Nadszedł moment, na który branża ochrony danych osobowych czekała już od dłuższego czasu. Urząd Ochrony Danych Osobowych (UODO) opublikował aktualizację poradnika dotyczącego zgłaszania naruszeń ochrony danych osobowych. W obszernym, liczącym niemal 100 stron dokumencie uwzględniono zbiór najświeższych interpretacji przepisów i orzecznictwa w kwestiach identyfikowania oraz obsługi naruszeń ochrony danych.
Zaktualizowany poradnik zawiera również szereg wskazówek, których zadaniem jest pomoc w podejmowaniu właściwych decyzji w przypadku wystąpienia naruszenia administratorom danych. W szczególności na plus należy zaznaczyć posługiwanie się przykładami „z życia wziętymi”, które będą stanowić wzorzec dla wielu właścicieli danych osobowych.
Zgłaszać czy nie zgłaszać? Wszystko jasne.
Tematem, który niewątpliwie wzbudza najwięcej emocji jest kwestia oceny ryzyka naruszenia praw lub wolności osób fizycznych. Poradnik podkreśla, że naruszenia, w których identyfikowane jest ryzyko, muszą być zgłaszane organowi nadzoru – Prezesowi UODO. Z kolei tam, gdzie zidentyfikowane zostanie wysokie ryzyko, poza notyfikacją do organu nadzoru, wymagane jest również poinformowanie osób dotkniętych skutkami naruszenia. Choć w przepisach Rozporządzenia RODO nie pojawia się pojęcie „niskiego ryzyka”, wielu administratorów danych dotychczas błędnie zakładało, że może ono zwalniać z obowiązku zgłoszenia. Warto więc podkreślić – jeśli w ocenie administratora identyfikowane jest jakiekolwiek ryzyko naruszenia praw lub wolności osób fizycznych, naruszenie to musi zostać zgłoszone organowi nadzorczemu. W wielu przypadkach może to wręcz uprościć obsługę naruszeń i wykluczyć ryzyko zbyt liberalnej kwalifikacji danego zdarzenia.
Podejście UODO zdaje się więc być w tym zakresie zasadne i spójne z wcześniej zajmowanym stanowiskiem, które wielokrotnie było komunikowane rynkowi. Potwierdzenie tej praktyki w treści zaktualizowanego poradnika powinno więc zachęcić administratorów danych do ponownej analizy przypadków, które dotychczas kwalifikowali jako nieistotne. Bardzo ważnym aspektem, który determinuje prawidłową ocenę ryzyka w przypadku identyfikowanych naruszeń jest przyjęcie przez administratorów danych w tym procesie perspektywy osób, których dane dotyczą. Aktualizacja poradnika powinna więc stać się impulsem do rewizji stosowanej dotychczas praktyki w tym zakresie i refleksji – czyj interes jest ważniejszy? Odpowiedź na pytanie – zgłaszać czy nie zgłaszać – już znamy.
Inspektor Ochrony Danych nie zgłasza naruszeń!
Poradnik rozwiewa również wszelkie wątpliwości, które można było spotkać wśród administratorów danych, dotyczące roli Inspektora Ochrony Danych (IOD). UODO jednoznacznie wskazuje, że IOD nie powinien zgłaszać naruszeń ochrony danych organowi nadzoru w imieniu administratora. Nie powinien ponadto zawiadamiać osób, których dane dotyczą. To zadania, które spoczywają bezpośrednio na administratorze danych. Jego obowiązkiem jest odpowiednie zarządzenie procesem obsługi naruszeń, w tym również przypisanie tychże obowiązków konkretnym reprezentantom właściciela danych.
Choć może się powszechnie wydawać, że obowiązki przypisane IOD są czytelne i jasno wynikają z obowiązujących regulacji prawnych, to w praktyce wielu administratorów danych nadal niewłaściwie interpretuje tą funkcję. Myślenie, że powołany IOD równa się bycie zgodnym z RODO jest daleko idącym uproszczeniem. Często osobom pełniącym rolę IOD w organizacji, przypisywane są bowiem zadania, które nie tylko wykraczają poza przyjętą pozycję, ale także mogą prowadzić do powstawania konfliktu interesów. To z kolei może skutkować nałożeniem administracyjnej kary pieniężnej na administratora danych. Umiejscowienie IOD w strukturze organizacyjnej powinno więc zawsze zapewniać mu niezależność, a nie obciążać obowiązkami przypisanymi administratorowi danych.
„Zaufany odbiorca” – kim właściwie jest?
Kolejnym ważnym zagadnieniem, które zostało poruszone w poradniku, jest interpretacja pojęcia „zaufanego odbiorcy”. Administratorzy danych często wykorzystują powoływanie się na tą definicję, by doprowadzać do obniżania poziomu ryzyka lub wręcz jego eliminowania. Taka praktyka nie jest prawidłowa i w efekcie może prowadzić do podejmowania błędnych decyzji, skutkujących narażeniem na niepożądane działania osoby fizyczne dotknięte naruszeniem. Poradnik precyzyjnie określa, że „zaufanym odbiorcą” może być:
- inny dział organizacji,
- sprawdzony, długoletni partner biznesowy,
- profesjonalny i blisko współpracujący z administratorem podmiot przetwarzający.
Administratorzy danych nie mogą jednak automatycznie zakładać, że każdy podmiot – w tym organ władzy publicznej – jest „zaufanym odbiorcą”. Każda taka sytuacja wymaga indywidualnej analizy i udokumentowania podstaw do uznania podmiotu jako „zaufany odbiorca”. Tu jednak należy pamiętać, że choć zaliczenie danego podmiotu jako „zaufany odbiorca” może wpłynąć na złagodzenie oceny ryzyka, to nie oddziałuje na zakwalifikowanie zdarzenia jako naruszenie ochrony danych.
Jakie znaczenie ma nowa wersja poradnika UODO?
Aktualizacja poradnika UODO była konieczna i wnosi szereg istotnych uszczegółowień w zakresie praktyki związanej z obsługą naruszeń ochrony danych osobowych. Nowe wytyczne nie tylko wyjaśniają kluczowe wątpliwości, ale również pomagają administratorom danych w podniesieniu jakości obsługiwanych zdarzeń identyfikowanych jako naruszenia. To z kolei przekłada się na coraz lepszą interpretację obowiązujących przepisów. Choć na rynku można spotkać różne podejścia do oceny ryzyka, opublikowany poradnik zdaje się być kompromisem, który w sposób uporządkowany wprowadza jednolity standard dla wszystkich podmiotów zobowiązanych do ochrony danych osobowych.
