Inne obowiązki i przepisy
Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2021 r. poz. 576 t.j.)
Firmy telekomunikacyjne to jedne z podmiotów, które - w przypadku stwierdzenia naruszenia ochrony danych osobowych - są zobowiązane zawiadamiać o tym Prezesa Urzędu Ochrony Danych Osobowych, a czasami również osoby, których ono dotyczy. Poniżej wyjaśniamy, kiedy i jak to robić.
W świetle przepisów:
- unijnego ogólnego rozporządzenia o ochronie danych, czyli rozporządzenia 2016/679,
- Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej, zwanego dalej też „rozporządzeniem Komisji (UE) Nr 611/2013”,
- ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne,
dostawcy publicznie dostępnych usług telekomunikacyjnych nie tylko muszą chronić dane osobowe osób korzystających z ich usług, ale także w przypadku stwierdzenia naruszenia ochrony danych osobowych zobligowani są powiadomić o tym fakcie krajowe organy nadzorcze, w Polsce - Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO). Dodatkowo w niektórych przypadkach konieczne jest również zawiadomienie abonenta lub użytkownika końcowego, którego dane zostały naruszone.
Nadrzędnym celem każdego zgłoszenia naruszenia organowi nadzorczemu jest ochrona praw lub wolności osób fizycznych. Niezmiernie ważną kwestią w tym przypadku jest czas reakcji administratora, tj. jak najszybsze powiadomienie o naruszeniu organu nadzorczego oraz - jeśli to konieczne - zawiadomienie o naruszeniu osób, których dane dotyczą.
Poniżej zamieszczamy zestawienie pomocnych wskazówek dotyczących obowiązku zgłaszania naruszeń danych osobowych w sektorze telekomunikacyjnym.
„Dostawca powiadamia właściwy organ krajowy o wszystkich przypadkach naruszenia danych osobowych” zgodnie z art. 2 ust. 1 rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego
i Rady o prywatności i łączności elektronicznej (w przeciwieństwie do przepisów rozporządzenia 2016/679, rozporządzenie Nr 611/2013 obliguje administratorów do zgłaszania wszelkich naruszeń ochrony danych osobowych, niezależnie od stopnia ryzyka naruszenia praw lub wolności osób, których dane dotyczą).
Co należy rozumieć przez naruszenie danych osobowych?
Przez naruszenie danych osobowych rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych w związku ze świadczeniem przez przedsiębiorcę telekomunikacyjnego publicznie dostępnych usług telekomunikacyjnych.
Jeśli nie wszystkie informacje określone w załączniku I są dostępne i konieczne jest dalsze badanie przypadku naruszenia danych osobowych, zezwala się dostawcy na wstępne powiadomienie właściwego organu krajowego nie później niż 24 godziny po wykryciu naruszenia danych osobowych. Takie wstępne powiadomienie właściwego organu krajowego zawiera informacje określone w załączniku I sekcja 1. Dostawca przedkłada właściwemu organowi krajowemu drugie powiadomienie najszybciej, jak to możliwe
i najpóźniej w ciągu trzech dni po wstępnym powiadomieniu. Takie drugie powiadomienie zawiera informacje określone w załączniku I sekcja 2 oraz w stosownych przypadkach uaktualnienie wcześniej przekazanych informacji. Jeżeli dostawca, mimo zbadania przypadku, nie jest w stanie przedstawić wszystkich informacji w terminie trzech dni od wstępnego powiadomienia, przedstawia we wspomnianym terminie te informacje, którymi dysponuje, oraz przedkłada właściwemu organowi krajowemu uzasadnienie opóźnienia w przekazaniu pozostałych informacji. Dostawca jak najszybciej przekazuje pozostałe informacje właściwemu organowi krajowemu oraz w stosownych przypadkach jak najszybciej aktualizuje wcześniej przekazane informacje.
W jaki sposób można zawiadomić Prezesa UODO o wystąpieniu naruszenia?
Zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO dokonuje się elektronicznie za pomocą odpowiedniego formularza dostępnego na stronie internetowej urzędu pod linkiem https://uodo.gov.pl/pl/134/233. Formularz ten zawiera wszystkie wymagane informacje, o których mowa w art. 2 ust. 2 rozporządzenia Komisji (UE) nr 611/2013.
Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r., poz. 125).
W art. 44 ustawy, na administratorów przetwarzających dane osobowe w związku
z zapobieganiem i zwalczaniem przestępczości nałożono taki sam obowiązek, jak na administratorów na podstawie art. 33 ust. 1 rozporządzenia 2016/679. Analogiczne obowiązki są uregulowane w zakresie terminu zawiadomienia Prezesa UODO o naruszeniu (bez zbędnej zwłoki, nie później niż w ciągu 72 godzin) oraz zakresu informacji jaki należy przekazać organowi nadzorczemu.
Wobec podmiotów przetwarzających (art. 44 ust. 3), nałożono obowiązek przekazywania informacji o naruszeniu administratorowi bez zbędnej zwłoki, nie później jednak niż w ciągu 48 godzin (rozporządzenia 2016/679 zobowiązuje administratorów do przekazywania tych informacji bez zbędnej zwłoki, bez wskazania terminu granicznego).
W art. 45 ustawy na administratorów nałożono tożsamy obowiązek jak istnieje na gruncie art. 34 rozporządzenia 2016/679, tj. obowiązek zawiadomienia osób, których dane dotyczą o naruszeniu ochrony danych osobowych w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Jednakże jedyne opóźnienie, ograniczenie bądź odstępstwo od tego obowiązku może mieć miejsce wyłącznie w przypadku, o którym mowa w art. 26 ust. 1 ustawy, tj. przekazanie informacji mogłoby powodować:
- ujawnienie informacji uzyskanych w wyniku czynności operacyjno-rozpoznawczych;
- utrudnienie lub uniemożliwienie rozpoznawania, zapobiegania, wykrywania lub zwalczania czynów zabronionych;
- utrudnienie prowadzenia postępowania karnego, karnego wykonawczego, karnego skarbowego lub w sprawach o wykroczenia lub wykroczenia skarbowe;
- zagrożenie życia, zdrowia ludzkiego lub bezpieczeństwa i porządku publicznego;
- zagrożenie bezpieczeństwa narodowego, w tym obronności lub bezpieczeństwa oraz ekonomicznych podstaw funkcjonowania państwa;
- istotne naruszenie dóbr osobistych innych osób.
Rozporządzenie eIDAS - Rozporządzenie (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz.U.UE.L.2014.257.73).
W art 19 ust. 2 rozporządzenia eIDAS nałożono na dostawców usług zaufania wymóg niezwłocznego (nie później niż 24h od otrzymania informacji o wystąpieniu zdarzenia) zawiadamiania organu nadzorczego o wszelkich przypadkach naruszenia bezpieczeństwa lub utraty integralności, które mają znaczący wpływ na przetwarzane przez świadczoną usługę zaufania dane osobowe.
Rejestr dostawców usług zaufania prowadzony jest przez Narodowe Centrum Certyfikacji (NCCert) i dostępny jest na stronach:
- https://www.nccert.pl/uslugi.htm (kwalifikowane usługi zaufania)
- https://www.nccert.pl/uslugiNK.htm (niekwalifikowane usługi zaufania).
Ustawa z dnia 15 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2020 r., poz. 1369 t.j.).
Art. 34 ust. 2 tej ustawy nakłada na Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT-y), koordynujące obsługę incydentu, który doprowadził do naruszenia ochrony danych osobowych obowiązek współpracy z Prezesem Urzędu Ochrony Danych Osobowych.
Niemniej jednak w przypadku gdy takie incydenty stanowią naruszenie ochrony danych osobowych zgodnie z rozporządzenia 2016/679 lub w momencie gdy się nim stają, operatorzy usług kluczowych (o których mowa w art. 5 ust. 1 ustawy) mogą być zobowiązani, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 do zawiadomienia organu nadzorczego niezależnie od wymogów dotyczących zgłoszenia incydentu na podstawie ustawy o krajowym systemie cyberbezpieczeństwa.
Jeżeli naruszenie, zgłaszane przez administratora na podstawie art. 33 rozporządzenia 2016/679 do Prezesa UODO, dotyczy podejrzanych załączników, phishingu, szantażu, czy działania złośliwego oprogramowania, Prezes UODO zachęca do zgłaszania takich zdarzeń również do CERT Polska pod adresem https://incydent.cert.pl/. O fakcie zgłoszenia takiego incydentu do CERT Polska warto poinformować Prezesa UODO podając datę zgłoszenia oraz jego numer (np. w zgłoszeniu uzupełniającym).