Autor: Stowarzyszenie Praktyków Ochrony Danych (SPOD)

Uwagi do Poradnika „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”

Sugerując się tytułem Poradnika  „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” oraz patrząc na datę wydania można było przypuszczać, że pracownicy UODO przedstawią w nim stanowisko organu nadzorczego dotyczące obowiązków administratora zarówno na podstawie przepisów RODO jak i ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, dalej UODOZP.

Niestety w przypadku omawianego Poradnika UODO odniósł się jedynie do przepisów RODO, pomijając zupełnie regulacje ustawy krajowej wdrażającej dyrektywę DODO. Generalnie administratorzy pozostawieni zostali sami sobie w kwestii stosowania zasad UODOZP, przy jednoczesnym braku jakichkolwiek wytycznych organu nadzorczego, co do prawidłowości regulacji zawartych w ustawie i świadomości, że zapisy dyrektywy DODO nie do końca zostały właściwie wdrożone.

Jeśli chodzi o definicje danych osobowych, administratora, współadministratora podmiotu przetwarzającego, czy też naruszenia są one takie same, jak w RODO. Opisanie tej problematyki w Poradniku nie budzi żadnych wątpliwości.

Zgłaszanie naruszeń ochrony danych osobowych

Co stanowi przepis art. 44 UODOZP

1.      W przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin po stwierdzeniu naruszenia, zgłasza naruszenie Prezesowi Urzędu. Przepisu nie stosuje się, jeżeli nie wystąpiło ryzyko naruszenia praw i wolności osób fizycznych.
2.      W przypadku niedotrzymania terminu, o którym mowa w ust. 1, administrator niezwłocznie zgłasza naruszenie oraz sporządza i przekazuje Prezesowi Urzędu uzasadnienie niedotrzymania tego terminu.
3.      Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je administratorowi, bez zbędnej zwłoki, nie później jednak niż w ciągu 48 godzin.
4.      Zgłoszenie, o którym mowa w ust. 1 i 3, zawiera co najmniej następujące informacje:
1)      opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii
i przybliżonej liczby wykazów danych osobowych, których dotyczy naruszenie;
2)      imię i nazwisko lub nazwę oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, który może udzielić dodatkowych informacji;
3)      opis możliwych konsekwencji naruszenia ochrony danych osobowych;
4)      opis środków zastosowanych lub zaproponowanych przez administratora w celu usunięcia naruszenia ochrony danych osobowych, w tym zminimalizowania jego ewentualnych negatywnych skutków.
5.      Jeżeli nie można przekazać informacji, o których mowa w ust. 4, w jednym zgłoszeniu, można je udzielać sukcesywnie bez zbędnej zwłoki.
6.      Administrator dokumentuje dla celów kontrolnych przypadki naruszenia ochrony danych osobowych, o których mowa w ust. 1, podając okoliczności ich naruszenia, skutki oraz podjęte działania naprawcze, dołączając uwierzytelnioną przez siebie kopię zgłoszenia, o którym mowa w ust. 4.
7.       W przypadku gdy naruszenie ochrony danych osobowych dotyczyło danych osobowych:
1)      otrzymanych od administratora innego państwa członkowskiego Unii Europejskiej,
2)      przesłanych do administratora innego państwa członkowskiego Unii Europejskiej - informacje, o których mowa w ust. 4, przekazuje się bez zbędnej zwłoki administratorowi tego państwa członkowskiego Unii Europejskiej.
8.      Prezes Urzędu może przeprowadzać kontrolę realizacji przez administratora obowiązków, o których mowa w ust. 1-7.

Ad. do ust. 1

Administrator nie zawiadamia organu nadzorczego jeżeli nie wystąpiło ryzyko naruszenia praw i wolności.

Jak wiemy z godnie z art. 33 RODO administratora nie zawiadamia organu nadzorczego w sytuacji, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności podmiotu danych.
I tu pojawia się pierwsza wątpliwość.
Dlaczego wg RODO ryzyko dotyczy praw lub wolności,  a wg  UODOZP praw i wolności? Czy był to celowy zabieg ustawodawcy krajowego czy też to tylko błąd
w tłumaczeniu? W motywie 61) preambuły do dyrektywy DODO napisane zostało „praw lub wolności”, ale już w art. 30 samej Dyrektywy  DODO ustanowiono „praw i wolności”. Czy jest to kwestia którą należy pieczołowicie analizować, czy też potraktować, jako błąd w tłumaczeniu, inny błąd?
Jak ocenia tą kwestię organ nadzorczy?

Kolejna wątpliwość dotyczy oceny ryzyka wystąpienia prawdopodobieństwa naruszenia praw i wolności podmiotu danych.
Zarówno w preambule jak i w dyrektywie DODO wskazano, że administrator nie zawiadamia organu nadzorczego jeżeli jest mało prawdopodobne, by naruszenie to stwarzało ryzyko naruszenia praw i wolności podmiotów danych.
Krajowy ustawodawca postanowił jednak, że administrator nie zawiadamia organu nadzorczego jeżeli ryzyko naruszenia praw i wolności nie wystąpiło.
Znowu pytanie o celowość takiego działania, specjalnie? Czy jest tu
widoczna różnica w podejściu? z jakiego powodu. Jak organ nadzorczy widzi tą kwestię?

Ad. do ust. 3

Co do zasady administrator ma 72 godziny od stwierdzenia naruszenia na zgłoszenie go do organu nadzorczego.
Czy przy takim zapisie ustawowym art. 44 ust. 3 UODOZP podmiot przetwarzający zgłasza niezwłocznie, nie później niż w ciągu 48 godzin, administrator jest uprawniony
do przyjęcia, że dowiedział się od podmiotu przetwarzającego o naruszeniu i dopiero od tej chwili liczy „swoje” 72 godziny? Takich zapisów w RODO nie ma. Specjaliści/komentatorzy uznają, że 72 godziny administratora liczy się od chwili, gdy to administrator stwierdzi naruszenie, ale jednocześnie uważają, że administrator tak
powinien ułożyć swoje relacje z podmiotem przetwarzającym by ten czas został zachowany (oczywiście każda sprawa jest rozpatrywana indywidualnie i zależy od wielu okoliczności; w niektórych przypadkach od razu wiadomo, że doszło do naruszenia, w innych trzeba dokonać ustaleń  i wyjaśnień).
Art. 30 ust. 2 Dyrektywy DODO również nie wspomina nic o 48 godzinach, wskazując jedynie, że podmiot przetwarzający ma niezwłocznie poinformowac ADO.
Stanowisko organu nadzorczego w tej kwestii niewątpliwie przyczyni się do zmniejszenia napięć pomiędzy ADO, a podmiotami przetwarzającymi, które upierają się, że mają „swoje ustawowe 48 godzin” i NIK ich nie może tego pozbawić.

Ad do ust. 6.

Ustawodawca krajowy uznał, że Administrator dokumentuje dla celów kontrolnych przypadki naruszenia ochrony danych osobowych, które zgłosił do organu nadzorczego.
Znowu pytanie, czy jest to zabieg celowy? W dyrektywie wprawdzie ustawodawca unijny zawarł słowo „wszelkie” ale również odniósł się do opisu naruszenia określonego w ust 1, sugerując, że należy dokumentować tylko te, zgłoszone naruszenia. Czy obydwaj ustawodawcy unijny i krajowy uznali, że np. z uwagi na specyfikę realizowanych zadań przepisy wystarczająco ograniczają możliwość działania organów (mogą działać tylko wtedy, gdy przepisy prawa im na to pozwalają – art. 13 UODOZP), że
przypadki naruszeń będą nieliczne? i wystarczy, że ADO udokumentuje tylko te zgłoszone?
Jak wiemy RODO nie zawiera takiego ograniczenia.

Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych

Co stanowi art. 45 UODOZP
1.      W przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych.
2.      Zawiadomienie, o którym mowa w ust. 1, zawiera w szczególności:
1)      opis charakteru naruszenia ochrony danych osobowych;
2)      informacje, o których mowa w art. 44 ust. 4 pkt 2-4.
3.      Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, jeżeli został spełniony jeden z poniższych warunków:
1)      administrator zastosował odpowiednie techniczne i organizacyjne środki ochrony, w szczególności szyfrowanie, uniemożliwiające odczyt
osobom nieuprawnionym do dostępu do tych danych osobowych;
2)      administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, wskazanych w ust. 1;
3)      zawiadomienie wymagałoby niewspółmiernie dużego wysiłku.
4.      W przypadku, o którym mowa w ust. 3 pkt 3, administrator wydaje publiczny komunikat lub stosuje podobny środek zawierający elementy wskazane w ust. 2, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
5.      Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, Prezes Urzędu, biorąc pod uwagę prawdopodobieństwo, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko, może:
1) zażądać wystosowania przez administratora zawiadomienia;
2) stwierdzić, że został spełniony jeden z warunków, o których mowa w ust. 3.
6.      W przypadku, o którym mowa w art. 26 ust. 1, zawiadomienie, o którym mowa w ust. 1, można opóźnić, ograniczyć lub pominąć.

Ad. do ust. 1.

Jak już wyżej zaznaczono, ustawodawca krajowy uznał, że ADO zawiadamia organ nadzorczy o naruszeniu jeżeli wystąpiło ryzyko naruszenia praw i wolności.
Jednak w  przypadku podmiotu danych spójnik „i” zastąpiono „lub”, co oczywiście rodzi pytania o celowość takiego działania.
Czy należy na to bacznie zwracać uwagę, analizować, dopatrywać większego sensu, czy jednak pominąć ten zabieg ustawodawcy uznając go za błąd?

Ad. do ust. 2

Porównując treść zapisu tego przepisu z art. 31 ust. 2 Dyrektywy DODO, w którym ustawodawca (na wzór art. 34 ust. 2 RODO) zaznaczył, że skierowanie do podmiotu danych opisuje jasnym i prostym językiem.
Znowu ADO ma wątpliwości, czy ustawodawca krajowy celowo to uczynił, czy znowu jest to kolejny błąd?
Jak organ nadzorczy podejdzie do tych kwestii?

Jako Stowarzyszenie zrzeszające wśród swoich członków wielu inspektorów ochrony danych z organów (np. straże miejskie, straże pożarne), które zobowiązane są stosować przepisy ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości z wielką radością przyjęliśmy pomysł organu nadzorczego o zmianie/aktualizacji poradnika „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” i liczymy, że powyższe uwagi/wątpliwości zostaną rozwiane w nowej wersji Poradnika.