Zgłaszanie incydentów

Podsumowanie 2018

Pomimo że nowe przepisy regulujące ochronę danych osobowych obowiązują już od nieomal dziewięciu miesięcy, przedsiębiorcy nieustająco napotykają problemy w ich stosowaniu. Co interesujące, nie chodzi o zagadnienia, które przysparzają wielu wątpliwości także profesjonalistom, lecz mowa o praktycznych problemach na poziomie – zdawałoby się – podstawowym. 

Chociaż odpowiednie organy podejmują wiele wysiłków i nieustająco czynią starania, aby rzucić światło na trudności, z jakimi przedsiębiorcy borykają się w ramach stosowania RODO, okazuje się, że jest to kropla w morzu potrzeb.

Zgłoszę naruszenie, bo tak jest bezpieczniej …

Jednym z podstawowych zagadnień budzących wątpliwości w praktyce jest zgłaszanie incydentów do Prezesa Urzędu Ochrony Danych Osobowych. Z jednej strony wiele naruszeń to przypadki wymagające dogłębnej analizy, która – jak się okazuje – nie zawsze przynosi jednoznaczne i niebudzące wątpliwości rozstrzygnięcie. Jednak z drugiej strony wielu przedsiębiorców podejmuje decyzję o zgłaszaniu nawet najdrobniejszych incydentów – bez zbadania, czy naruszenie ochrony danych mogłoby skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, jak również w przypadku ustalenia, że konieczność zgłoszenia w ogóle się nie aktualizuje. Takie działania są podejmowane zapobiegawczo – w obawie, że organ dokona odmiennych ustaleń. Przedsiębiorcy wychodzą z założenia, że mniejsze ryzyko poniesienia ewentualnej odpowiedzialności niesie ze sobą zgłoszenie incydentu niż nieuczynienie tego. Postępowanie przedsiębiorców powinno się zmienić, choć trudno postawić im zarzut, że czynią tak, ponieważ chronią swoje interesy, zwłaszcza w sytuacjach, gdy brak im pewności co do zasadności decyzji podjętych w tej materii.

Dokonaj oceny czy naruszenie wymaga zgłoszenia - wzór
Stosując się do naszych wskazówek znacząco zwiększasz szansę przejęcia kontroli nad naruszeniem ochrony danych i minimalizacji jego stuków. Dla ułatwienia przedstawiamy listę „things to do”.
Więcej

Daleko idącym ułatwieniem, pozwalającym na rozwiązanie tego problemu, byłoby przygotowanie przez organ studium przypadku, zawierającego przykłady stanów faktycznych, przy których wystąpieniu powinno dojść do zgłoszenia naruszenia ochrony danych, oraz takich, gdzie jest mało prawdopodobne, aby naruszenie skutkowało naruszeniem praw lub wolności osób fizycznych. Takie case study – choć wiadomo, że pełniłoby funkcję jedynie pomocniczą – znacząco ułatwiałoby administratorom podejmowanie decyzji, czy zgłoszenie faktycznie powinno wystąpić, czy raczej w danym przypadku można, zgodnie z RODO, odstąpić od tej czynności. Należy mieć przecież na uwadze, że decyzję o tym, czy konkretne zdarzenie stanowi naruszenie ochrony danych, które prawdopodobnie może skutkować naruszeniem praw i wolności osób fizycznych, trzeba uzależnić przede wszystkim od tego, jaki zakres danych był objęty incydentem i czy ujawnienie danych w tym zakresie lub inne bezprawne ich wykorzystanie mogłoby powodować ryzyko dla osoby, której te dane dotyczą.

Czy należy dokonywać zgłoszeń, gdy inni tak robią?

W zakresie powyższych rozważań należy podnieść, że błędem byłoby przyjmowanie przez organ w sposób domyślny, że w określonych stanach faktycznych trzeba dokonywać zgłoszeń tylko i wyłącznie dlatego, że tak czyni większość, tj. dlatego że przeważająca część przedsiębiorców dokonuje zgłoszeń w tożsamych przypadkach. Organ nadzorczy nieustająco powinien mieć na względzie wyżej omówioną praktykę zgłaszania incydentów jedynie zapobiegawczo i każdy przypadek rozważać bez uwzględniania dominującej praktyki, która może być niezasadna.

Jak liczyć czas na zgłoszenie naruszenia, gdy zdarzyło się u procesora?

Wśród przedsiębiorców podnoszone są także zapytania dotyczące tego, od którego momentu należy liczyć czas na zgłoszenie incydentu w sytuacji, gdy doszło do niego u podmiotu przetwarzającego. Czy w takim przypadku termin rozpoczyna swój bieg od chwili, gdy podmiot przetwarzający stwierdził naruszenie, czy raczej od chwili, gdy administrator uzyskał informację o naruszeniu ochrony danych osobowych? Na jednym z ostatnich spotkań z przedstawicielami Urzędu Ochrony Danych Osobowych potwierdzono dotychczas zajmowane stanowisko, że termin ten rozpoczyna swój bieg już od chwili, gdy podmiot przetwarzający stwierdzi naruszenie. W tym miejscu warto przypomnieć o możliwości dokonywania tzw. zgłoszenia wstępnego celem zachowania terminu 72 godzin. Wówczas organizacja może kontynuować ustalanie pozostałych aspektów naruszenia ochrony danych, a po ich ustaleniu – dokonać zgłoszenia uzupełniającego.

Usługa DPIA

Klient podał błędny adres mailowy na który wysłane zostały dokumenty, czy to naruszenie?

W ramach problemów praktycznych pojawia się także kwestie odnoszące się do tego, jak należy postąpić w sytuacji, gdy klient podał administratorowi błędny adres e-mail, na który administrator przesłał klientowi dokumenty z danymi osobowymi. Podczas jednego z ostatnich spotkań przedstawicieli organu z przedsiębiorcami jednoznacznie wskazano, że naruszenia ochrony danych osobowych nie rozpatrujemy w kontekście cywilistycznego pojęcia winy. Administrator w takiej sytuacji powinien zareagować i poinformować swojego klienta o naruszeniu oraz zgłosić incydent organowi, gdyż doszło do przypadkowego ujawnienia danych (pomimo że spowodowane to było błędem klienta, a nie administratora). Tak kategoryczne stanowisko organu może jednak dziwić, mając na uwadze, że nie doprecyzowano, jaki zakres danych osobowych ujawniono osobie do tego nieuprawnionej na skutek podania błędnego adresu e-mail przez klienta administratora. Zaprezentowane stanowisko należałoby więc zmodyfikować w ten sposób, że w przypadku gdy zakres danych ujawnionych na skutek błędu osobie nieuprawnionej do ich posiadania nie niesie dla niej ryzyka lub jest wielce mało prawdopodobne, że może skutkować to naruszeniem jej praw lub wolności, powinno odstąpić się od obowiązku zgłoszenia. Należy przypomnieć treść motywu 75 i 86 RODO, które mogą być pomocne w ramach dokonywania oceny zasadności zgłoszenia oraz informowania osób, których dane dotyczą. Podczas dokonywania analizy naruszenia warto także każdorazowo postawić się w sytuacji osoby, której dane zostały ujawnione, i w ten sposób pomocniczo ustalić, czy dane będące przedmiotem incydentu mogą zostać wykorzystane w sposób powodujący ryzyko naruszenia praw i wolności.

Wyżej zaprezentowane stanowisko organ zajął także w odniesieniu do pytania, czy należy dokonać zgłoszenia naruszenia w sytuacji, gdy na błędny adres e-mail zostanie wysłana wyłącznie faktura lub rachunek, zawierające jedynie dane adresowe oraz imię i nazwisko, w tym ewentualnie numer NIP. Według organu nadzorczego takie naruszenie również powinno podlegać zgłoszeniu.

Zgłaszanie wielu incydentów tego samego rodzaju to zaproszenie do kontroli

Warto także wskazać, że zgłaszanie przez tego samego przedsiębiorcę wielu incydentów powodowanych taką samą przyczyną stanowi sygnał dla organu, że procedury regulujące przedmiotową materię wymagają poprawy, co w konsekwencji może zdecydować o konieczności przeprowadzenia kontroli u administratora. Trzeba więc pamiętać, że zawsze w przypadku wystąpienia incydentu zasadne będzie niezwłoczne podjęcie działań naprawczych, mających na celu wyeliminowanie przyczyny powstawania naruszeń.

Obowiązek informacyjny w relacjach B2B

Kolejnym zagadnieniem o doniosłym znaczeniu dla przedsiębiorców jest konieczność spełniania obowiązku informacyjnego oraz jego forma w ramach relacji biznesowych. Regulacje RODO, których obowiązywanie w konsekwencji wprowadziło reżim prawny oparty na odmiennych zasadach niż dotychczas, nie uniemożliwiają przecież wykorzystywania danych osobowych w relacjach biznesowych. Niezależnie od tego przepisy nie przewidują wyłączeń w zakresie spełniania obowiązku informacyjnego w „biznesie”, nie ma również czegoś takiego jak „dane służbowe”, do których RODO nie miałoby zastosowania. To prowadzi do uznania, że obowiązek informacyjny w ramach relacji biznesowych powinien zostać spełniony na zasadach ogólnych.

Wypracuj modus operandi

W razie konieczności spełnienia obowiązku informacyjnego, gdy w relacjach biznesowych pojawiają się dane osób fizycznych, np. dane osoby wyznaczonej do wykonywania umowy z ramienia przedsiębiorcy, istotne jest wypracowanie sposobu, w jaki będzie on spełniany. Zdaniem organu nadzorczego dobrym pomysłem jest tzw. warstwowe informowanie, przy czym samo odesłanie do polityki prywatności nie może zostać uznane za wystarczające. Dobrym kierunkiem jest także zamieszczanie obowiązku informacyjnego w stopkach e-mailowych pracowników. Zatem w relacjach B2B zwolnienie z konieczności realizowania obowiązku informacyjnego nie znajdzie zastosowania na zasadach innych niż ogólne. Chociaż wiąże się to co prawda z utrudnieniem dla administratora, obowiązek ten można spełnić bez podejmowania niewspółmiernie dużego wysiłku.

Audyt RODO

Warto rozmawiać

Podsumowując wszystkie powyższe rozważania, po pierwsze należy wskazać, że dalsze spotkania i rozmowy w przedmiocie stosowania przepisów o ochronie danych są absolutną koniecznością i ważną potrzebą wszystkich przedsiębiorców. Pozwalają bowiem pozyskać im informację o tym, jak organ zapatruje się na przedstawione problematyczne zagadnienia, a organowi dają szansę poznać realne problemy przedsiębiorców oraz pomóc je rozwiązać. W drugiej kolejności należy wskazać na doniosłość i praktyczne znaczenie materiałów wydawanych na piśmie, typu poradniki, w których znajdują się precyzyjne odpowiedzi na aktualne problemy. Należy jednak podkreślić, że stawiane tezy powinny być dalece przemyślane, aby nie pozostawiały wątpliwości co do prawidłowości rozstrzygnięć, które są na nich oparte.

-
Najpopularniejsze

Najnowsze


Adw. Aleksandra Piotrowska
06 marca 2019
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.