„Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” – nowy poradnik UODO (1)

„Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” – nowy poradnik UODO

Dodano: Czerwiec 12, 2019 Kategoria: Administrator danych, Wszystkie wpisy Autor: Maciej Jakubowski

Z końcem maja  2019 r. Urząd Ochrony Danych Osobowych (UODO) wydał kolejny poradnik mający ułatwić rozumienie i stosownie przepisów RODO. Tym razem wzięto pod lupę obowiązki administratorów związane z naruszeniami ochrony danych osobowych.  Zagadnienia te są szczególnie istotne, ponieważ wiążą się z dużym ryzykiem dla administratorów oraz pozostają w bezpośredniej relacji z ewentualnymi sankcjami. Warto docenić bardzo praktyczne podejście organu do tematu, a w szczególności dużą ilość konkretnych przykładów.

Zgodnie z informacją zamieszczoną na stronie UODO, od momentu stosowania RODO administratorzy dokonali 4 539 zgłoszeń naruszeń ochrony danych osobowych. Przeważająca część, bo aż 2/3 dotyczyła sektora prywatnego. Opierając się na rocznym doświadczeniu organ wysnuł podstawowy wniosek – administratorzy niezmiennie mają trudności z oceną, jakie ryzyko dla praw i wolności osób, których dane dotyczą, może powodować dane zdarzenie lub też czy jest ono w ogóle naruszeniem ochrony danych, o którym stanowi art. 33 RODO.

Czym jest naruszenie ochrony danych i jakie obowiązki ze sobą niesie?

Poza wskazaniem ogólnej definicji naruszenia z art. 4 pkt 12 RODO, organ odniósł się do wytycznych Grupy Roboczej Art. 29. Wskazano, że można wyróżnić trzy typy naruszeń ochrony danych osobowych:

  • naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;
  • naruszenie dostępności – polega na czasowej bądź trwałej utracie lub zniszczeniu danych;
  • naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany;

Każdy z punktów opatrzono przykładami, które pozwalają w łatwy sposób zrozumieć istotę problemu. Następnie wprost odwołano się do przepisów RODO, wskazując jakie obowiązki wiążą się naruszeniem ochrony danych osobowych. Przy czym ukazano problem zarówno z perspektywy administratora, współadministratorów oraz podmiotu przetwarzającego. Podkreślono rolę jaką pełnią odpowiednie procedury postepowania na wypadek wystąpienia naruszenia ochrony danych np. opis postępowania personelu administratora.

O jakich naruszeniach trzeba powiadomić Prezesa UODO?

W sytuacji naruszenia podstawową rzeczą jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Obowiązek zgłoszenia naruszenia organowi nadzorczemu będzie uzależniony od otrzymanych wyników. Więcej informacji oraz samo pojęcie „podejścia opartego na ryzyku” zostało wytłumaczone prze UODO w oddzielnym poradniku. (Link do poradnika).

Zgłoszenie naruszenia

W poradniku znajdziemy wszelkie informacje potrzebne do dokonania prawidłowego zgłoszenia tj.:

  1. Potrzebny formularz i informacje jak go można zgłosić;
  2. Informacje, które musi zawierać zgłoszenie naruszenia;
  3. Termin w jakim należy zgłosić naruszenie;
  4. Najczęściej popełniane błędy podczas zgłaszania naruszeń.

Co do zasady administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jednakże w niektórych sytuacjach istnieje możliwość sukcesywnego udzielania informacji. Szczególnie dużo uwagi poświęcono kwestii zawartości zgłoszenia. Ma to kluczowe znaczenie dla podjęcia szybkiego i skutecznego działania przez organ. Na bazie zebranych doświadczeń organ wskazuje, że zgłoszenia często bywają lakoniczne i nierzetelne np. opis naruszenia ogranicza się do jednego zdania. W wielu przypadkach zgłoszenia wypełnianie są w sposób rutynowy, prowadzący do błędów, bądź przez podmiot nieuprawniony do tego.

Ocena ryzyka i dokumentacja

W ocenie UODO dokonanie analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą ma wiodące znaczenie. Dlatego wprowadzenie odpowiednich procedur w tym zakresie jest obowiązkiem każdego administratora, niezależnie od tego czy zaistniało naruszeni ochrony danych. Poradnik dostarcza wskazówek dotyczących kryteriów oceny ryzyka, które mogą się okazać niezwykle pomocne. Są to wytyczne Grupy Roboczej art. 29, kryteria z art. 3 ust. 2 rozporządzenia KE nr 611/2013 oraz metodologia ENISA. Warto wskazać na stanowcze stanowisko organu w stosunku do naruszenia, które dotyczy imienia i nazwiska oraz numeru PESEL. W większości sytuacji organ uznaje, że tego typu naruszenie  powoduje wysokie ryzyko. Lista zagrożeń jakie mogą być efektem takiego naruszenia jest długa. W świetle zasady rozliczalności niezwykle ważne znaczenie nabiera dokumentowanie wszelkich naruszeń. Służyć ma do tego wewnętrzna ewidencja. Przy czym pełna realizacja wspomnianej zasady będzie wymagała także udokumentowania sytuacji, w której podjęto decyzję o niezgłoszeniu naruszenia  z uwagi na małe prawdopodobieństwo ryzyka naruszenia praw i wolności osób fizycznych. Z punktu widzenia administratorów przydatne będą także wskazówki co do działań jakie należy podejmować w celu ograniczenia występowania najczęstszych typów naruszeń ochrony danych osobowych np. błędów przy wysyłce email.

Zawiadomienie osób

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. W poradniku podkreślono, że poinformowanie osób fizycznych ma na celu umożliwienie im podjęcia niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia. Informacja powinna być napisana przejrzystym, łatwym do zrozumienia językiem. W tym miejscu znajdziemy przydatne przykłady zarówno poprawie jak i błędnie sformułowanych zawiadomień.  Dzięki nim łatwo można dostrzec istotę problemu. Zwrócono także uwagę, że forma zawiadomienia powinna umożliwiać wielokrotne zapoznanie się z jego treścią. Podobnie jak w przypadku zgłoszeń do organu, najczęściej popełnianym błędem jest niedbałe, zdawkowe konstruowanie zawiadomień do osób fizycznych. Częstym przypadkiem jest brak specjalnego kanału kontaktowego, co powoduje, że osoby pragnące uzyskać więcej informacji na temat naruszenia muszą posługiwać się ogólnodostępnymi drogami komunikacji.

Podsumowanie

Z pewnością warto zapoznać się nowym poradnikiem opracowanym przez UODO. Należy docenić praktyczne podejście organu do omawianych zagadnień. Przede wszystkim zbiera on w jednym miejscu wszelkie niezbędne informacje dotyczące naruszeń ochrony danych osobowych. Następnie porządkuje je, wzbogacając o obrazowe przykłady. W wielu kwestiach organ zaprezentował także wyraźne stanowisko, co z pewnością wpłynie pozytywnie na niektóre wątpliwości interpretacyjne.

Link do poradnika: https://uodo.gov.pl/pl/134/102

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Maciej Jakubowski

Maciej Jakubowski
Aplikant
maciej.jakubowski@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej