Autor: Leszek Kępa

1. Uwaga ogólna.

Poradnik swoim zakresem obejmuje nie tylko obowiązki związane z naruszeniami, zawiera też rady, jak ogólnie postępować w przypadku naruszenia, dlatego wydaje mi się, że nazwa „Jak postępować w przypadku naruszenia ochrony danych osobowych” byłaby bardziej na miejscu. Obecny tytuł sugeruje ograniczenie do administratorów danych i do jedynie tego, co obowiązkowe.

2. Uwaga ogólna.

Rolą organu nadzorczego jest monitorowanie przestrzegania RODO w celu ochrony podstawowych prawi i wolności osób fizycznych (art. 51 ust. 1). W związku z tym wydawałoby się naturalne, aby organ kierował rady także do osób fizycznych, które podlegają ochronie w związku z przetwarzaniem ich danych. Być może w tym poradniku można by dodać rozdział kierowany do osób, których dane dotyczą, co one powinny lub mogą robić, kiedy są podmiotem naruszenia.

3. Str. 3.

W poradniku podaje się przesłanki wystąpienia naruszenia. Jedną z nich jest „naruszenie jest skutkiem złamania zasad bezpieczeństwa danych”. W mojej ocenie naruszenie może wystąpić i bez łamania zasad – np. w oprogramowaniu może pojawić się podatność, którą wykorzysta cyberprzestępca do naruszenia (np. kradzieży danych), zanim zostanie odkryta / upubliczniona.

Ewentualnie można napisać, że najczęściej jest to skutek złamania zasad bezpieczeństwa.

4. Str. 3

Stwierdzenie „naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie” sugeruje, że że chodzi o dane już przetwarzane, zebrane, będące już we władaniu podmiotu – zaakcentowanie tego podkreśliłoby fakt, że bez danych osobowych nie ma naruszenia.

5. Str. 3

Przykład 1 mógłby brzmieć: „Omyłkowe wysłanie listy płac pracowników do działu zajmującego się marketingiem”, aby lepiej odzwierciedlać rzeczywiste sytuacje.

6. Str. 3 i 4.

Przykład 2 mógłby brzmieć: „System informatyczny administratora został zainfekowany złośliwym oprogramowaniem (ransowmare). Po przeprowadzeniu wstępnej analizy administrator stwierdził, że w wyniku działania tego oprogramowania dane osobowe nie tylko zostały zaszyfrowane, ale też przesłane przez Internet do zewnętrznych systemów komputerowych”

7. Str. 4.

Przykład 1 warto zostać rozszerzony o szyfrowanie i wówczas mógłby brzmieć „Zgubienie lub kradzież zaszyfrowanego nośnika USB, zawierającego bazy danych klientów administratora przy braku kopii zapasowej tych danych”.

8. Str. 4

Przykład 2 – wydaje się, że usunięcie osoby nieupoważnionej uczyni przykład bardziej czytelnym, skupiając się przede wszystkim na aspekcie dostępności.

9. Str. 4.

Przykład 3 – zamieniłbym na ataki ransomware, które dzisiaj są bardziej popularne i dotkliwsze niż DDoS.

10. Str. 4

Temat naruszenia integralności wart rozszerzenia o dodatkowe przykłady. Mogą to być informacje o stanie zdrowia pacjenta w systemie szpitala zostają zmienione tak, że pacjentowi wpisano inną chorobę, albo leki. Informacja o koncie do przelewu wynagrodzenia została zmieniona tak, że ktoś inny otrzymuje wynagrodzenie. Osoba została wpisana na listę członków partii politycznej Y. Itd. Uważam, że naruszenie integralności informacji może stanowić znacznie większe ryzyko dla praw i wolności osób, niż naruszenie poufności.

11. Str. 5

W zdaniu „Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw i wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych” prawdopodobieństwo może wprowadzać w błąd.

Przykładowo zgubienie pendrive’a z danymi osobowymi w metrze w Warszawie i w puszczy białowieskiej skutkuje takim samym ryzykiem dla praw i wolności osób fizycznych, prawdopodobieństwo nie ma tutaj znaczenia, raczej liczy się czy dane można odczytać, czy nie. Być może zdanie mogłoby brzmieć„ Jeżeli w wyniku analizy administrator stwierdził, że ryzyko naruszenia praw i wolności osób fizycznych jest niskie/małe (...)”.

12. Str. 5/6

Zdanie „RODO wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO)” należałoby silniej zaakcentować, że podjął takie działania i ich rezultatem jest brak lub niskie ryzyko dla praw i wolności

13. Str. 6.

Zdanie „Niezależnie od poziomu ryzyka, administrator zobowiązany jest do wprowadzenia środków zaradczych mających na celu zminimalizowanie ryzyka i zabezpieczenie danych osobowych„ mogłoby brzmieć „Biorąc pod uwagę, że celem jest ochrona osób fizycznych, w każdym przypadku naruszenia ochrony danych, niezależnie od wielkości ryzyka, administrator powinien zastosować środki mające na celu uniknięcie lub ograniczenie negatywnych skutków dla osób fizycznych poprzez odpowiednie zabezpieczenie danych osobowych”. Rozpoczęcie zdania od „niezależnie od poziomu ryzyka” sugeruje, że w każdej sytuacji.

14. Str. 7

Zdanie w pierwszym akapicie w obecnym brzmieniu „między wierszami” sugeruje bierną postawę podmiotu przetwarzającego, który ma oczekiwać na „żądanie” administratora. Zdanie mogłoby brzmieć „Oznacza to na przykład, że gdy naruszenie ochrony danych osobowych wymaga podjęcia działań mających na celu jak najszybsze zablokowanie nieuprawnionego dostępu do danych osobowych, a dotyczy to danych przetwarzanych w ramach powierzenia, podmiot przetwarzający powinien zablokować taki dostęp niezwłocznie a następnie poinformować o tym administratora. W przypadku gdy zablokowanie dostępu nakazuje organ nadzorczy, kieruje to żądanie do administratora, a ten do podmiotu przetwarzającego, który dostęp taki powinien niezwłocznie zablokować”

15. Str. 7

Zdanie „Dotychczasowe doświadczenia Urzędu Ochrony Danych Osobowych wskazują, że nie wszystkie podmioty, przy pomocy których administratorzy przetwarzają dane osobowe, gwarantują odpowiednie bezpieczeństwo danych osobowych oraz szybkie i skuteczne rozwiązania służące prawidłowemu wywiązywaniu się z obowiązków określonych w art. 33 i 34 RODO.” wydaje się być niepotrzebne.

16. Str. 7

W zdaniu „Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu” pojawia się prawdopodobieństwo, jednak intencją RODO nie jest korzystanie z żadnej skali prawdopodobieństwa – ryzyko jest rozumiane potocznie – „ryzykować życiem” – i jest to raczej wysokość skutku naruszenia praw i wolności osób fizycznych, a prawdopodobieństwo należy interpretować jako dwie możliwości: „likely” oraz „unlikely” – czyli że jest możliwe lub nie jest. W mojej ocenie określenia prawdopodobieństwo w całym poradniku powinno być wykorzystywane bardzo ostrożnie, gdyż może kojarzyć się z matematycznym wyliczeniem. W RODO jest ono używane jako możliwość (lub niemożliwość) wystąpienia potencjalnie negatywnych skutków dla osób fizycznych

17. Str. 7

W zdaniu „Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy (…)” poradnik ogólnikowo odnosi się do szkód wynikających z naruszenia praw i wolności. Moim zdaniem należy wyraźnie wskazać, że chodzi o prawa i wolności osób fizycznych opisane w Karcie Praw Podstawowych.

18. Str. 9

W poradniku znajdujemy odwołanie do poradnika „Jak rozumieć podejście oparte na ryzyku…” - link nie działa

19. Str. 8

Zdanie „Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO)” można by było rozszerzyć następująco „Naruszenia ochrony danych osobowych zgłasza się do organu nadzorczego. W Polsce organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO)”.

20. Str. 8

W ostatnim akapicie jest mowa o „transgranicznym naruszeniu”. Oczywiście, termin ten jest opisany w RODO, ale w ramach upraszczania języka można by go zastąpić bardziej opisowym określeniem.

21. Str. 9

Określenie „chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” należałoby zapisać w formie bardziej przystępnej dla czytelnika – np. np. „chyba że naruszenie nie będzie skutkowało wysokim ryzykiem naruszenia praw lub wolności osób fizycznych” lub podobnie, ale oddając istotę sprawy. W przeciwnym wypadku administrator, któremu wpadł (niezaszyfrowany) pendrive z danymi osobowymi do rzeki nie zgłosi tego, bo uzna, że jest małe prawdopodobieństwo ich odczytania, a przecież dane są możliwe do odczytania (tylko to jest nieco trudniejsze) a skutek (tj. ryzyko dla praw i wolności) dla osób fizycznych zależy jedynie od zakresu i kategorii tych danych.

22 str. 10 oraz pierwszy akapit na stronie 13

Fragment zdania „miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych” jest trudny do zrozumienia.

23. str. 10

Warto dodać zdanie, że podmiot przetwarzający nie zgłasza naruszeń do organu nadzorczego, jeśli chodzi o dane powierzone mu do przetwarzania.

24 str. 10

Nie jest do końca jasne czym się różnią liczby osób od liczby wpisów danych osobowych w zdaniu ”Przepisy RODO dopuszczają możliwość wskazywania przybliżonej liczby osób fizycznych, na które dane naruszenie wywarło wpływ, oraz przybliżonej liczby wpisów danych osobowych, których dotyczy to naruszenie”. Wydaje się, że wystarczy liczba osób, których naruszenie dotyczy / może dotyczyć.

25 str. 10

Zdanie „Administrator danych jest zobowiązany do zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, gdy naruszenie stwarza prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych” zawiera wyraz „prawdopodobieństwo”, który mniej doświadczonych administratorów może wprowadzać w błąd.. W wersji angielskiej znajdujemy określenie „unlikely” lub „likely” w odniesieniu do prawdopodobieństwa, sam zaś termin „ryzyko” jest używany w znaczeniu potocznym, tak jak mówi się o „ryzykowaniu życia”. Wydaje się, że zdanie mogłoby brzmieć „Administrator danych jest zobowiązany do zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, gdy naruszenie stwarza możliwość istotnego naruszenia praw lub wolności osób fizycznych”

26. str. 11

Link do formularza zgłaszania naruszeń nie działa

27. str. 11

Wymóg podawania danych kontaktowych IOD wydaje się zbędny, gdyż te informacje są już w posiadaniu organu – należałby raczej wskazać, czy IOD został wyznaczony czy nie, a jeśli nie – to z kim należy się kontaktować.

28. str. 11 i 12 – uwaga ogólna

Opisy powinny podkreślać, że zgłoszenie do organu nadzorczego stanowi swojego rodzaju dodatkowy poziom kontroli. Organ mając takie informacje może ocenić, czy działania administratora są wystarczające/ adekwatne, a jeśli nie – może mu pomóc. Ale co do zasady – za działania w związku z incydentem odpowiada administrator. W obecnym brzmieniu ma się nieodparte wrażenie, że ciężar działań jest głównie po stronie organu.

29. Uwaga ogólna

W całym poradniku język mógłby być bardziej przystępny, uproszczony, dopasowany do odbiorcy.

Przykładowo zdanie „W przypadku braku w zgłoszeniu wymaganych informacji, konieczne jest wezwanie administratora do ich uzupełnienia. Brak reakcji administratora na takie wezwanie może skutkować nałożeniem administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e RODO.” - mogłoby brzmieć inaczej np. „ Jeśli zgłoszenie nie zawiera wszystkich potrzebnych informacji, lub są one lakoniczne lub błędne, organ będzie wzywał do ich uzupełnienia, a gdy administrator tego nie zrobi na czas, może nałożyć na niego karę (art. 83 ust. 3 lit. e)”.

30. str. 12

Podrozdział 3 skupiony jest na tzw. „kopiuj-wklej” zgłoszeń do organu – wydaje mi się, że ostatnie zdanie można by było nieznacznie rozszerzyć (tak, jak zrobiłem to w uwadze 29) i sens byłby zachowany, zaś ten podrozdział poświęcony błędom wynikającym z korzystania z wcześniej wysyłanych zgłoszeń jako szablonu – usunąć

31. str. 13

W zdaniu „Konsekwencją stwierdzenia naruszenia jest konieczność przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą” określenie „pod kątem” wydaje się zbędne.

32. str. 13

Zdanie „Podczas oceny ryzyka naruszenia praw lub wolności osób fizycznych powstałego w wyniku wystąpienia naruszenia, kładzie się nacisk na inne kwestie, niż uwzględniane w ocenie skutków dla ochrony danych. W ocenie skutków dla ochrony danych bierze się pod uwagę zarówno ryzyko dla planowego przetwarzania danych, jak i ryzyko powstałe w przypadku wystąpienia naruszenia. Badając możliwe naruszenie, rozpatruje się w ujęciu ogólnym prawdopodobieństwo jego wystąpienia oraz szkody dla osób, których dane dotyczą, jakie mogą z niego wyniknąć. Innymi słowy, jest to ocena wydarzenia hipotetycznego. W przypadku faktycznego naruszenia zdarzenie już nastąpiło, więc nacisk kładzie się w całości na powstałe ryzyko, że naruszenie będzie skutkowało wpływem na osoby fizyczne” jest skomplikowane i od czytelnika wymaga wyjątkowej uwagi, aby zrozumieć jego sens.

Zdanie należałoby uprościć, uważam, że w obu przypadkach ocenia się tak samo potencjalne skutki dla praw i wolności osób fizycznych – czyli konsekwencje (w RODO rozumiane jako ryzyk dla praw i wolności). Tylko na etapie planowania można ukształtować proces, aby zmniejszyć ryzyko, a w przypadku naruszenia – trzeba działać, aby zlikwidować lub co najmniej zmniejszyć negatywne skutki dla osób. W obu przypadkach ocena ryzyka i proces oceny ryzyka jest taki sam.

33 str. 13

Wiem, że mamy tłumaczenie RODO i trzeba się go trzymać, ale „powaga zdarzenia” nie brzmi najlepiej – chodzi tutaj po możliwą wysokość skutków naruszenia praw i wolności. Podobnie prawdopodobieństwo – RODO korzysta z dwóch stanów – „możliwe” lub „niemożliwe” („likely” oraz „unlikely”) – słowo „prawdopodobieństwa” zamieniłbym na „możliwość”.

34 str. 14

W zdaniu „Nie jest konieczne, aby ryzyko się zmaterializowało (by faktycznie doszło do naruszenia praw lub wolności). Administrator, który ocenił wielkość potencjalnej szkody, które naruszenie może spowodować, biorąc pod uwagę kontekst i okoliczności całego zdarzenia, powinien ocenić prawdopodobieństwo jego zaistnienia” wyraz „prawdopodobieństwo” można by zastąpić określeniem „możliwość”

35. str. 14

Przykład wydaje się być nieadekwatny do sytuacji, biorąc pod uwagę, że nie tak dawno organ nadzorczy za podobne zdarzenie ukarał administratora. Określenie „porzucić” wskazuje na działanie celowe, być może lepiej brzmiałoby określenie „wyrzucił”.

Zdanie mogłoby brzmieć przykładowo tak:

„Pracownik administratora wyrzucił dokumenty kadrowe i finansowe (zawierające m.in. takie dane, jak: imię, nazwisko, PESEL, adres zamieszkania, informacje o wynagrodzeniach) w kontenerze na odpady. Po dwóch godzinach zorientował się, że popełnił błąd i zabrał stamtąd te dokumenty, aby je zniszczyć w niszczarce. Administrator stwierdził, że doszło do naruszenia ochrony danych i wstępnie uznał ryzyko za wysokie. Po sprawdzeniu w systemie kamer przemysłowych okazało się nikt w tym czasie nie przebywał w okolicy kontenera, w związku z czym uznał, że nie ma ryzyka dla praw i wolności osób”.

36. str. 15

W przypadku danych wrażliwych napisano, że „należy uznać, że występuje duże prawdopodobieństwo takiej szkody”, ale nie podano uzasadnienia, czytelnik musi się domyślić, że takie informacje mogą spowodować większą szkodę.

Dodatkowo wyraz prawdopodobieństwo należałoby konsekwentnie zamieniać odpowiednikiem np. możliwość.

37 str. 16

Kryteria KE nr 611/2013 – w mojej ocenie niewiele wnoszą do poradnika

38 str. 17

Odnosząc się do PESEL – warto podkreślić, że korzystanie z PESEL jako pojedynczego czynnika uwierzytelniającego jest złą praktyką. Ten numer to dane osobowe, ale trudno go uznać za informację znaną tylko posiadaczowi, za coś co jest poufne.

Osobiście nie uważam, aby imię, nazwisko i PESEL ujawnione stanowiło wysokie ryzyko, raczej średnie. Sam numer PESEL nie stanowi też danych wrażliwych (danych szczególnych kategorii), zatem wydaje się nieuzasadnione ryzyko opisywać jako wysokie, poziom ten powinno zarezerwować się dla sytuacji, gdy jest możliwość pozbawienia osoby podstawowych praw – np. prawa do życia, prawa do wolności, dyskryminacja, utrata pracy, etc.

39 str. 18

Określenie „metodyki” oceny ryzyka bardziej by pasowało niż „metodologia”.

40 str. 19

Wydaje się niepraktyczne wskazywanie, że rejestr naruszeń może być częścią rejestru czynności przetwarzania. Jeśli tak porada, dotycząca integracji, jest konieczna, być może lepiej wskazać, że taki rejestr można zintegrować z innym prowadzonym w organizacji rejestrem incydentów np. bezpieczeństwa

41 Uwaga ogólna

Być może już zamiast Gr. robocza art. 29 należałoby mówić o EROD?

42 str. 19

Przed tytułem akapitu „1. Naruszenia polegające na udostępnieniu danych osobowych nieuprawnionym osobom w związku z wysyłaniem poczty elektronicznej” dodałbym informację, że poniżej podane są wybrane przykłady. Być może, że przykłady są odzwierciedleniem naruszeń z ostatnich kilku lat, itp.

43 str. 19 i dalsze

Podtytuły typów naruszeń proponowałbym uprościć

• Naruszenia polegające na udostępnieniu danych osobowych nieuprawnionym osobom w związku z wysyłaniem poczty elektronicznej → Poczta elektroniczna
• Naruszenia polegające na zagubieniu lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne). → Niezaszyfrowane nośniki danych
• Naruszenia polegające na udostępnieniu dokumentacji medycznej osobie nieuprawnionej → Dokumentacja medyczna
• Naruszenia polegające na zablokowaniu dostępu do danych przez złośliwe oprogramowanie (ransomware) → Ransomware
• Naruszenia polegające na zagubieniu przez pracowników dokumentów zawierających dane osobowe klientów. → Dokumenty papierowe
• Naruszenia polegające na nieprawidłowej wysyłce dokumentów oraz anonimizacji danych osobowych w związku z udostępnianiem informacji publicznej. → Udostępnianie informacji publicznej

44 str. 20

W zdaniu „należy pouczyć osoby odpowiedzialne za wysyłkę korespondencji, a także osoby wprowadzające dane do systemów informatycznych o konieczności weryfikacji danych dotyczących adresu e-mail/adresu do korespondencji po ich wprowadzeniu bądź wdrożyć odpowiednie rozwiązania techniczne umożliwiające taką weryfikację” prosty język lepiej by oddawał istotę sprawy - przykładowo „ należy przeszkolić osoby odpowiedzialne za wysyłkę korespondencji i osoby wprowadzające dane do systemów informatycznych o konieczności sprawdzania adresu e-mail/adresu do korespondencji po ich wprowadzeniu i jeśli to możliwe, wdrożyć dodatkowe rozwiązania techniczne”

45 str. 20

W przykładzie 2 mowa jest o smartfonach, komputerach przenośnych – ta część dokument mogłaby być rozszerzona o inne nośniki i brzmieć:

„Zgubienie czy kradzież urządzeń lub nośników nie będzie prowadzić do naruszenia praw i wolności osób, których dane dotyczą, jeżeli administrator zastosował skuteczne zabezpieczenia – przykładowo nośniki danych lub same dane zostały zaszyfrowane.

Trzeba pamiętać, że zgubienie zaszyfrowanego nośnika, wraz z kluczem do jego odszyfrowania (np. hasłem) będzie stanowić naruszenie, bo pozwoli uzyskać dostęp do danych osobowych.

Środkami technicznymi zapobiegającymi naruszeniom będą też automatyczne wylogowanie użytkownika po określonym czasie braku aktywności, zablokowanie ekranu komputera wygaszaczem ekranu chronionym hasłem, itp.”

46 str. 20

Odwołanie do zasady prawidłowości danych w zdaniu „zwracać baczną uwagę, czy edytują dane właściwego pacjenta oraz czy przekazują mu właściwy wydruk z dokumentacji (zasada prawidłowości danych)” wydaje się nadmiarowe.

47 str. 21

Rozdział poświęcony ransomware

1. należałoby wskazać, że to istotne zagrożenie i administrator powinien poważnie rozważyć posiadanie przygotowanej i przetestowanej procedury postępowania w przypadku ataku ransomware – w takich sytuacjach każda sekunda jest na wagę złota. W ten sposób ochroni nie tylko osoby, których dane przetwarza, ale chroni też swój biznes

2. porada dotycząca okupu – jakkolwiek zgadzam się ze stanowiskiem organu w poradniku, to w mojej ocenie decyzja co do postępowania w takiej sytuacji powinna należeć do administratora, poradnik organu nadzorczego nie wydaje się być najlepszym miejscem do tak kategorycznych stwierdzeń

3. porada odnośnie odszyfrowania danych – wydaje się, że mogłaby być częścią innego poradnika, na temat jak zabezpieczać dane osobowe/ jak je chronić.

48 str. 23

Przykład „Dane zabezpieczono za pomocą najnowocześniejszego szyfrowania lub tokenizacji” przydałoby się rozbudować, jednocześnie usuwając określenie „najnowocześniejszego” - przykładowo „Laptop z kopią informacji o stanie zdrowia pacjentów został skradziony. Dane na dysku były odpowiednio zaszyfrowane”.

49 str. 24

Wyraz „prawdopodobieństwa powstania” należałoby zamienić na „możliwość wystąpienia”

50 str. 24

Przykład I wydaje się być nieco niefortunny, bo jest możliwość, że osoba mogła zapoznać się z danymi, jednak ich nie wykorzystała.

51 str. 24

Przykład z kontaktem jest niejasny, bo trzeba domyślać się, dlaczego nie można skontaktować się z osobami.

Przykład mógłby zaczynać się tak „Dokumentacja dotycząca klientów uległa zalaniu, a tylko tam znajdowały się dane dane kontaktowe osób. W takim przypadku administrator musi wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby fizyczne zostaną (…)”

52 str. 25

„co muszą zrobić, aby się zabezpieczyć” – należałoby doprecyzować „co muszą zrobić, aby się zabezpieczyć przed konsekwencjami/ skutkami naruszenia”.

53 str. 28

Można dodać informacje o zastrzeganiu PESEL i podać odnośnik do https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie

54 str. 28

Nie jest jasne, na jakiej podstawie wymagana jest forma umożliwiająca wielokrotne zapoznanie się z jego treścią, to może ograniczać środki komunikacji i w zasadzie eliminuje możliwość kontaktu telefonicznego, który jest najszybszą i najpewniejszą formą komunikacji. Jeśli jest to wymagane przez przepisy prawa, należy je wskazać. Jeśli nie – być może powinno to być zalecenie.

55 str. 29

Potrzebne jest sprecyzowanie czym jest „niewspółmierny wysiłek” być może dodając, że chodzić może o konieczność identyfikacji osób w sytuacji, gdy administrator ma tylko szczątkowe lub podstawowej informacje. Prawdopodobnie dobrze też podkreślić, że wysoki koszt całkowity uzupełnienia informacji nie oznacza „niewspółmiernego wysiłku” (np. wysłanie SMS do wszystkich klientów).

56 Uwaga ogólna

Wydaje się uzasadnione, aby organ nadzorczy przygotował skalę ryzyka wraz z przykładami. Skala mogłaby być 3-stopniowa (niskie, średnie, wysokie) lub większa. Administratorzy w celu oceny ryzyka korzystają z rozmaitych narzędzi (kalkulatorów) i podchodzą do tematu niekiedy dość subiektywnie, więc wytyczne w tym obszarze bardzo by sprawę ułatwiły., szczególnie, że RODO bazuje na ryzyku.