenie przed i po wejściu Rozporządzenia w życie

Wzmianka w ustawie Prawo telekomunikacyjne

Ustawa Prawo telekomunikacyjne w art. 174a zdefiniowała czym jest naruszenie danych osobowych. Przytaczając definicję, jest nim „przypadkowe lub bezprawne zniszczenie, utrata, zmiana, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych”.

Wg Rozporządzenia UE

Rozporządzenie natomiast w pkt. 12 art. 4 o naruszeniu ochrony danych osobowych mówi iż jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Naruszeniem może być włamanie do serwera skutkujące zablokowaniem dostępu do jego zasobów lub skopiowaniem przechowywanych w nim danych osobowych, udostępnienie przez pracownika danych klienta postronnej osobie czy utrata akt osobowych z danymi osobowymi pracowników w wyniku pożaru pomieszczenia, w którym były przechowywane.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Wnioski z porównania

Zestawiając ze sobą powyższe definicje można dojść do wniosku, że tak naprawdę oba akty prawne podkreślają w identyczny sposób istotę naruszenia. Z tą różnicą, że Rozporządzenie definiuje naruszenie, bez względu na branżę, w której dany podmiot prywatny lub publiczny prowadzi działalność. Rozporządzenie obejmuje zarówno gminny ośrodek pomocy społecznej, jak i przedsiębiorcę telekomunikacyjnego i określa obowiązki dotyczące postępowania w związku z zaistniałym naruszeniem.

Zgłaszanie naruszeń ochrony danych osobowych

Rozporządzenie w art. 33 ust. 1 wskazuje wprost obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (GIODO). Przepis ten zobowiązuje administratora danych do niezwłocznego – w miarę możliwości, lecz nie później niż 72 godziny po stwierdzeniu naruszenia – zgłoszenia naruszenia. Zgłoszenie, zgodnie z ust. 3, musi zawierać co najmniej:

• opis charakteru naruszenia, w tym wskazywać kategorię osób i kategorię wpisów danych osobowych, których dotyczy naruszenie,
• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego możliwe jest pozyskanie szczegółowych informacji;
• opis możliwych konsekwencji naruszenia ochrony danych osobowych;
• opis podjętych działań lub proponowanych działań przez administratora danych w celu zminimalizowania potencjalnych skutków naruszenia.

Rozporządzenie przewiduje wyjątek od obowiązku zgłoszenia, w sytuacji gdy istnieje małe prawdopodobieństwo naruszenia praw lub wolności osób, których dane dotyczą.

Rozporządzenie nie precyzuje formy zgłoszenia naruszenia, zatem administrator danych może wybrać najbardziej dla siebie korzystną, o ile GIODO nie doprecyzuje jej w ustawie o ochronie danych osobowych, w ramach implementacji przepisów Rozporządzenia.

Dokumentacja zgłoszeń naruszenia ochrony danych osobowych

Obowiązkiem administratora danych, obok zgłoszenia, jest dokumentacja wszelkich zaistniałych naruszeń ochrony danych osobowych, ich okoliczności, skutków oraz podjętych działań zaradczych (art. 33 ust. 5 Rozporządzenia). Podobnie jak przy obowiązku zgłoszenia naruszenia, nie została określona forma dokumentowania naruszeń. Biorąc pod uwagę powszechność dokumentów elektronicznych, można wywnioskować, że przedsiębiorcy zastosują elektroniczną formę prowadzenia rejestru, np. w postaci tabeli opracowanej w Excelu, zawierającej wszystkie wymagane informacje o zaistniałych naruszeniach.

Poinformowanie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych

Rozporządzenie, w art. 34, nakłada na administratora danych obowiązek niezwłocznego zawiadomienia osoby, której dane dotyczą, o zaistniałym naruszeniu, jeżeli istnieje wysokie ryzyko naruszenia jej praw lub wolności (ust. 1). Zawiadomienie zawiera dane kontaktowe administratora danych, opis potencjalnych skutków naruszenia oraz opis podjętych działań, w tym zastosowanych środków przez administratora danych w celu zminimalizowania jego skutków (ust. 2). Poinformowanie nie jest jednak obowiązkowe, jeżeli administrator danych wdrożył i zastosował odpowiednie zabezpieczenia organizacyjne i techniczne (w szczególności szyfrowanie danych osobowych) eliminujące wysokie prawdopodobieństwo naruszenia praw lub wolności, bądź w sytuacji, gdy zawiadomienie wymagałoby działań nieproporcjonalnych do wagi naruszenia (ust. 3).

Opisywany artykuł przewiduje również prawo organu nadzorczego do żądania od administratora danych zawiadomienia osoby, której dane dotyczą, jeżeli administrator danych nie dokonał zawiadomienia o naruszeniu, które w ocenie organu nadzorczego niesie wysokie ryzyko naruszenia praw lub wolności lub do stwierdzenia, że administrator danych zastosował jeden ze środków eliminujących wysokie ryzyko naruszenia praw lub wolności (ust. 4).

Obowiązek zgłaszania naruszeń ciąży także na podmiocie przetwarzającym

Nowym obowiązkiem, dotychczas nieuregulowanym, jest niezwłoczne zgłoszenie administratorowi danych przez podmiot przetwarzający (dalej: Procesora) stwierdzonego naruszenia ochrony danych osobowych (art. 33 ust. 2 Rozporządzenia). Zgłoszone przez Procesora naruszenie musi być niezwłoczne, nie później niż w ciągu 72 godzin, zgłoszone przez administratora danych organowi nadzorczemu, co wynika z faktu, że Procesor jest wyłącznie podmiotem, któremu dane osobowe zostały powierzone do przetwarzania w określonym celu.

Następstwa dla przedsiębiorców

Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu oraz ich dokumentowanie wraz z zawiadomieniem osób tworzy nowe obowiązki, które przedsiębiorcy muszą spełnić, aby zachować zgodność z przepisami Rozporządzenia. Niespełnienie któregokolwiek z obowiązków stanowi podstawę do wydania przez organ nadzorczy decyzji administracyjnej, nakazującej podjęcie określonego działania przywracającego zgodność z przepisami Rozporządzenia (art. 58 ust. 2 Rozporządzenia). Za niewykonanie decyzji administracyjnej organ nadzorczy może nałożyć administracyjną karę pieniężną, zgodnie z art. 83 ust. 4 – 6 Rozporządzenia.                 

Spełnienie obowiązków zgłaszania i dokumentacji naruszeń może wiązać się z koniecznością wdrożenia wewnętrznej instrukcji lub procedury postępowania w sytuacji określonego naruszenia ochrony danych osobowych, w tym jego zgłoszenia i dokumentowania oraz zawiadamiania osób o naruszeniu. Przy czym należy wziąć pod uwagę najczęściej występujące zagrożenia dla przetwarzania danych osobowych w związku z prowadzoną działalnością, zidentyfikowane na podstawie dokonanej wcześniej oceny skutków, inaczej szacowania ryzyka, z art. 35 Rozporządzenia. Taka instrukcja lub procedura może być dołączona do Polityki Bezpieczeństwa, w formie załącznika lub jako rozdział.

Oprócz opracowania odpowiednich dokumentów, niezbędne mogą być zmiany organizacyjne, m.in. oddelegowanie pracowników do kontaktu z organem nadzorczym, zgłaszania naruszeń organowi nadzorczemu i ich dokumentacji, przeszkolenie z analizy zdarzeń mogących skutkować naruszeniami, a także dokonanie zmian w konfiguracji oprogramowania przeznaczonego do dokonywania zgłoszeń organowi nadzorczemu i zawiadomień osób o naruszeniach. Pomocne może okazać się powołanie inspektora ochrony danych, którego wiedza i doświadczenie mogą wspomóc administratora danych lub Procesora w spełnieniu opisywanych czynności.

Podsumowanie

Nie ma wątpliwości, że obowiązek zgłaszania naruszeń ochrony danych osobowych wpłynie na wzmocnienie ochrony danych osobowych. Kilka istotnych pytań pozostaje jednak bez odpowiedzi, m.in. jak należy rozumieć określenie „niezwłocznie” w przypadku zgłoszenia naruszenia czy „wysokie prawdopodobieństwo ryzyka naruszenia praw lub wolności osób”.  Nie wiadomo również w jakiej formie ma być prowadzona dokumentacja zaistniałych naruszeń i zawiadomień. Na poznanie odpowiedzi przyjdzie nam poczekać do aż minie okres przystosowawczy polskich przepisów do przepisów Rozporządzenia.

                 

  

                   

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.