30 maja 2019 r. ukazał się poradnik UODO „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”. Jest to pozycja jak dotąd najbardziej praktyczna, wiążąca się jednocześnie z obszarem związanym ze szczególnymi ryzykami dla organizacji i osób, których dane dotyczą, i z tego powodu budząca zasadne zainteresowanie.
W pierwszej kolejności trzeba wskazać na pewien niedosyt, który wynika z faktu , iż publikacja nie została poprzedzona wcześniejszymi konsultacjami, uwzględniającymi problemy i wątpliwości rynku. Również sam komunikat na stronie Urzędu nie zachęca do przesyłania uwag, czy komentarzy, co stanowi powszechną praktykę doskonalenia tego typu dokumentów wśród innych organów nadzorczych państw UE. Z pewnością pozytywnie wpłynęłoby to na rozpowszechnienie poradnika i poszerzenie zakresu poruszanej problematyki.
Pomijając niewielkie błędy redakcyjne, trzeba jednak przyznać, że publikacja prezentuje klarowne stanowisko Urzędu w wielu kwestiach związanych z oceną i zgłaszaniem naruszeń. Stanowisko, z którym można czasem dyskutować, ale które zostało jasno wyartykułowane i jako takie jest możliwe do zastosowania w codziennej pracy administratorów danych i podmiotów przetwarzających.
Najistotniejsze elementy poradnika
- W treści zawarte są liczne nawiązania do opinii Grupy Roboczej art. 29 dotyczącej zgłaszania naruszeń. Przedstawiono rozbudowaną definicję naruszenia ochrony danych wraz
z praktycznymi przykładami. - Autorzy poradnika wyszli od kwestii obowiązków wiążących się naruszeniami. Powstaje pytanie, czy kwestią fundamentalną nie jest tu jednak zarządzanie incydentami – rozumianymi np. jako niepożądane zdarzenia mogące potencjalnie stanowić naruszenie ochrony danych.
- Podkreślono wagę przygotowania i wdrożenia stosownych procedur oraz uwzględniono „opis postępowania personelu”. Wydaje się przy tym, iż jako równie istotny można tu przywołać podział ról, przede wszystkim inspektora ochrony danych (tam gdzie jest obecny).
- Nie do końca jasne jest, czy należy zgłaszać naruszenie (w myśl art. 33 RODO), jeśli jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych, czy też, gdy mamy do czynienia z naruszeniem o niskim poziomie ryzyka (rozumianym jako kombinacja prawdopodobieństwa i powagi/poziomie wpływu na osobę). W tekście czasem wspomina się o prawdopodobieństwie, czasem o niskim ryzyku.
- Podkreślono znaczenie 72h, jako terminu z zasady nieprzekraczalnego przy dokonywaniu zgłoszeń i roli sukcesywnego przekazywania informacji, gdy administrator nie jest w stanie zmieścić się w tej klauzuli czasowej.
- W poradniku znajdujemy przykłady najczęściej popełnianych błędów podczas zgłaszania naruszeń. Bez wątpienia jest to część niezwykle pomocna, którą można jednak znacznie rozszerzyć w przyszłości.
- Organ często podkreśla, iż przy dokonywania oceny i zgłaszaniu naruszenia, trzeba przyjąć perspektywę osób, których dane dotyczą. Warto przekazać ten fakt zespołowi,
w skład którego wchodzą np. audytorzy ISO, nastawieni głównie na bezpieczeństwo informacji
i rezultaty dla organizacji. - Niezwykle istotne są wskazane w poradniku kryteria oceny ryzyka (pochodzące z wytycznych Grupy Roboczej art. 29, rozporządzenia KE nr. 611/2013, metodologii ENISA). Jest to przydatna wskazówka dla administratorów przygotowujących lub doskonalących swoje metody.
- Na uwagę zasługuje znacznie jakie Urząd przypisuje numerowi PESEL. W zasadzie znajdujemy tu silną dyrektywę interpretacyjną, zgodnie z którą, jeśli udostępniony osobie nieupoważnionej został PESEL wraz z imieniem i nazwiskiem – mamy z zasady do czynienia
z ryzykiem wysokim, nawet bowiem gdy uzyskamy podpisany krwią cyrograf od doskonale znanej nam osoby „nie daje to jednak żadnej gwarancji, że intencje takiej osoby obecnie bądź w przyszłości nie zmienią się”. Powyższe skłania do smutnej refleksji nad losem tych wszystkich, których imię, nazwisko i PESEL figuruje w powszechnie dostępnym KRS czy też księgach wieczystych. - Podkreślono konieczność posiadania ewidencji naruszeń. Jednak jak już wskazano na wstępie – zasada rozliczalności wymaga de facto posiadania ewidencji incydentów, a więc także zdarzeń, które nie zostały skalsyfikowane jako naruszenia.
- Kolejnym plusem poradnika są wskazówki co do działań, jakie należy podejmować w celu ograniczenia występowania najczęstszych typów naruszeń np. w związku z błędami w wysyłce poczty elektronicznej, zgubieniem lub kradzieżą nośnika, czy też ingerencją złośliwego oprogramowania.
- Na aprobatę zasługuje również podkreślenie kwestii właściwego doboru języka komunikatu kierowanego do osób, których dane dotyczą. Coś o czym administratorzy często zapominają w ferworze zmagań z sytuacją awaryjną i formułują wiadomości przypominające skargi kasacyjne adresowane do Naczelnego Sądu Administracyjnego.
- Dużą niespodzianką może być nacisk na wskazywanie w komunikacji kierowanej do podmiotów danych imienia i nazwiska inspektora ochrony danych osobowych.
W praktyce bowiem najczęściej wymienia się jeden/dwa kanały komunikacji, jednak bez podawania personaliów IOD. - Poradnik uzupełnia także opis obowiązków dotyczących naruszeń określanych w innych aktach prawnych.
Podsumowanie
Z całą pewnością poradnik przygotowany przez Urząd Ochrony Danych Osobowych to pozycja obowiązkowa dla wszystkich administratorów danych. Znajdziemy w niej jednoznaczne stanowisko Organu w wielu problematycznych kwestiach (termin, treść i sposób zgłoszenia, rola podmiotu przetwarzającego, metodologia oceny). Z wydanych dotychczas publikacji, poradnik UODO nt. naruszeń ochrony danych osobowych jest bez wątpienia najbardziej praktyczny, dotyka bowiem tematu wspólnego wszystkim podmiotom przetwarzającym dane zgodnie z przepisami RODO. Jako postulat racjonalizatorski można by wskazać przeprowadzenie szerszych konsultacji, co z pewnością pozwoliłoby uniknąć kilku nieścisłości, a zarazem uwzględnić większą ilość występujących w praktyce scenariuszy.
Poradnik UODO dostępny jest poniżej:
Obowiązki administratorów związane z naruszeniami ochrony danych osobowych
