Autor: Urząd Marszałkowski Województwa Śląskiego

W mojej ocenie na poziomie krajowym należałoby unikać dublowania materiałów wydanych przez EROD.

W związku z wydaniem wytycznych:

https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_pl kontynuowanie poradnika w obecnej formie wydaje się nieefektywne. Siłą rzeczy przeważająca część treści musiałaby być kopią treści z wytycznych EROD.

Ważniejsze dla IOD i administratorów wydaje się zapewnienie szybszego tłumaczenia wytycznych EROD. W chwili obecnej finalna wersja tych ważnych wytycznych nadal nie jest dostępna w języku polskim pomimo upływu ponad roku od ich przyjęcia. Zasadne byłoby skupienie się na dostarczeniu choćby nieoficjalnego tłumaczenia lub zapewnienie pomocy EROD w tłumaczeniu oficjalnym.

Ewentualnie gdyby utrzymać poradnik krajowy to potrzebna jest jasna koncepcja, czego miałby on dotyczyć. Być może są elementy specyficzne dla Polski warte doprecyzowania lub można wskazywać dodatkowe przykłady naruszeń wynikające z decyzji UODO i orzecznictwa sądów.

Przy okazji pozwolę sobie także na podzielenie się przemyśleniem, że niektóre ze stanowisk UODO wydają się iść zbyt daleko względem np. ww. wytycznych EROD i mam nadzieję, że nie znajdą się w poradniku UODO o reagowaniu na naruszenia danych osobowych, w przypadku jego kontynuacji.

W newsletterze 7-8/23 w artykule „WYJĄTKI OD ZASADY ZGŁASZANIA NARUSZEŃ ORGANOWI NADZORCZEMU” wskazano na podstawie kontrowersyjnej moim zdaniem analizy językowej słowa „unlikely”, że „Małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, powinno być natomiast utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”.

Od strony teorii analizy jakiegokolwiek ryzyka, w przypadku występowania konkretnego zagrożenia, moim zdaniem, w zasadzie nigdy nie mamy do czynienia z sytuacją „braku ryzyka”. Ryzyko jest zawsze o ile poprawnie zdefiniowano zagrożenie, może ono być jednak dowolnie małe. Ryzyko rozumiem niezmiennie jako kombinację prawdopodobieństwa i skutków a nie tylko jeden z tych dwóch elementów.

Przywołany przykład z nośnikiem zaszyfrowanym nieskompromitowanym kluczem jest wręcz tego dowodem. To, że zaszyfrowany nośnik chroni dane skutecznie w chwili wystąpienia naruszenia nie oznacza, że będzie tak w przyszłości. Nie jest znana także zazwyczaj administratorowi i udowodniona czy to jakość konkretnej implementacji algorytmu szyfrującego, czy to generowania klucza, nie są też znane wszystkie możliwości ataku fizycznego na taki sprzęt itd.

Tak więc sprawa opiera się w dużej mierze na zaufaniu do producenta danego sprzętu czy oprogramowania. To wszystko moim zdaniem wskazuje, że ryzyko naruszenia praw lub wolności osoby można ocenić w takiej sytuacji właśnie jak „niskie” biorąc pod uwagę wszystkie okoliczności ale nie w ten sposób, że go w ogóle nie ma, jak wskazano w przywołanym artykule.

W przypadku gdyby przedstawiona interpretacja była poprawna, wszelkie naruszenia poufności danych osobowych zaszyfrowanych przy użyciu odpowiedniego algorytmu także należałoby zgłaszać do UODO, wbrew wytycznym EROD. Szerzej, z punktu widzenia praktycznego oznacza to, że w zasadzie 100% naruszeń powinno być zgłaszane do UODO. Pytanie tylko czy rzeczywiście taka była intencja organu nadzorczego.