Śledząc procedurę związaną ze zgłoszeniem naruszenia ochrony danych osobowych trudno nie odnieść wrażenia, że jest to kolejne mnożenie niepotrzebnej biurokracji oraz tworzenie nieistniejących problemów. Niestety, jest to obowiązek narzucony przez przepisy ustawy, więc chcemy czy nie musimy go dopełnić.
Jak wygląda procedura zgłoszenie naruszenia ochrony danych?
Prawdopodobieństwo, szacunki i kluczowe 72 godziny to pojęcia, które najbardziej oddają procedurę. Dlaczego? Samo naruszenie ochrony danych osobowych, jest dość niejednoznaczne i dość mocno zależy od branży i ogólnych okoliczności.
Naruszenie ochrony danych osobowych najczęściej kojarzy się z wielkimi wyciekamy danych, o których coraz częściej informują media. Nie są to jednak jedyne przypadki. Mówimy o nich również wtedy, gdy zdarzenie dotyczy pojedynczych danych i osób. Przykład? Każdy incydent, który powoduje ujawnienie danych osobowych, wśród których znajduje się numer PESEL, np. informacje o stanie zdrowia, które trafiają do innej osoby albo wydanie innej osobie świadectwa pracy. Takie zajście wiąże się z koniecznością informowania UODO.
Jak wygląda sama procedura?
Opis procedury zgłoszenia naruszeń ochrony danych osobowych do UODO musimy zacząć od omówienia terminu. Ustawa posługuje się kluczowymi 72 godzinami.
Art. 33 ust. 1 RODO
„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”.
Jak widać, na zgłoszenie naruszenia administrator ma 72 godziny. Nie należy traktować tego terminu jednak zbyt dosłownie. Moment rozpoczęcia jego biegu jest dość nieprecyzyjny. Stwierdzenie naruszenia nie zawsze jest oczywiste i co do zasady, musi być poprzedzone przeprowadzonym postępowaniem. Dopiero po jego zakończeniu, administrator uzyska wystarczający stopień pewności oraz stwierdzi, czy naruszenie faktycznie zagrażało prawom i wolnościom osób fizycznych. Rzeczywisty termin na zgłoszenie jest więc dłuższy, niż podaje ustawa.
Jak jednak powinno być przeprowadzone samo postępowanie, które to ryzyko oszacuje? Tu zaczyna się pułapka interpretacyjna. Musimy ocenić prawdopodobieństwo naruszenia praw i wolności pokrzywdzonej osoby. Jeżeli ryzyko będzie niskie, sprawa naprawdę się upraszcza. Nie ma konieczności zgłaszania incydentu organowi nadzorczemu. Wystarczy odnotować naruszenie w wewnętrznym rejestrze. Gorzej, jeżeli to ryzyko będzie wysokie. Wtedy wszczynamy całą procedurę.
Oszacowanie ryzyka
Jak oszacować ryzyko? Ustawa nie mówi wprost. Można skorzystać z gotowych formularzy oceny ryzyka opracowanych przez specjalistów albo algorytmów matematycznych. Można też opracować formularz we własnym zakresie, korzystając z wytycznych EROD (wytyczne dotyczące zgłaszania naruszeń ochrony danych zgodnie z rozporządzeniem 2016/679). Znajdziemy w nich wszystkie kluczowe elementy, które pomogą nam ocenić ryzyko. W każdym przypadku, jest to niestety tylko wsparcie. Końcowa ocena oraz decyzja i tak należy do osoby odpowiedzialnej za zgłoszenie. Naruszenie oraz stopień ich ryzyka jest zależny od poszczególnych branż i okoliczności, te nie dają się zamknąć w ściśle określonych ramach.
Incydent jest znaczący. Co dalej?
Jeżeli uznamy, że incydent zagraża prawom i wolnościom osób fizycznych, kolejnym krokiem jest zgłoszenie do Urzędu Ochrony Danych Osobowych. Konieczne może być również powiadomienie o naruszeniu osób, których dane dotyczą. Do UODO zgłaszamy incydenty, do których doszło na terytorium Polski. Jeżeli firma działa w różnych państwach UE, a naruszenie miało charakter transgraniczny lub dotyczy osób z różnych krajów UE, wtedy koniecznym będzie ustalenie tzw. wiodącego organu nadzorczego.
Samej formalności zgłoszenia naruszenia RODO można dokonać na cztery sposoby.
Elektronicznie poprzez:
- wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP;
- wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl (jest on odwzorowaniem formularza tradycyjnego);
- wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl
lub tradycyjnie wysyłając wypełniony formularz pocztą na adres Urzędu.
Z czym wiąże się zgłoszenie naruszenia?
Wiele firm obawia się, że zgłoszenie naruszenia automatycznie wiąże się z kontrolą UODO. Nie jest to jednak tak oczywiste. Co do zasady zgłoszenia mają na celu monitorowanie sytuacji przez organy nadzorcze, co pozwala na stworzenie statystyk mających na celu pomoc przy udoskonalaniu procedur, przepisów i wytycznych. Mają również dyscyplinować administratorów danych do tego, aby nie bagatelizowali i nie ukrywali incydentów.
Nie każde zgłoszenie skończy się więc kontrolą. W praktyce kontrola będzie mieć miejsce dopiero po poważnych naruszeniach o bardzo dużej skali. W większości przypadków sprawa zakończy się na wymianie korespondencji.
Kto odpowiada za zgłoszenie naruszenia ochrony danych osobowych?
Zgłoszenia do UODO dokonuje osoba reprezentująca administratora danych. W praktyce będzie to osoba, której zarządzający udzielił stosownego pełnomocnictwa. Warto pamiętać, że osoba ta odpowiada również za brak zgłoszenia naruszenia.