Autor: KPMG spółka z ograniczoną odpowiedzialnością

Szanowni Państwo,

Ponownie doceniając inicjatywę Prezesa Urzędu Ochrony Danych Osobowych oraz chcąc przyczynić się do wzmocnienia świadomości i ujednolicenia stosowanych standardów w zakresie ochrony danych osobowych na rynku polskim, przedstawiamy swoje pytania, uwagi i propozycje do poradnika Prezesa UODO dotyczącego naruszeń ochrony danych osobowych.

1. W aktualnie funkcjonującym poradniku przedstawiona jest propozycji 4-stopniowej skali oceny ryzyka naruszenia (niskie, średnie, wysokie oraz bardzo wysokie). W kontekście obowiązku lub braku obowiązku zgłoszenia naruszenia do organu nadzorczego, czy Prezes UODO dopuszcza stosowanie skali oceny ryzyka opartej o inne stopnie (np. 3-stopniowej lub 5-stopniowej)? Czy Prezes UODO mógłby wskazać, który stopień ryzyka naruszenia determinuje, jako minimum, obowiązek zgłoszenia naruszenia organowi nadzorczemu?
2. Biorąc pod uwagę aktualny stan prawny tj. przepisy ustawy z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości i związanej z tym możliwości zastrzeżenia numeru PESEL czy większość naruszeń, których przedmiotem jest nr PESEL stanowi wysokie ryzyko dla praw i wolności osób, których dane dotyczą? Czy Prezes UODO podziela nadal przedstawioną w Poradniku koncepcję ewentualnych zagrożeń związanych z wyciekiem numeru PESEL, biorąc pod uwagę, iż nadal w obrocie prawnym funkcjonują rejestry, w których upubliczniane są numery PESEL osób fizycznych (np. Krajowy Rejestr Sądowy czy Centralny Rejestr Beneficjentów Rzeczywistych)?
3. Czy Prezes UODO dopuszcza, aby w ocenie ryzyka naruszenia administrator uwzględniał, oprócz kontekstu przetwarzania danych, łatwości identyfikacji oraz okoliczności naruszenia (zgodnie z metodyką Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) również potencjalne konsekwencje dla osób, których dane dotyczą, zgodnie z podejściem zaprezentowanym w Wytycznych Europejskiej Rady Ochrony Danych 01/2021 dotyczące przykładów zgłaszania naruszeń ochrony danych?
4. W myśl art. 33 ust. 2 RODO, podmiot przetwarzający po stwierdzeniu naruszenia bez zbędnej zwłoki zgłasza je administratorowi. Aktualnie obowiązujący Poradnik stwierdza z kolei, iż bez zbędnej zwłoki oznacza najszybciej jak to możliwe i taki termin wywiązywania się z tego obowiązku powinien być nałożony na podmioty przetwarzające w umowach powierzenia. Jaki termin wg Prezesa UODO jest realny lub optymalny w zakresie obowiązku zgłoszenia naruszenia przez procesora administratorowi?
5. Czy administratorzy mogą wymagać od podmiotów przetwarzających zgłaszania podejrzeń naruszeń, biorąc pod uwagę treść art. 33 ust. 2 RODO?
6. Od kiedy zaczyna biec termin 72 godzin, określony w art. 33 ust. 1 RODO, dla administratora na zgłoszenie naruszenia, w przypadku, gdy naruszenie miało miejsce u podmiotu przetwarzającego dane osobowe w imieniu administratora? Zarówno Poradnik, jak i wytyczne Europejskiej Rady Ochrony Danych 09/2022 nie konkretyzują tego zagadnienia, stwierdzając, iż administrator stwierdza naruszenie wtedy, kiedy ma wystarczającą dozę pewności, iż naruszenie miało miejsce.
7. W jaki sposób Prezes UODO podchodzi do współpracy z podmiotami, których rola w procesie przetwarzania danych osobowych, zgodnie z obowiązującym stanem prawnym oraz poglądami w doktrynie, nie jest określona, w kontekście odpowiedzialności administratora za naruszenia ochrony danych osobowych? W szczególności dotyczy to firm kurierskich czy operatorów pocztowych. Czy można na firmę kurierską / operatora pocztowego nałożyć obowiązek zgłaszania naruszeń, biorąc pod uwagę charakter tej współpracy?
8. Uprzejmie prosimy Prezesa UODO o dokonanie aktualizacji (względem Poradnika i stanu na rok 2019) przykładów naruszeń oraz (wzorem wytycznych EROD 01/2021) opracowania rekomendowanej oceny ryzyka typowych przykładów naruszeń ochrony danych osobowych.
9. Prosimy o dodatkowe rozważenie i wyjaśnienie lub zmianę stanowiska w przypadku udziału dobrej lub złej woli w kontekście oceny ryzyka naruszenia. Zgodnie z informacjami przedstawionymi w poradniku, administratorzy, zdaniem Prezesa UODO, błędnie zaniżają to kryterium. Jednocześnie organ nadzorczy wskazuje, iż nawet zachowanie nieuprawnionego odbiorcy danych, które wskazuje na brak złej woli, powinno być potencjalnie traktowane jako zła wola (nie ma bowiem gwarancji, iż nieuprawniony odbiorca nie zmieni podejścia i swojego zachowania). Biorąc pod uwagę takie podejście, należałoby zatem każdorazowo zakładać (przynajmniej hipotetycznie) udział złej woli u nieuprawnionego odbiorcy. To z kolei może powodować błędne zawyżenie w każdym przypadku oceny ryzyka przez administratorów.
10. W przypadku zgłoszenia naruszenia do Prezesa UODO, administratorzy często mierzą się z niepewnością, czy i jaką odpowiedź otrzymają od organu nadzorczego. W tym zakresie bardzo użyteczne byłoby ujednolicenie podejścia oraz udzielanie każdorazowo informacji zwrotnej administratorom w sprawie zgłoszonego naruszenia, nawet, gdy żadne dodatkowe działania nie są wymagane. Takie podejście pomagałoby ostatecznie „zamykać” obsługę naruszenia, które podlegało zgłoszeniu do regulatora.
11. Zwracamy uwagę na format formularza do pobrania i wypełnienia, który następnie służy do zgłoszenia naruszenia ochrony danych osobowych. Formularz interaktywny, który aktualnie obowiązuje, może powodować problemy z odczytem i prawidłowym wypełnieniem, w szczególności w organizacjach, które stosują dodatkowe zabezpieczenia techniczne uniemożliwiające uruchomienie niektórych funkcjonalności tego typu plików.
12. Uwaga techniczna: Poradnik odsyła niekiedy do niedziałających lub już nieistniejących linków.

Z góry dziękujemy za wszelkie udzielone wskazówki, odpowiedzi oraz wytyczne.