Kilka tygodni temu Urząd Ochrony Danych Osobowych wydał nową wersję poradnika dotyczącego naruszeń ochrony danych osobowych. Poprzednia wersja pochodziła z 2019 r. i wymagała aktualizacji. Publikacja wywołała szereg komentarzy, głównie dotyczących zdefiniowania obowiązku zgłaszania naruszeń oraz roli inspektora ochrony danych (IOD) w tym procesie.

UODO reaguje na powstałe wątpliwości. Stanowisko zawarte w poradniku rozwinął m.in. w obszernej odpowiedzi na pytania Prawo.pl. Do wątpliwości odniósł się też Mirosław Wróblewski, prezes UODO, w wywiadzie udzielonym naszemu serwisowi. Wreszcie, urząd zorganizował otwarte webinarium na temat publikacji.

- Nowa wersja poradnika tak naprawdę nie wprowadza jakichś rewolucyjnych zmian w tym, co przedstawiliśmy państwu wcześniej. To żaden przewrót kopernikański, a jedynie dostosowanie treści poradnika do zasad prostego języka i do pewnych nowych warunków. Jest to także próba usystematyzowania stanowiska prezesa UODO i europejskich organów nadzorczych, zebrania aktualnej dotychczasowej wiedzy w tym zakresie i przedstawienia jej w jednym dokumencie – mówił na wstępie Bartłomiej Kowalski, specjalista w Departamencie Kontroli i Naruszeń UODO.

Pytań było jednak mnóstwo. Spotkanie pierwotnie zaplanowane na 2 godziny przedłużyło się o blisko godzinę – z konkluzją, że odpowiedzi na wiele pytań zostaną udzielone w późniejszym terminie, a urząd rozważy organizację kolejnych tego typu spotkań. Udostępnione ma zostać również nagranie z piątkowego webinarium.

Urząd wielokrotnie podkreślał, że poradnik nie jest źródłem prawa i nie wprowadza nowych definicji pojęć, po które w pierwszej kolejności trzeba sięgnąć do rozporządzenia RODO. Wprost potwierdził również, że właściwą praktyką w razie wątpliwości co do rozumienia poradnika, będzie lektura wytycznych Europejskiej Rady Ochrony Danych (EROD).

Czytaj także: Produkcja prawa wyhamowała, ale legislacyjnych absurdów nie brakuje

Czym jest naruszenie ochrony danych osobowych

- Każde naruszenie ochrony danych osobowych jest incydentem bezpieczeństwa, choć nie każdy incydent bezpieczeństwa jest naruszeniem ochrony danych osobowych – tłumaczył Bartłomiej Kowalski, odwołując się do str. 8 poradnika. - Można też powiedzieć, że naruszenie ochrony danych osobowych to jest taki incydent bezpieczeństwa, który może doprowadzić do nieuprawnionego naruszenia poufności, integralności lub dostępności przetwarzanych danych osobowych – kontynuował.

Odniósł się też do wątpliwości dotyczących sformułowania „może doprowadzić”. Jak tłumaczył, poradnik nie wpływa na definicję naruszenia zawartą w RODO, lecz pomaga zrozumieć istotę i znaczenie tego terminu.

- Celem tych zapisów poradnika nie jest dodatkowe obciążenie administratorów czy sztuczne zwiększenie liczby zgłoszeń wpływających do organu, lecz zapewnienie bezpieczeństwa osób fizycznych. Bardzo zależało nam na tym, aby zwrócić uwagę na to, że administratorzy powinni zachować czujność i reagować jak najszybciej. W sytuacji wystąpienia incydentu bezpieczeństwa naprawdę nie ma czasu na to, żeby analizować, czy dane zdarzenie może doprowadzić np. do naruszenia poufności; czy ta poufność już jest naruszona, czy już prawie naruszona, czy za chwilę będzie naruszona – mówił Bartłomiej Kowalski. - Oczywiście zgłaszamy tylko zaistniałe naruszenia ochrony danych osobowych – doprecyzował.

Dr Mirosław Gumularz, przewodniczący społecznego zespołu ekspertów przy prezesie UODO, prosił o wyjaśnienie, czy sama możliwość od razu uruchamia 72-godzinny termin na zgłoszenie naruszenia do urzędu.

- Co do zasady odpowiedź brzmi: nie. Możemy w zasadzie przyjąć taką tezę, że możliwość wystąpienia naruszenia ochrony danych osobowych jest zawsze i wszędzie. Sama możliwość wystąpienia naruszenia ochrony danych osobowych zdecydowanie nie uruchamia wszystkich obowiązków, o których mowa w artykułach 33 i 34 RODO, czyli obowiązków zgłoszenia naruszenia organowi nadzorczemu czy zawiadomienia o nim osób fizycznych – odpowiedział specjalista w UODO.

- Czyli sama możliwość jeszcze nie jest triggerem uruchamiającym wszystkie konsekwencje wynikające z art. 33 RODO – podsumował dr Gumularz.

Nowość

-10%

Nowość

Przetwarzanie danych dotyczących zdrowia pracowników na podstawie art. 9 ust. 2 lit. h RODO

Arkadiusz Sobczyk

Sprawdź  

Zgłaszać czy nie zgłaszać naruszenia?

Mirosław Gumularz pytał też o sytuację, w której administrator nie jest pewny, czy doszło, czy też nie doszło do naruszenia. Bartłomiej Kowalski podpowiedział, że dobrą praktyką może być zlecenie profesjonalnemu podmiotowi przeprowadzenie np. analizy powłamaniowej.

- Ja bym w takiej sytuacji, w której czas biegnie i musimy podjąć decyzję szybko, spojrzałbym przede wszystkim na te trzy elementy, które składają się na definicję naruszenia. Potwierdził sobie po kolei: czy mam rzeczywiście do czynienia z incydentem bezpieczeństwa, czy mam do czynienia z danymi osobowymi i czy mam do czynienia z naruszeniem poufności, integralności lub dostępności. Spojrzałbym sobie również ewentualnie, czy w jakiś sposób to zdarzenie mogło skutkować naruszeniem praw osób fizycznych. Spojrzałbym sobie na zasady określone w art. 5 RODO. A gdyby wciąż okazało się, że coś się stało, a ja dalej naprawdę tej pewności nie mam, to sugerowałbym przyjęcie mimo wszystko czarnego scenariusza. Podobnie EROD w wytycznych 9/2022 również w razie wątpliwości zaleca mimo wszystko zgłosić – mówił specjalista w UODO.

Podał jednak przykład zagubienia laptopa z ważnymi danymi, który jednak jest zabezpieczony w tak dobry sposób, że nie ma realnych szans, aby ktoś zapoznał się z jego zawartością. - Pomimo wysokiej wagi potencjalnych skutków, możemy tutaj zastosować wyjątek z art. 33 RODO i po prostu nie zgłosić takiego naruszenia. Przy czym oczywiście będziemy musieli je zapisać w wewnętrznym rejestrze, udokumentować takie naruszenie i wykazać, dlaczego uznaliśmy, że ryzyko nie jest prawdopodobne – podpowiadał prelegent.

Inspektor ochrony danych

Dużo pytań dotyczyło opisanej w poradniku roli inspektorów ochrony danych (IOD). Bartłomiej Kowalski przekonywał, że poradnik nie wpływa na dotychczasowe regulacje, a jest po prostu jedną z pierwszych publikacji, która wprost przedstawia stanowisko prezesa UODO w tej kwestii.

- Chciałbym podkreślić bardzo wyraźnie, że IOD jak najbardziej powinien mieć udział w obsłudze naruszenia ochrony danych osobowych – mówił specjalista z urzędu. - Powinien być zaangażowany we wszystkie procesy z tym związane. Jego rola jest tutaj niezwykle istotna, a może być wręcz kluczowa.

Dodał jednak, o czym wspomina zresztą wprost poradnik, że IOD nie może realizować zadań administratora w jego imieniu i nie może wykonywać zadań, do których realizacji zobowiązany jest administrator. - A to dlatego, że wiązałoby się to z naruszeniem jego niezależności ewidentnym konfliktem interesów – mówił Bartłomiej Kowalski. – IOD powinien monitorować prawidłową realizację zadań administratora, a nie je wykonywać, bo wtedy monitorowałby w zasadzie sam siebie. Gdyby inspektor ochrony danych był zwykłym pracownikiem, który zajmuje się ochroną danych w organizacji, to prawdopodobnie nie zostałby sformułowany w przepisach prawa jego szczególny status – dodał.

I podsumował: - Nie oznacza to, że IOD nie może na przykład prowadzić swojej dokumentacji dotyczących dotyczącej procesów przetwarzania, czy nawet właśnie naruszeń ochrony danych osobowych. Chodzi o to, aby zadania, które wykonuje, nie były bezpośrednią realizacją zadań, za które odpowiada na gruncie RODO administrator lub podmiot przetwarzający.