Okazją do dyskusji nt. obowiązku zgłaszana incydentów związanych z danymi osobowymi była ubiegłotygodniowa konferencja „Ocena ryzyka a ochrona danych osobowych”, która odbyła się w siedzibie Urzędu Ochrony Danych Osobowych. Wydanie zaktualizowanego poradnika UODO nt. oceny ryzyka w przypadku naruszenia ochrony danych osobowych zapowiedział na niej Bartłomiej Kowalski z departamentu kontroli i naruszeń UODO. Publikacja jest spodziewana w najbliższych dniach.

Dr Mirosław Gumularz, radca prawny z Kancelarii NTL (NewTechLaw.eu), zwraca uwagę, że podczas konferencji pojawiły się trzy istotne kwestie z punktu widzenia praktyki. W jego ocenie będą one wymagały przeglądu procedur dotyczących naruszeń ochrony danych osobowych w organizacjach.

 

Czy trzeba zgłosić incydent do UODO

Jedna z tych kwestii dotyczy oceny ryzyka po stwierdzeniu naruszenia ochrony danych. - Przedstawiciele urzędu wskazali, że administrator danych ma obowiązek przeprowadzenia oceny ryzyka, aby ustalić, czy musi zgłosić incydent do prezesa UODO oraz powiadomić osoby, których dane zostały naruszone – wskazuje dr Gumularz. - Warto podkreślić, że tylko w wyjątkowych przypadkach administrator będzie mógł powoływać się na przesłanki wyłączające obowiązek zgłoszenia naruszenia – dodaje.

Ekspert nawiązuje do referatu Bartłomieja Kowalskiego, który zapowiedział już, że w poradniku UODO zostanie opisany trzystopniowy model postępowania w przypadku naruszenia ochrony danych osobowych. - Stopień pierwszy to brak ryzyka. Dopóki administrator jest w stanie wykazać, że ryzyko w zasadzie nie występuje, należy to naruszenie wyłącznie dokładnie udokumentować - mówi przedstawiciel UODO. - Stopień drugi to ryzyko, w literaturze nazywane np. ryzykiem zwykłym. Jeżeli naruszenie ochrony danych osobowych może generować ryzyko – jakiekolwiek ryzyko - należy je udokumentować (stopień pierwszy) i zgłosić prezesowi UODO (stopień drugi). Stopień trzeci to wysokie ryzyko. Naruszenia ochrony danych osobowych, które mogą generować wysokie ryzyko, należy udokumentować (stopień pierwszy), zgłosić prezesowi UODO (stopień drugi) i zawiadomić o tym naruszeniu osoby, których dane te dotyczą (stopień trzeci) - mówił Bartłomiej Kowalski.

Dr Gumularz przytacza treść art. 33 ust. 1 RODO, zgodnie z którą w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki (…) zgłasza je organowi nadzorczemu (…), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

- Wskazany przepis może być różnie interpretowany. Natomiast przedstawiciel UODO szczególnie podkreślił, że tylko brak ryzyka wyłącza obowiązek zgłoszenia zdarzenia – zwraca uwagę dr Gumularz. Jak dodaje, jego zdaniem jest to ważna różnica w porównaniu z popularnymi metodykami, jak np. ENISA (Agencji UE ds. Cyberbezpieczeństwa), które posługują się kryterium niskiego ryzyka.

- UODO zdaje się wskazywać, że nawet przy niskim ryzyku zgłoszenie do UODO jest wymagane – podsumowuje ekspert.

- Mam wrażenie, że UODO lubi otrzymywać zgłoszenia - komentuje w rozmowie z Prawo.pl dr Paweł Litwiński, adwokat, partner w kancelarii prawnej Barta Litwiński. Jak wskazuje, wynika to chociażby z podejścia w kontekście pracodawców, którzy nie odebrali byłym pracownikom dostępu do Platformy Usług Elektronicznych ZUS. - Wtedy to UODO zastosował wykładnię, zgodnie z którą o naruszeniu ochrony danych osobowych można mówić, gdy istnieje prawdopodobieństwo dostępu do danych osobowych przez osobę nieuprawnioną, a nie wtedy, gdy mamy wystarczający stopień pewności, że do takiego dostępu doszło – przypomina Paweł Litwiński. - Na niedawnej konferencji urząd, jak się wydaje, poszedł o krok dalej: padło bowiem stwierdzenie, że mimo tego, iż w wyniku analizy ryzyka związanego z naruszeniem dochodzimy do wniosku, że to ryzyko jest niewielkie, to i tak czasami powinniśmy to naruszenie zgłosić – dodaje.

Czytaj w LEX: Naruszenie ochrony danych osobowych na gruncie RODO > >

 

Cena promocyjna: 53.1 zł

|

Cena regularna: 59 zł

|

Najniższa cena w ostatnich 30 dniach: 59 zł


Zgłoszenie incydentu nie oznacza, że naruszono RODO

Co takie podejście oznacza dla administratorów danych? Dr Litwiński przypomina, że zgłoszenie to jedynie zawiadomienie o zaistnieniu pewnej sytuacji i samo w sobie nie przesądza o winie.

- Może się jednak okazać, że takie zgłoszenie będzie dla urzędu impulsem, aby przyjrzeć się, jak w danej organizacji chronione są dane osobowe. Przykład: zagubienie laptopa z danymi klientów może być oceniane jako zdarzenie o niewielkim ryzyku, przy okazji może jednak okazać się, że dane na dysku nie zostały zaszyfrowane, chociaż powinny. Dlatego każde zgłoszenie rodzi pewne ryzyko dla organizacji – wskazuje Paweł Litwiński. - Z drugiej strony brak zgłoszenia może być jeszcze gorszym rozwiązaniem. Jedną z przesłanek braną pod uwagę przy określeniu wysokości kary jest to, czy urząd otrzymał zgłoszenie o naruszeniu, czy też dowiedział się o nim np. z mediów – dodaje.

Mirosław Gumularz zwraca uwagę, że było to drugie istotne zagadnienie poruszane podczas konferencji. UODO zaprezentował stanowisko, zgodnie z którym samo wystąpienie naruszenia nie zawsze wynika z błędu administratora danych. - Co istotne, zgłoszenie incydentu do organu nadzorczego nie oznacza automatycznie, że doszło do złamania przepisów RODO. Podkreślono również, że termin „naruszenie ochrony danych osobowych” nie powinien być utożsamiany z naruszeniem RODO, ponieważ są to dwa odrębne pojęcia – wyjaśnia dr Gumularz.

Przeczytaj także: Różne podejścia do ryzyka w ochronie danych osobowych

Sprawdź w LEX: Od naruszenia bezpieczeństwa przetwarzanych danych osobowych do nałożenia kary przez Prezesa UODO – zagadnienia praktyczne > >

 

Nie każdy podmiot publiczny to zaufany odbiorca

Trzecia kwestia poruszana na ostatniej konferencji, na którą zwraca szczególną uwagę, dotyczyła pojęcia „zaufanego odbiorcy”. Ujawnienie danych osobowych takiemu odbiorcy może wyłączyć obowiązek zgłoszenia incydentu do prezesa UODO. - Urząd wskazał warunki, które muszą być spełnione, aby dany podmiot można było uznać za „zaufanego odbiorcę” m.in. znajomość procedur bezpieczeństwa tego konkretnego podmiotu – mówi dr Gumularz. - Podkreślono, że każda sytuacja wymaga indywidualnej analizy. Nie można automatycznie uznać żadnego podmiotu za „zaufanego odbiorcę”. To oznacza w praktyce m.in., że nie można przyjmować, że zawsze podmiot z sektora publicznego jest zaufanym odbiorcą – podsumowuje ekspert.

Konferencja „Ocena ryzyka a ochrona danych osobowych” odbyła się pod patronatem Prawo.pl.

Zobacz procedurę w LEX: Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu > >