Na stronie internetowej Urzędu Ochrony Danych Osobowych (dalej: „UODO”) kilka tygodni temu opublikowany został poradnik zatytułowany Obowiązki administratorów związane z naruszeniami ochrony danych osobowych[1] (dalej: „Poradnik UODO”). Z uwagi na ogólny charakter przepisów RODO[2] oraz bardzo krótkie terminy na zgłoszenie naruszeń do organu nadzorczego, po stronie podmiotów przetwarzających dane osobowe w dalszym ciągu pojawiają się wątpliwości co do działań, jakie należy podejmować w związku z takimi naruszeniami. Poradnik zamieszczony na stronie internetowej organu nadzorczego zawiera wiele praktycznych wskazówek oraz omówienie najczęstszych błędów popełnianych podczas zawiadamiania osób, których dane dotyczą, niemniej jednak zabrakło w nim wyjaśnienia kilku istotnych kwestii.
Po pierwsze, jakkolwiek treść wytycznych zawiera istotne wskazówki w tym zakresie, pewnych trudności przysparzać może ustalenie, w którym momencie dochodzi do stwierdzenie naruszenia.
Po drugie, wątpliwości mogą dotyczyć tego, czy w sytuacji, w której naruszenie miało miejsce u podmiotu przetwarzającego, bieg terminu na zgłoszenie naruszenia należy liczyć od momentu jego stwierdzenia u podmiotu przetwarzającego, czy może od momentu zgłoszenia go administratorowi.
Po trzecie, w świetle wyjaśnień zawartych w Poradniku UODO nie jest też jasne, w którym momencie należy oceniać ryzyko naruszenia praw lub wolności osób fizycznych w razie utraty dostępności danych.
Moment stwierdzenia naruszenia
Do stwierdzenia naruszenia ochrony danych osobowych konieczne jest zajście zdarzenia, którego skutkiem może (ale nie musi) być takie naruszenie. Stosownie do treści art. 4 pkt 12 RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Aby zatem uznać, że takie naruszenie miało miejsce, w pierwszej kolejności należałoby ustalić, czy określone zdarzenie w ogóle wystąpiło oraz czy prowadziło ono do skutków, o których mowa w art. 4 pkt 12 RODO.
Obowiązkiem administratora danych jest niewątpliwie przygotowanie określonych procedur reagowania na informacje dotyczące potencjalnych naruszeń, które mogą skutkować utratą poufności, integralności lub dostępności danych[3].
Potrzebę wprowadzenia stosownych procedur w tym zakresie zaakcentowano także w Poradniku UODO. Wskazano w nim, że w celu zapewnienia szybkich działań w przypadku wykrycia naruszenia procedury te powinny zawierać m.in.:
- cel, w jakim dana procedura została opracowana;
- zakres stosowania procedury;
- katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora;
- opis etapów zarządzania naruszeniem, począwszy od jego wykrycia, a kończąc na usunięciu;
- opis postępowania personelu administratora w przypadku wystąpienia naruszenia ochrony danych[4].
Najpierw pojawia się zatem informacja o możliwości wystąpienia naruszenia. Może ona pochodzić z wewnątrz organizacji (np. powiadomienie pracownika o włamaniu do pomieszczenia, z którego prawdopodobnie skradziono nośniki danych) bądź spoza organizacji (np. anonimowy mail informujący o kradzieży danych z serwerów firmy). Zgodnie z wewnętrznymi procedurami każdy taki przypadek powinien podlegać sprawnej i szybkiej weryfikacji w celu ustalenia, czy faktycznie doszło do naruszenia ochrony danych osobowych. Nie wydaje się jednak, aby w każdym przypadku samo pojawienie się tego typu informacji należało uznać za stwierdzenie naruszenia ochrony danych osobowych. Przykładowo: zgłoszenie przez pracownika, że w obszarze przetwarzania danych osobowych prawdopodobnie przebywa osoba nieuprawniona, wymaga ustalenia, czy faktycznie doszło do takiej sytuacji. Następnie, w razie jej potwierdzenia, należałoby ustalić, czy spełnione są pozostałe przesłanki określone w art. 4 pkt 12 RODO. Jakkolwiek obecność osoby nieuprawnionej w obszarze przetwarzania danych będzie naruszeniem bezpieczeństwa, to nie wydaje się, aby w każdym przypadku skutkowało ono naruszeniem ochrony danych osobowych. Jeśli po analizie dostępnych informacji (np. nagrań z monitoringu, logów z sytemu informatycznego itp.) okaże się, że naruszenie to nie prowadziło do skutków, o których mowa w art. 4 pkt 12 RODO (w szczególności nie doszło faktycznie do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych), to – w ocenie autora – trudno zakwalifikować takie zdarzenie jako naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Stąd też wątpliwości budzi dokonana w Poradniku UODO ocena następującej sytuacji, przedstawionej tamże jako przykład naruszenia, w którym jednak nie wystąpiło ryzyko naruszenia praw i wolności osoby fizycznej:
Pracownik kancelarii przez pomyłkę wynosi poza jej obszar teczkę z niezabezpieczonymi danymi osobowymi, wśród których znajdują się również szczególne kategorie danych osobowych. Po chwili orientuje się, że nastąpiła pomyłka i wraca do kancelarii, zwracając teczkę. Działanie takie naruszyło zasady ochrony danych, ale nie mogło skutkować naruszeniem praw lub wolności osób fizycznych, gdyż dane nie zostały udostępnione[5].
Trudno jednoznacznie uznać, czy w cytowanym przykładzie w ogóle doszło do naruszenia ochrony danych osobowych. Niewątpliwie można uznać, że wystąpił pewnego rodzaju incydent bezpieczeństwa (jeśli dane nie powinny być wyniesione), jednak nie prowadził on raczej do wystąpienia skutków określonych w art. 4 pkt 12 RODO. Kwestię tę dostrzegła także Grupa Robocza Art. 29, która wskazała na różnicę pomiędzy incydentem bezpieczeństwu a naruszeniem ochrony danych osobowych[6].
Wiele problemów może dotyczyć ewentualnych naruszeń związanych z utratą dostępności danych. W Poradniku UODO zaznaczono, że „nie każda czasowa niedostępność danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw lub wolności osób fizycznych”[7]. Takie spojrzenie budzi wątpliwości. O ile bowiem planowana czasowa niedostępność danych (np. w związku z prowadzoną konserwacją systemu informatycznego) nie powinna być sama w sobie traktowana jako naruszenie, o tyle w przypadku niezamierzonego czasowego braku dostępności danych należałoby rozważyć, czy – w świetle definicji przyjętej w art. 4 pkt 12 RODO – faktycznie mamy do czynienia z naruszeniem ochrony danych osobowych.
Jakkolwiek chwilowy brak dostępu do danych (o ile nie jest powiązany z ich trwałą utratą) może rodzić negatywne konsekwencje dla podmiotu danych, to – w ocenie autora – nie wydaje się naruszeniem ochrony danych w rozumieniu definicji określonej w art. 4 pkt 12 RODO. Takie zdarzenie nie prowadzi bowiem do skutków określonych w art. 4 pkt 12 RODO, tj. do zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Z całą pewnością można natomiast stwierdzić naruszenie ochrony danych osobowych w sytuacji, w której naruszenie dostępności ma charakter trwały.
Problem ten dostrzeżono także w doktrynie:
Bez względu na intensywność naruszenia i jego czysty czy mieszany charakter w wielu przypadkach od samego początku będzie wiadomo, że doszło do naruszenia poufności lub naruszenia integralności. Na tym tle inaczej wygląda kwestia naruszenia dostępności danych, gdyż wymaga to zbadania, czy istniejące zasoby pozwalają przywrócić dostęp lub odtworzyć dane. Niemniej zaburzenie dostępności zawsze powinno być uznawane za naruszenie dostępności, jeśli nastąpiła trwała utrata lub zniszczenie danych osobowych[8].
Należy jednak zauważyć, że odmienne stanowisko w tym zakresie zaprezentowała Grupa Robocza Art. 29. W jej opinii czasowa utrata dostępności danych stanowi rodzaj naruszenia i powinna być każdorazowo udokumentowana:
incydent bezpieczeństwa skutkujący utratą dostępu do danych osobowych przez określony czas również stanowi rodzaj naruszenia, ponieważ brak dostępu do danych może wywrzeć istotny wpływ na prawa i wolności osób fizycznych. (…). Naruszenie skutkujące tymczasową utratą dostępności danych powinno zostać udokumentowane zgodnie z art. 33 ust. 5, podobnie jak naruszenie skutkujące trwałą utratą lub zniszczeniem danych osobowych (lub dowolny inny rodzaj naruszenia). (…) Zgodnie z art. 33 administrator jest zobowiązany do zgłoszenia naruszenia, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw i wolności osób fizycznych. Kwestię tę trzeba będzie oczywiście ocenić w poszczególnych przypadkach[9].
Z kolei rozwiązanie zaproponowane w Poradniku UODO niejako odwraca kolejność działań, tj. przed ustaleniem, czy zdarzenie, do którego doszło, skutkuje naruszeniem ochrony danych osobowych, zaleca się przeprowadzenie oceny ryzyka dla praw lub wolności osób fizycznych w celu stwierdzenia, czy zdarzenie powinno zostać uznane za takie naruszenie, czy nie. Takie podejście wydaje się co najmniej kontrowersyjne. Stanowisko zawarte w Poradniku UODO w tym zakresie nie jest spójne, w dalszej części poradnika wskazano bowiem jednoznacznie, że „konsekwencją stwierdzenia naruszenia jest konieczność przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Analiza ta pozwoli stwierdzić, czy należy wypełnić obowiązek z art. 33 ust. 1 RODO (tj. zgłosić naruszenie organowi nadzorczemu) oraz art. 34 ust. 1 RODO (tj. zawiadomić osoby, których dane dotyczą, o naruszeniu)”[10]. W świetle wymogów określonych w art. 33 RODO analiza ryzyka naruszenia praw i wolności osób fizycznych powinna zatem mieć miejsce po stwierdzeniu naruszenia (w celu prawidłowego postępowania w razie stwierdzenia naruszenia, tj. ustalenia, czy istnieje obowiązek zawiadomienia organu lub także obowiązek poinformowania osób fizycznych), a nie na etapie samej kwalifikacji danego zdarzenia jako naruszenia ochrony danych osobowych.
Jeśli jednak czasowa utrata dostępu do danych mieści się w zakresie pojęcia wskazanego w art. 4 pkt 12 RODO (zgodnie ze stanowiskiem Grupy Roboczej Art. 29), należałoby konsekwentnie każdy taki incydent odnotowywać w wewnętrznej ewidencji prowadzonej zgodnie z wymogiem wynikającym z art. 33 ust. 5 RODO. W świetle wytycznych zawartych w Poradniku UODO można mimo to zasadnie przyjąć, że istnieją sytuacje, w których czasowej utraty dostępności danych w ogóle nie powinno się kwalifikować jako naruszenie, choć zawsze powinno się ją oceniać pod kątem ryzyka naruszenia praw osób fizycznych.
Warto mieć przy tym na uwadze, że czasowe naruszenie dostępności danych osobowych może być wynikiem bardzo wielu czynników, w tym np. awarii oprogramowania, działania złośliwego oprogramowania, zamierzonego lub niezamierzonego błędu ludzkiego bądź też innych czynników, takich jak chwilowa przerwa w dostawie prądu czy awaria sieci w przypadku danych przechowywanych w zewnętrznej lokalizacji itp. Odnotowywanie wszystkich tego rodzaju zdarzeń (zwłaszcza przejściowych incydentów technicznych lub fizycznych) w wewnętrznej ewidencji organizacji wydaje się działaniem nadmiarowym, które może stanowić duże obciążenie organizacyjne zwłaszcza dla większych podmiotów. Rodzi to daleko idące konsekwencje po stronie administratorów danych, którzy dla wykazania rozliczalności w każdym przypadku mieliby tego rodzaju incydenty dokumentować.
Poza tym powstaje także pytanie, czy chodzi o brak dostępności z punktu widzenia całej organizacji, czy np. także z punktu widzenia określonych użytkowników systemu informatycznego.
Na podstawie art. 32 ust. 1 lit. c) RODO administrator danych niewątpliwie zobowiązany jest zapewnić zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, niemniej jednak należałoby dokładnie rozważyć, czy chwilowa niedostępność danych (o ile możliwe jest ich odtworzenie) powinna być rozpatrywana pod kątem naruszenia w świetle definicji określonej w art. 4 pkt 12 RODO, skoro nie następuje faktyczne zniszczenie lub utrata tych danych.
Jeśli chodzi o moment stwierdzenia naruszenia, trafne wydaje się stanowisko zaprezentowane przez Grupę Roboczą Art. 29 zgodnie z którym takie stwierdzenie następuje w momencie w którym administrator uzyskał wystarczającą dozę pewności co do tego, że doszło do incydentu bezpieczeństwa, który doprowadził do naruszenia ochrony danych osobowych[11], zacytowane zresztą (niestety bez szerszego komentarza w tym zakresie) także w Poradniku UODO[12].
Tym samym „stwierdzenie” wystąpienia naruszenia musi być zależne od konkretnych okoliczności, a samo postępowanie ma charakter wieloetapowy. Można zatem, jak się wydaje, przyjąć (mimo skrótowego ujęcia tej problematyki w Poradniku UODO), że:
- Samo uzyskanie przez administratora danych informacji o potencjalnym incydencie nie powinno być uznane za stwierdzenia naruszenia, chyba że informacja ta od samego początku nie budzi żadnych wątpliwości.
- Informacja o incydencie obliguje jednak administratora danych do niezwłocznego podjęcia działań w celu jej zweryfikowania pod kątem wystąpienia ewentualnego naruszenia ochrony danych (co powinno być określone w ramach wewnętrznej procedury w organizacji).
- W momencie, w którym można stwierdzić, że istnieje „wystarczający stopień pewności”, iż zdarzenie zagrażające bezpieczeństwu doprowadziło faktycznie do naruszenia ochrony danych osobowych, należy stwierdzić wystąpienie takiego naruszenia (od tego momentu powinien być także, jak się wydaje, liczony termin 72 godzin na notyfikację do organu nadzorczego).
Powstaje także pytanie, czy dla wykazania rozliczalności administrator powinien w każdym przypadku odnotowywać w wewnętrznej ewidencji informacje o potencjalnym incydencie, czy też jedynie stwierdzone naruszenia – za czym przemawiałaby literalna wykładnia art. 33 ust. 5 RODO. W Poradniku UODO przesądzono wprost jedynie o konieczności odnotowywania wszystkich naruszeń, w tym także takich, które w ocenie administratora danych nie podlegają obowiązkowi notyfikacji.
Obowiązki podmiotu przetwarzającego
W Poradniku UODO bardzo pobieżnie odniesiono się do obowiązków spoczywających na podmiotach przetwarzających. W dobie powszechnego outsourcingu usług (w tym związanych z przetwarzaniem danych osobowych) coraz częściej występują w praktyce sytuacje powierzenia, a także dalszego powierzenia (podpowierzenia) przetwarzania danych.
Skuteczność i szybkość działań, w tym ewentualnych działań wyjaśniających w razie wystąpienia naruszenia, w znacznym stopniu zależy od jakości współpracy pomiędzy administratorem a podmiotem lub podmiotami przetwarzającymi. Ponadto kluczowe czynności związane z wyjaśnianiem okoliczności konkretnych zdarzeń niejednokrotnie będą realizowane w przeważającej mierze właśnie przez podmiot przetwarzający.
Istotne wątpliwości budzi kwestia ustalenia momentu, od którego należy liczyć termin na zgłoszenie przez administratora naruszenia w przypadku, gdy zostało one stwierdzone u podmiotu przetwarzającego. Wydaje się, że można przyjąć, iż termin ten powinien być liczony od momentu poinformowania administratora o naruszeniu przez podmiot przetwarzający[13], jakkolwiek nie jest wykluczone, że termin ten powinno się jednak liczyć od momentu stwierdzenia naruszenia u podmiotu przetwarzającego. Brak jest jednoznacznego stanowiska w Poradniku UODO w tym zakresie.
W razie przyjęcia, że termin ten należy liczyć od momentu stwierdzenia naruszenia przez podmiot przetwarzający, szczególnie kłopotliwe może być wywiązanie się z tego obowiązku w przypadku dużej liczby dalszych podmiotów przetwarzających (tzw. podprocesorów).
Wprawdzie obowiązek zgłoszenia naruszenia do organu nadzorczego spoczywa na administratorze danych, jednakże możliwe wydaje się przyjęcie, że dokonywanie takiego zgłoszenia (w imieniu administratora) będzie realizowane bezpośrednio przez podmiot przetwarzający, o ile zostałby on do tego upoważniony. Szczegółowe uregulowanie tych kwestii może znaleźć się w umowie powierzenia przetwarzania danych osobowych zawartej na podstawie art. 28 ust. 3 RODO. Wydaje się to szczególnie uzasadnione w sytuacjach, w których całość procesu przetwarzania danych odbywa się de facto po stronie podmiotu przetwarzającego, stąd też to ten podmiot powinien dysponować wszelkimi niezbędnymi informacjami w tym zakresie. Na możliwość przyjęcia takiego rozwiązania wskazała m.in. Grupa Robocza Art. 29[14]. Choć odpowiedzialność za stwierdzenia naruszenia, a następnie za dokonanie właściwej oceny ryzyka i zgłoszenie naruszenia do organu nadzorczego (lub także za poinformowanie osób) spoczywa na administratorze danych, nie można wykluczyć, że w jego imieniu całość lub część tych obowiązków (w oparciu o stosowne postanowienia umowne) będzie realizował podmiot przetwarzający.
W Poradniku UODO nie rozstrzygnięto powyższych kwestii; zaznaczono jedynie, że podmiot przetwarzający w ogóle nie zgłasza naruszeń organowi nadzorczemu, a jego rola ogranicza się w zasadzie do przekazania dostępnych informacji administratorowi.
Informowanie organu nadzorczego o naruszeniu
W Poradniku UODO wyliczono cztery sposoby zgłaszania naruszeń:
- elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl,
- elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP,
- elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
- tradycyjną pocztą poprzez wysłanie wypełnionego formularza na adres Urzędu.
Stosowanie elektronicznego formularza nie jest obowiązkowe, jednak z uwagi na jego usystematyzowany charakter jest preferowane przez organ nadzorczy. Kluczowe w tym względzie jest jednak, aby zgłoszenie zawierało elementy wymagane przez art. 33 ust. 3 RODO.
Informowanie osób o naruszeniu
Zgodnie z art. 34 ust. 1 RODO niezwłoczne zawiadomienie osoby fizycznej o naruszeniu jest konieczne wyłącznie w sytuacjach, w których naruszenie może powodować wysokie ryzyko naruszenia jej praw lub wolności. Udzielenie informacji (zgodnie z zasadą przejrzystości) ma w szczególności uświadomić takiej osobie, że doszło do określonego naruszenia, w tym przede wszystkim (zgodnie z motywem 86 RODO) umożliwić podjęcie niezbędnych działań zapobiegawczych.
Tym samym stosowne informacje powinny być przekazywane wyłącznie w sytuacjach, w których ryzyko naruszenia praw lub wolności jest wysokie. Opis charakteru naruszenia ochrony danych osobowych powinien być zwięzły oraz jasno sformułowany, tak aby był zrozumiały i przejrzysty dla przeciętnego odbiorcy. Wreszcie zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków powinny być w każdym przypadku adekwatne do zaistniałych okoliczności.
W świetle powyższego wątpliwości budzi wskazany przez UODO przykład, zgodnie z którym zgubienie lub wręczenie niewłaściwej osobie (w tym omyłkowe, także osobie znanej administratorowi) danych osobowych w zakresie imienia i nazwiska oraz numeru PESEL co do zasady wiąże się z wysokim ryzykiem dla osoby, której danej dotyczą:
W ocenie Prezesa UODO sytuacja, w której […] korespondencja (zawierająca przynajmniej takie kategorie danych, jak imię, nazwisko i numer PESEL) jest dostarczana osobie znanej bądź nieznanej administratorowi, co do zasady wiąże się z wysokim ryzykiem dla osób, których dane dotyczą. Można przyjąć inne prawdopodobieństwo w sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi (np. innemu klientowi administratora, który poinformował o pomyłce bądź oświadczył, że nie wykorzystał przekazanych omyłkowo informacji do celów prywatnych i/lub niezgodnych z prawem), nie daje to jednak żadnej gwarancji, że intencje takiej osoby obecnie bądź w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące[15].
Ujawnienie (zwłaszcza omyłkowe – osobie znanej administratorowi, która zobowiązała się do niewykorzystywania danych) wyłącznie takich kategorii danych jak imię i nazwisko oraz numer PESEL (o ile jednocześnie nie zostały ujawnione inne kategorie danych, takie jak numer dokumentu tożsamości, imiona rodziców itp.) trudno za każdym razem z góry uznawać za naruszenie skutkujące wysokim ryzykiem naruszenia praw i wolności osoby fizycznej. Należy tu mieć na uwadze, że w odniesieniu do osób reprezentujących podmioty prawa handlowego (takich jak członkowie organów, prokurenci) dane te i tak są jawne i udostępniane za pośrednictwem Centralnej Informacji KRS zgodnie z art. 8 ust. 2 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym[16]. Z informacji dostępnych na stronie organu nadzorczego wynika przy tym, że w jego ocenie należałoby podjąć prace nad ograniczaniem ujawniania numeru PESEL (w tym w ramach rejestrów publicznych)[17].
Jak wskazuje praktyka, w przypadkach, w których w jego ocenie błędnie nie poinformowano osób, których danych dotyczą, o wystąpieniu naruszenia (lub nie udzielono im wszystkich niezbędnych informacji), Prezes UODO kieruje do administratorów danych wystąpienie na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych[18] (dalej: „Ustawa”) z zaleceniem przekazania tym osobom stosownych informacji.
W tego typu wystąpieniach organ zwraca się o podjęcie określonych działań (np. o ponowne zawiadomienie osób, których dane dotyczą, o naruszeniu bądź o przekazanie tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków itp.). W niektórych sytuacjach zalecenia organu mogą sprawiać wrażenie rutynowych instrukcji, formułowanych nie zawsze adekwatnie do okoliczności. Przykładowo: nadmiarowe wydaje się informowanie o ryzyku kradzieży tożsamości w przypadku jednorazowego, omyłkowego otwarcia korespondencji, która została następnie niezwłocznie zwrócona, przez osobę nieuprawnioną, a także sugerowanie potrzeby zgłaszania właściwym organom, np. Policji, faktu naruszenia w celu zapobieżenia tzw. kradzieży tożsamości, zanim do takiej kradzieży faktycznie doszło. Dlatego też wydaje się, że w Poradniku UODO niewystarczająco podkreślono konieczność udzielania adekwatnych i wyważonych informacji. Osobom, których dane dotyczą, powinny być sygnalizowane wyłącznie realne zagrożenia oraz rozsądne działania, jakie mogą one podjąć w związku z konkretnym naruszeniem.
Podawanie nadmiarowych, wyolbrzymiających skalę incydentu informacji może odnieść skutek odwrotny do zamierzonego. Po pierwsze bez potrzeby może wzbudzić w osobie, której dane dotyczą, nieuzasadniony niepokój co do realnego ryzyka niezgodnego z prawem przetwarzania jej danych osobowych. Po drugie w przypadku wystąpienia w przyszłości incydentu realnie zagrażającego prawom i interesom takiej osoby, może ona zbagatelizować przekazane jej w takiej sytuacji ostrzeżenia, co tylko zwiększy niebezpieczeństwo naruszenia jej praw i interesów.
Stosowana przez Prezesa UODO praktyka może sugerować obowiązek realizacji tego rodzaju „zaleceń” formułowanych w wystąpieniu przez organ nadzorczy. Warto mieć tutaj jednak na uwadze, że podmiot, który nie zgadza się z postulatami wskazanymi przez organ nadzorczy w wystąpieniu skierowanym na podstawie art. 52 ust. 1 Ustawy, nie ma obowiązku ich realizacji, a jedynie obowiązek udzielenia odpowiedzi na wystąpienie w terminie 30 dni (przy czym naruszenie tego terminu nie jest zagrożone żadną sankcją). Należy oczywiście pamiętać, że brak reakcji na wystąpienie może wiązać się ze skorzystaniem przez organ z innych uprawnień określonych w przepisach (np. tych ujętych w rozdziale 9 Ustawy).
Wydaje się ponadto, że w przypadku wystąpienia wątpliwości w zakresie przestrzegania stosowania przepisów RODO organ nadzorczy powinien (np. na podstawie uzyskanych informacji lub w ramach monitorowania o którym mowa art. 78 ust. 2 Ustawy) – przeprowadzić postępowanie kontrolne w szczególności w celu ustalenia, czy administrator poprawnie ocenił ryzyko naruszenia praw i wolności osoby fizycznej, a nie z góry zalecać podjęcie konkretnych działań bez dokładnego sprawdzenia stanu faktycznego. Trudno bowiem uznać, że organ nadzorczy, opierając się wyłącznie na informacjach zawartych w zgłoszeniu naruszenia, jest w stanie rzetelnie ocenić prawidłowość przyjętych przez administratora rozwiązań. Dopiero w razie stwierdzenia w toku kontroli naruszenia przepisów RODO organ powinien wszcząć postępowanie administracyjne zakończone wydaniem decyzji administracyjnej nakazującej np. zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych.
[1] Poradnik dostępny jest pod adresem https://uodo.gov.pl/pl/134/1029
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119/1 z 04.05.2016, s.1)
[3] W Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) Grupa Robocza Art. 29 wskazała na trzy rodzaje naruszeń ochrony danych osobowych: 1) naruszenie dotyczące poufności danych; 2) naruszenie dotyczące integralności danych; 3) naruszenie dotyczące dostępności danych (s.8) Autor korzystał z dokumentu w wersji dostępnej na stronie https://uodo.gov.pl/pl/10/12
[4] Urząd Ochrony Danych Osobowych, Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, wersja 1.0, maj 2019, s. 5.
[5] Tamże, s. 14
[6] W Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) Grupa Robocza Art. 29 wskazała, że „co do zasady, choć wszystkie przypadki naruszenia ochrony danych osobowych są incydentami bezpieczeństwa, nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych [wyróżnienie NN]” s. 8
[7] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 4
[8] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018
[9] Grupa Robocza Art. 29, Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01), s. 9
[10] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 13
[11] Grupa Robocza Art. 29, Wytyczne dotyczące…, s. 12-13
[12] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 13
[13] Tak można odczytywać Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01): „„Administrator korzysta z usług podmiotu przetwarzającego, aby realizować wyznaczone cele; dlatego też zasadniczo należy przyjąć, że administrator <<stwierdził>> wystąpienie naruszenia w momencie, w którym podmiot przetwarzający poinformował go o jego wystąpieniu.” (s. 15)
[14] Grupa Robocza Art. 29, Wytyczne dotyczące…, s. 16
[15] Urząd Ochrony Danych Osobowych, Obowiązki administratorów…, s. 17-18
[16] Tekst jedn.: Dz. U. z 2018 r., poz. 986 ze zm.
[17] Stanowiska dostępne pod adresem https://uodo.gov.pl/pl/138/1098 oraz https://uodo.gov.pl/pl/138/1120
[18] Dz. U. z 2018 r., poz. 1000 ze zm.