Autor: Polskie Forum HR

W związku z ogłoszoną rewizją poradników Urzędu Ochrony Danych Osobowych, w imieniu Polskiego Forum HR przekazuję propozycje zmian do poradnika „Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych”.

Propozycje Polskiego Forum HR w zakresie zmian w publikacji „Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych”

Część 1: „Pojęcie naruszenia ochrony danych osobowych. Definicja wraz z przykładami.”

Naruszenie dostępności – bardzo przydatne dla administratorów byłoby podanie więcej przykładów zdarzeń, które rodzą niskie średnie i wysokie ryzyko dla podmiotów danych, np. ocena czasowej niedostępności infolinii, systemów kadrowych, problemów technicznych w działaniach systemów rekrutacyjnych czy pracowniczych.

Część 3: „O jakich naruszeniach trzeba powiadamiać Prezesa PUODO?”

Część 9: „Jak ocenić ryzyko naruszenia praw lub wolności osób fizycznych na wypadek stwierdzenia naruszenia?”

Bardzo przydatne dla administratorów byłoby podanie przykładów zawierających np. zakresy danych lub rodzaje naruszeń, które w ocenie PUODO wymagają i nie wymagają zgłoszenia. Zawsze naruszenia wymagają indywidualnego podejścia, jednakże sześcioletnia praktyka PUODO z pewnością pozwala na identyfikację pewnych standardowych rodzajów incydentów i ich ogólną klasyfikację pod kątem poziomu ryzyka dla podmiotu danych.

PUODO w wytycznych wskazuje, że administratorzy korzystający z metodologii ENISA często zaniżają wyniki takiej oceny. Przydatne dla administratorów byłoby zatem dodanie wytycznych, czego się wystrzegać, aby uniknąć błędów w analizie.

PUODO szczególną wagę w poradniku przykłada do naruszeń polegających na ujawnieniu numeru PESEL, wskazując jednocześnie, że podejmie działania w celu zmniejszenia jego wykorzystania. Warto byłoby zatem zaktualizować tę część poradnika i wskazać, czy stanowisko dotyczące numerów PESEL jest aktualne.

W pkt. 9.2 poradnika znajdują się 3 rodzaje kryteriów oceny ryzyka wynikającego z naruszenia. PUODO nie precyzuje natomiast, czy wystarczające jest oparcie przez administratorów swojej metodologii wyłącznie na jednej grupie kryteriów, czy też zalecane jest ich łączenie. Wskazane byłoby również doprecyzowanie, czy są to jedyne kryteria, jakie mogą zostać przyjęte przez administratorów, czy możliwe jest oparcie się na innych kryteriach lub przygotowanie zestawu własnych.

Część 12: „Kiedy i w jakim celu trzeba zawiadamiać o naruszeniu osoby, których dane dotyczą?”

Część 14: „W jaki sposób informować osoby, których dane dotyczą, o naruszeniu?”

Warto byłoby doprecyzować, czy w ocenie PUODO wysokie ryzyko dla podmiotów danych (skutkujące obowiązkiem przesłania zawiadomień) wystąpi wyłącznie w związku z ujawnieniem danych szczególnych kategorii lub numeru PESEL, czy zawiadomienie może być też konieczne w przypadku ujawnienia danych zwykłych.

Warto byłoby doprecyzować, jakie działania powinien podjąć administrator w przypadku, gdy z jego oceny wynika konieczność dokonania zawiadomienia podmiotów danych, natomiast administrator np. nie dysponuje danymi kontaktowymi do tej osoby lub są one nieaktualne.

Dla administratorów niezwykle przydatne byłyby wskazówki, jakie możliwe konsekwencje dla podmiotów danych wiąże PUODO z określonymi rodzajami danych, a także jakie są w tych przypadkach rekomendowane przez PUODO zalecenia dla podmiotów danych. Część administratorów z pewnością wypracowała już w tym zakresie swoje praktyki, niemniej jednak szczególnie dla mniejszych podmiotów byłyby to ważne wskazówki pozwalające na przekazanie podmiotom danych bardziej adekwatnych informacji niezwłocznie po naruszeniu.