Od 25 maja 2018 r. będzie to obowiązek powszechny, nałożony na każdego administratora danych osobowych oraz każdy podmiot przetwarzający dane, czyli procesora. Polegać on będzie na informowaniu, przez te podmioty, UODO o naruszeniu przepisów ochrony danych osobowych. Termin jaki wyznacza Europejski Ustawodawca został ustalony na 72h, jest to jednak termin przekraczalny.
Jeśli w przeciągu 72h administrator nie powiadomi organu nadzorczego o naruszeniu w dalszym ciągu jest zobligowany to zrobić, jednak w tym przypadku musi podać też przyczynę opóźnienia.
Oczywiście termin biegnie od momentu w którym administrator lub procesor dowie się o zaistniałym naruszeniu.
Przykład
Pracownik firmy zgubił komputer przenośny. W sytuacji gdy laptop ma szyfrowany dysk, założone hasło na systemie operacyjnym oraz odpowiednio szyfrowane pliki zawierające dane osobowe, to mimo iż wystąpił incydent, to takiej sytuacji nie trzeba zgłaszać do UODO. Wystarczy jedynie odnotować powyższą sytuację w wewnętrznym rejestrze incydentów. Incydent będziemy musieli jednak zgłosić do organu nadzorczego w sytuacji gdy na dysku znajdowały się dane osobowe, a nie był on w żaden sposób zabezpieczony.
Czy warto ukrywać przed organem naruszenie przepisów o ochronie danych osobowych?
Nie. Gdyż uchylenie się od obowiązku poinformowania organu nadzorczego będzie wiązało się z nałożeniem przez Urząd, określonych w art. 83 . Ust. 4 RODO, kar. Sankcje finansowe będą bardzo odczuwalne dla administratorów danych, gdyż mogą wynosić 100 tys. euro lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa. Oczywiście są to górne granice kar, jednak nie warto liczyć na pobłażliwe traktowanie przez UODO. Kara nałożona po zaraportowaniu naruszenia do UODO będzie na pewno niższa niż ta nałożona przez Urząd w przypadku wykrycia zatajenia nieprawidłowości.
W jaki sposób będzie można informować organ?
Zgodnie z zapisami przedstawionymi w projekcie ustawy z dnia 12 września 2017 r. o ochronie danych osobowych, Prezes UODO będzie prowadził system teleinformatyczny za pomocą którego będzie można informować go o naruszeniach. Prawdopodobnie będzie to formularz elektroniczny na stronie Urzędu.
Uwaga
Warto pamiętać, iż istotnym będzie wprowadzenie odpowiednich rozwiązań organizacyjnych. Pracownik, który dowie się o incydencie musi wiedzieć do kogo zgłosić zaistniałą sytuację. Dobrym rozwiązaniem będzie więc stworzenie wewnętrznych polityk działania na wypadek wystąpienia incydentów.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
O jakich incydentach należy poinformować UODO?
Pomocne, w ocenie jakie incydenty należy zgłaszać, może okazać się zdefiniowanie, zawartego w art. 4 pkt 12 RODO, terminu „naruszenia danych osobowych”. Pod tym pojęciem należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Naruszenie bezpieczeństwa, które kwalifikowane jest jako naruszenie ochrony danych, może być przypadkowe lub bezprawne (tj. naruszające przepisy). Może ono polegać na działaniu albo zaniechaniu, którego skutkiem jest zniszczenie bądź usunięcie danych, modyfikacja (zmiana treści); ujawnienie danych lub uzyskanie dostępu do nich przez osobę nieuprawnioną. Naruszenia mogą więc odnosić się do różnych czynności przetwarzania danych.
Przykład
Incydentem bezprawnym będzie kradzież danych osobowych z firmy. Przypadkowym incydentem będzie wysłanie przez przypadek przez pracownika danych osobowych za pośrednictwem poczty e-mail do złego kontrahenta.
Czy tylko UODO musi zostać poinformowany?
Nie. W sytuacji, w której naruszenie niesie ze sobą wysokie „ryzyko naruszenia praw lub wolności osób fizycznych”, administrator powinien również, bez zbędnej zwłoki, zawiadomić osobę, której danych osobowych dotyczyło naruszenie. Powyższa wiadomość powinna być zakomunikowana prostym i przejrzystym językiem.
Podsumowanie
Dla wielu administratorów danych najbardziej uciążliwym, w procesie raportowania naruszeń do UODO, może okazać się krótki termin - 72h. Nie są to godziny robocze, więc czas w jakim należy zawiadomić organ nadzorczy o incydencie jest bardzo krótki. Podstawowym sposobem na wywiązanie się z tego obowiązku prawnego będzie wdrożenie w organizacji odpowiednich procedur administracyjnych i technicznych aby incydent mógł być jak najszybciej zauważony i w razie konieczności zgłoszony do Urzędu.
Nie zapominajmy, iż głównym zadaniem RODO jest ochrona danych osobowych osób fizycznych, nie zaś wygoda przedsiębiorców. Mimo, iż instytucja zawarta w art. 33 rozporządzenia może wydawać się z punktu widzenia szeroko rozumianych firm kuriozalna, to zapewnia ona odpowiednie warunki ochronne osobom, których dane są przez nie przetwarzane.