Autor: Hogan Lovells (Warszawa) LLP (Spółka partnerska) Oddział w Polsce

Autor: Aleksandra Kuc-Makulska, Weronika Olszewska, Wiktoria Kossakowska-Wojdaszka,  Hogan Lovells (Warszawa) LLP (Spółka partnerska) Oddział w Polsce

Tytuł zagadnienia i nr strony Poradnika

W jakim terminie należy zgłosić naruszenie Prezesowi UODO? [str. 9]

Opis aktualnych zaleceń

Poradnik wskazuje, że administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia i cytuje wskazówki Grupy Roboczej Art. 29, wyjaśniające kiedy można mówić o „stwierdzeniu naruszenia”. Brak jest szerszych wskazówek odnośnie momentu „stwierdzenia naruszenia”.

Uwagi dotczące treści zaleceń

Poradnik powinien zawierać więcej wskazówek, co do określenia "momentu stwierdzenia naruszenia".

Przykładowo, w jednej z decyzji UODO (DKN.5130.1354.2020 z 17 grudnia 2020 r.), UODO wskazuje, że „Grupa Robocza Art. 29, w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych (…), wskazuje, że administrator stwierdza naruszenie w momencie, w którym uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych. Należy jednak tą kwestie rozpatrywać względem obowiązku administratora utrzymania zdolności do szybkiego i skutecznego stwierdzania wystąpienia wszelkich naruszeń aby zapewnić możliwość podjęcia stosownych działań. W niektórych przypadkach ustalenie, czy doszło do ujawnienia danych osobowych, może wymagać czasu. W tym kontekście powinno się jednak położyć nacisk na szybkie zbadanie danego incydentu w celu ustalenia, czy faktycznie doszło do naruszenia ochrony danych osobowych, a jeżeli tak – podjąć działania zaradcze  i, w razie konieczności, zgłosić naruszenie.

Należy więc przyjąć, jak wskazuje Grupa Robocza Art. 29 (…), że po otrzymaniu pierwszej informacji o potencjalnym naruszeniu ochrony danych osobowych, od osoby fizycznej, z innego źródła lub po samodzielnym wykryciu incydentu bezpieczeństwa, administrator może przeprowadzić krótkotrwałe postępowanie, aby ustalić, czy faktycznie doszło do danego naruszenia. O ile do momentu zakończenia tego postępowania nie można uznać, że administrator stwierdził wystąpienie naruszenia, o tyle należy oczekiwać, że wstępne postępowanie powinno rozpocząć się możliwie jak najszybciej i doprowadzić do jak najszybszego ustalenia z wystarczającą dozą pewności, czy w danym przypadku faktycznie doszło do wystąpienia naruszenia, następnie można przeprowadzić bardziej szczegółową analizę zdarzenia. Jednak w przypadku jakichkolwiek wątpliwości, mając w szczególności na względzie charakter i zakres przetwarzanych danych oraz ryzyko wiążące się z ich np. przypadkowym udostępnieniem, administrator powinien zgłosić naruszenie organowi nadzorczemu, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.”

Poradnik powinien pogłębić aktualnie zawarte wskazówki w tym zakresie, uwzględniając również rolę podmiotu przetwarzającego w procesie zgłaszania naruszeń.

Tytuł zagadnienia i nr strony Poradnika

Praktyka organu nadzorczego [str. 17]

Opis aktualnych zaleceń

Wskazanie na, co do zasady, wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą w przypadku naruszeń ochrony danych takich jak imię, nazwisko i nr PESEL.

Uwagi dotczące treści zaleceń

Przedstawione w Poradniku stanowisko, zgodnie z którym naruszenie ochrony danych osobowych takich jak imię, nazwisko i numer PESEL, co do zasady, wiąże się z wysokim ryzykiem naruszenia praw i wolności osób, których dane dotyczą, jest zbyt rygorystyczne.  Należy zwrócić uwagę, że dane te wciąż są ujawniane w ogólnodostępnych rejestrach, np. w KRS, w przypadku osób reprezentujących podmioty prawa handlowego, czy w księgach wieczystych. Ponadto umożliwienie zastrzeżenia numeru PESEL (zgodnie z ustawą z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania skutków kradzieży tożsamości), pozwala na zminimalizowanie ryzyka wystąpienia wielu ze wskazanych w Poradniku zagrożeń związanych z ujawnieniem takich danych.
Poradnik powinien zatem wskazywać, że ocena ryzyka w przypadku ujawnienia imienia, nazwiska i numeru PESEL, powinna uwzględniać towarzyszące naruszeniu okoliczności, które to będą determinowały poziom ryzyka naruszenia praw i wolności osób, których dane dotyczą.

Tytuł zagadnienia i nr strony Poradnika

Praktyka organu nadzorczego [str. 17]

Opis aktualnych zaleceń

„W ocenie Prezesa UODO, sytuacja, w której (…) korespondencja (zawierająca przynajmniej takie kategorie danych, jak imię, nazwisko i numer PESEL) jest dostarczana osobie znanej bądź nieznanej administratorowi, co do zasady wiąże się z wysokim ryzykiem dla osób, których dane dotyczą. Można przyjąć inne prawdopodobieństwo w sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi (np. innemu klientowi administratora, który poinformował o pomyłce bądź oświadczył, że nie wykorzystał przekazanych omyłkowo informacji do celów prywatnych i/lub niezgodnych z prawem), nie daje to jednak żadnej gwarancji, że intencje takiej osoby obecnie bądź w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące.”

Uwagi dotczące treści zaleceń

W świetle aktualnych zaleceń, na ocenę ryzyka właściwie nie ma wpływu to, komu ujawniane są dane osobowe, tj. czy są to podmioty, z którymi administrator pozostaje w stałych stosunkach. Należy jednak zwrócić uwagę, że takie zalecenia nie są zasadne, zwłaszcza w świetle wytycznych Europejskiej Rady Ochrony Danych 9/2022 v.2  w sprawie zgłaszania naruszenia ochrony danych osobowych zgodnie z RODO (wcześniej: w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 Grupy Roboczej art. 29).
Poradnik powinien zawierać odniesienie do kategorii tzw. „zaufanego odbiorcy”, zgodnie z interpretacją przyjętą w ww. wytycznych: „Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach – z uwagi na fakt, że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące – odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu. W takich przypadkach administrator może uwzględnić tę kwestię w ocenie ryzyka przeprowadzanej w następstwie naruszenia – fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca. To z kolei może jednak wyeliminować prawdopodobieństwo wystąpienia ryzyka dla osób fizycznych, w wyniku czego nie będzie już potrzeby powiadomienia organu nadzorczego lub osób fizycznych, na które to naruszenie wywiera wpływ. Również w tym wypadku wszystko będzie zależało od konkretnej sytuacji.”

Ponadto Poradnik powinien wskazać przykłady sytuacji, w których administrator mógłby zaklasyfikować danego odbiorcę jako „zaufanego”.

Tytuł zagadnienia i nr strony Poradnika

Jakie informacje należy przekazać osobom, których dane dotyczą w związku z naruszeniem? / Dane kontaktowe IOD lub innego punktu kontaktowego, od którego można uzyskać więcej informacji [str. 26/str. 30]

Opis aktualnych zaleceń

Zgodnie z zaleceniami UODO, powiadamiając o naruszeniu osoby, których dane dotyczą, należy wskazać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.

Uwagi dotyczące treści zaleceń

Wskazywanie imienia i nazwiska inspektora ochrony danych czy innej osoby, z którą można się kontaktować w razie naruszenia, wydaje się zbędne dla celów zapewnienia sprawnego kontaktu z administratorem. Wystarczające byłoby wskazanie np. adresu e-mail czy numeru telefonu, pod którym można by uzyskać więcej informacji.

Uwagi ogóle

Propozycja

Publikacja Poradnika w języku angielskim

Uzasadnienie

Znacznym ułatwieniem dla zagranicznych przedsiębiorców prowadzących działalność w Polsce byłaby publikacja Poradnika w języku angielskim. Tego rodzaju praktyka stosowana jest przez liczne urzędy ochrony danych w Unii Europejskiej (m.in. poradniki CNIL, AEPD). Tłumaczenie poradników na język angielski przez przedsiębiorców zagranicznych może prowadzić do rozbieżności, dlatego też wskazane jest stworzenie przez UODO oficjalnej wersji językowej.

Propozycja

Aktualizowanie Poradnika na bieżąco

Uzasadnienie

Wskazane jest, aby UODO aktualizował Poradnik na bieżąco, tj. wraz z każdą istotną zmianą prawną, jak również po pojawieniu się nowej linii orzeczniczej istotnej dla danego zagadnienia. Regularne aktualizacje pozwolą na zachowanie wartości merytorycznej i praktycznej Poradnika na dłużej, zapewniając użytkownikom dostęp do najnowszych i najbardziej adekwatnych informacji.

Propozycja

Wzbogacenie Poradnika o przykłady z orzecznictwa oraz decyzje UODO

Uzasadnienie

Wprowadzenie do Poradnika przykładów z orzecznictwa oraz decyzji UODO pozwoli odbiorcom Poradnika lepiej zrozumieć, w jaki sposób przepisy prawa są interpretowane i stosowane w praktyce UODO oraz w praktyce sądowej. Co więcej, przytaczanie konkretnych wyroków lub decyzji pomoże zilustrować teoretyczne zagadnienia prawne w realnych kontekstach i tym samym ułatwi ich zastosowanie w analogicznych sytuacjach. Wreszcie, orzecznictwo stanowi cenne źródło wiedzy o aktualnych tendencjach i kierunkach rozwoju prawa, co jest kluczowe dla skutecznego poruszania się w dynamicznie zmieniającym się środowisku prawnym.