GDPR przewiduje szereg sytuacji, w których administratorzy danych (ADO) i podmioty przetwarzające dane będą miały obowiązek nawiązywania kontaktu z organem nadzorczym, którym w Polsce jest GIODO. Większość z tych obowiązków nie było przewidzianych przepisami UODO. Przygotowanie do realizacji niektórych z nich może wymagać długiego czasu. Warto więc ten półtoraroczny okres, dzielący nas od dnia rozpoczęcia stosowania GDPR, przeznaczyć na  dyskusję wewnątrz organizacji i ustalenie jak powinny one zareagować na zmieniające się przepisy prawa.

Udostępnianie rejestrów czynności przetwarzania

Jednym z nowych obowiązków ADO wymagających kontaktu z organem nadzorczym jest udostępniane na żądanie organu nadzorczego rejestrów czynności przetwarzania danych w celu zapewnienia monitorowania ujętych w nich operacji przetwarzania danych. Ten obowiązek nakłada art. 30 ust. 4 GDPR. Jest on ściśle związany z nałożonym na ADO obowiązkiem prowadzenia rejestrów czynności przetwarzania danych osobowych. Zgodnie z przepisem art. 30 ust. 1 GDPR administrator, a gdy ma to zastosowanie, przedstawiciel administratora, prowadzą rejestr czynności przetwarzania danych osobowych, w których opisuje się w szczególności dane kontaktowe administratora danych, dane inspektora ochrony danych, cele przetwarzania danych, kategorie przetwarzanych danych, kategorie ich odbiorców, informację o transferowaniu danych do państwa trzeciego, planowany termin usunięcia danych oraz opis stosowanych zabezpieczeń. Podobny, aczkolwiek bardziej skąpy rejestr prowadzony ma być przez podmiot przetwarzający dane, względnie przez przedstawiciela podmiotu przetwarzającego – w odniesieniu do czynności przetwarzania danych dokonywanych w imieniu ich ADO

Obowiązku prowadzenia rejestru nie będą mieli przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego będą dokonywać:

reklama

– będzie mogło powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,

– nie będzie miało charakteru sporadycznego albo będzie obejmowało szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Wydaje się, że podjęcie wykonywania ww. obowiązku nie powinno nastręczać podmiotom większych trudności. Z prowadzeniem podobnego rejestru zetknęły się już te organizacje, które powołały Administratora Bezpieczeństwa Informacji (ABI) i zgłosiły ten fakt do GIODO. Wspomniany rejestr odnosi się co prawda do zbiorów danych przetwarzanych w organizacji, a nie do samych czynności przetwarzania danych, ale idea prowadzenia wykazu wydaje się być podobna. Potrzeba zapewnienia należytej kontroli nad procesami przetwarzania danych, w szczególności w obliczu dotkliwych kar administracyjnych jakie będą mogły być nakładane przez organ nadzorczy powoduje, że każdy instrument, w tym chociażby wspomniany rejestr, wydają się być pożądanym elementem systemu chronienia danych. W kręgu zainteresowania podmiotów powinno pozostawać zapewnienie realnego nadzoru nad wszelkimi procesami przetwarzania danych, a prowadzenie takiego zestawienia wydaje się być znakomitym narzędziem pozwalającym na zagwarantowanie takiej samokontroli.

reklama

Obowiązek notyfikacyjny (data breach notification)

„Nowym” obowiązkiem, którego realizacja z pewnością będzie stanowić wyzwanie dla przedsiębiorców, będzie konieczność zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych. Z przepisów GDPR wynika, że w przypadku zajścia takiego naruszenia, administrator, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po jego stwierdzeniu – powinien zgłosić je organowi nadzorczemu, chyba że będzie mało prawdopodobne, aby naruszenie to miało skutkować ryzykiem naruszenia praw lub wolności osób fizycznych.

W motywie 85 GDPR wyjaśniono, że przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobami lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Z uwagi na powyższe zagrożenia oraz spotykaną niejednokrotnie na rynku praktykę nie podejmowania żadnych kroków mających przeciwdziałać skutkom incydentów ochrony danych, unijny ustawodawca uznał, że nałoży na ADO prawny obowiązek informowania organu nadzorczego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych tego faktu. W przypadku, w którym nie byłoby możliwym zrealizowanie tego obowiązku w przewidzianym terminie, podmiot powinien dokonać zgłoszenia w najszybszym możliwym terminie wraz z wyjaśnieniem przyczyn opóźnienia.

Istotnym jest, że oprócz samego poinformowania o uchybieniu, ADO będzie zobowiązany opisać charakter naruszenia, wskazać kategorie osób, których ono dotyczy, oszacować ilość osób, których naruszenie dotknęło, wskazać dane kontaktowe inspektora ochrony danych, możliwe konsekwencje naruszenia, a co najważniejsze opisać zastosowane przez siebie lub też proponowane do zastosowania środki zaradzenia skutkom naruszenia. Cały proces ma być przez ADO dokumentowany.

reklama

Analiza przepisu art. 33 GDPR wskazuje na konieczność podjęcia przez ADO, który wykrył naruszenie, szeregu czynności mających na celu nie tylko samo zgłoszenie naruszenia ale również zapobiegnięcie jego skutkom. Istotnym jest, że GDPR nie wskazuje wprost jakiego rodzaju naruszenia będą musiały być zgłaszane. Wskazuje się jedynie ogólnikowo, że obowiązek ten dotyczy incydentów, które mogą skutkować naruszeniem praw i wolności osób fizycznych. Wydaje się więc, że celem ustawodawcy było rozciągnięcie nadzoru jedynie nad poważniejszymi incydentami, nie zaś nad każdym pojedynczym incydentem zachodzącym u ADO. Nie bez znaczenia jest również okoliczność, że brak poinformowania o incydencie, w sytuacji gdy będzie on spełniał kryteria opisane w art. 33 GDPR, zagrożone będzie karą administracyjną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przedsiębiorca, który wykrył
w swojej organizacji naruszenie ochrony danych stanie zatem przed wyborem czy zgłaszać konkretny incydent w sytuacji zagrożenia karą administracyjną zarówno braku zgłoszenia, jak i dopuszczenia do wystąpienia samego incydentu ochrony danych. Więcej na temat obowiązku notyfikacji dowiesz się tutaj.

Uprzednie konsultacje z organem nadzorczym

GDPR w art. 35 przewiduje, że jeżeli dany rodzaj przetwarzania danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to ADO przed rozpoczęciem przetwarzania obowiązany jest dokonać oceny skutków planowanych operacji dla ochrony danych osobowych. Przeprowadzenie tej właśnie analizy i ustalenie, że przetwarzanie powodowałoby owe wysokie ryzyko w razie niezastosowania środków je minimalizujących, powoduje po stronie ADO powstanie konieczności wywiązania się z kolejnego obowiązku zakładającego kontakt z organem nadzorczym, a mianowicie obowiązku odbycia uprzednich konsultacji z tym organem. Obowiązek ten wynika z art. 36 ust. 1 GDPR.

Proces „uprzednich” konsultacji zakłada przedstawienie organowi nadzorczemu (GIODO) przez ADO szeregu informacji o analizowanym procesie przetwarzania danych, jak chociażby na temat obowiązków podmiotów zaangażowanych w proces przetwarzania, celów przetwarzania danych, środków zabezpieczających prawa i wolności osób, których dane dotyczą, samodzielnie dokonanej oceny skutków dla ochrony danych, o której mowa w art. 35 GDPR. Organ nadzorczy, po dokonaniu analizy przedstawionych informacji może, w przypadku, w którym uzna, że zamierzone przetwarzanie stanowiłoby naruszenie GDPR, wydać pisemne zalecenie oraz skorzystać ze swoich uprawnień w zakresie prowadzonych postępowań, wymienionych w art. 58 GDPR.

Certyfikacja dokonywana przez organ nadzorczy

GDPR ustanawia mechanizmy certyfikacji w zakresie ochrony danych osobowych, których przyjęcie przez ADO lub podmiot przetwarzający dane świadczyć będzie o zgodności operacji przetwarzania danych, dokonywanych przez te podmioty, z GDPR. Proces certyfikacji będzie mógł być dokonywany m. in. przez właściwy organ nadzorczy. Podmiot zainteresowany poddaniem się mechanizmowi certyfikacji będzie przekazywał podmiotowi certyfikującemu (czyli np. organowi nadzorczemu) wszelkie informacje niezbędne do przeprowadzenia tej procedury, a w razie jej pomyślnego przejścia, otrzyma maksymalnie 3-letni certyfikat takiej zgodności.

Inne kontakty z organem nadzorczym

Poza powyższymi punktami styku z organem nadzorczym przedsiębiorcy będą go również realizowali przy okazji znanych już na gruncie UODO procedur. Będzie to więc kontakt związany z wyznaczeniem inspektora danych osobowych (artykuł 37 GDPR), udziałem w postępowaniu toczącym się w sprawie skargi na przetwarzanie danych osobowych (art. 77 GDPR), czy legalizującym transfer danych zatwierdzaniem przez organ nadzorczy wiążących reguł korporacyjnych (art. 47 GDPR).

Na co się przygotować?

Podsumowując, dokonana powyżej analiza instytucji zakładających kontakt podmiotu zaangażowanego w przetwarzanie danych z organem nadzorczym wskazuje, że będzie się on zasadniczo opierał na większej niż dotychczas aktywności przedsiębiorców. Na gruncie GDPR pojawiły się bowiem instytucje, które zakładają dokonywanie przez przedsiębiorców bardziej skomplikowanych procesów autokontroli oraz planowania procesów przetwarzania danych pod kątem ich bezpieczeństwa. Wydaje się, że w ramach planowania tych procesów, jak również raportowania organowi o nieprawidłowościach, przedsiębiorca będzie miał zapewnioną możliwość przedstawienia problemów, z którymi się styka oraz zaproponowania środków zaradczych dostosowanych do analizowanych procesów. Dodatkowo, przedsiębiorca aktywnie uczestniczący w planowaniu bezpiecznych procesów przetwarzania będzie mógł liczyć na wsparcie organu wyrażone w opinii będącej owocem „uprzednich konsultacji” z tym podmiotem. Wydaje się, że „wymuszenie” tej zwiększonej aktywności przedsiębiorców przysłuży się nie tylko bezpieczeństwu danych poszczególnych jednostek, ale także pozwoli samym przedsiębiorcom na zapewnienie skuteczniejszej kontroli i nadzoru nad prowadzonymi organizacjami.

Przeczytaj również:

UDOSTĘPNIJ
Poprzedni artykułPoparcie Grupy Roboczej artykułu 29 dla Porozumienia Parasolowego
Następny artykułGDPR – FAQ
Prawnik, absolwentka Wydziału Prawa i Administracji Uniwersytetu Marii Curie – Skłodowskiej w Lublinie oraz studiów podyplomowych na kierunku „Zarządzanie Bezpieczeństwem Informacji” w Szkole Głównej Handlowej w Warszawie. Ukończyła Suffolk County Community College (NY) oraz Long Island University (NY). Wieloletni pracownik Departamentu Orzecznictwa, Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych, prowadzący postępowania administracyjne o wysokim stopniu skomplikowania, toczące się w przedmiocie skarg na nieprawidłowości w procesie przetwarzania danych osobowych. Specjalizuje się w prawie pracy i przetwarzaniu danych w związku z procesami rekrutacyjnymi i zatrudnianiem pracowników.