Naruszenie ochrony danych osobowych – najważniejsze nowe wskazówki UODO i EROD

Ochrona danych osobowych to złożony proces, co widać również w praktyce organów kontrolnych. Tegoroczna jesień przyniosła kilka istotnych nowości w tym zakresie.  Prezes Urzędu Ochrony Danych Osobowych (PUODO) przedstawił wskazówki dotyczące jego praktyki rozpatrywania zgłoszonych incydentów. Z kolei Europejska Rada Ochrony Danych (EROD) opublikowała projekt nowych wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych.

Wskazówki prezesa UODO dotyczące incydentów – na co zwraca uwagę organ?

Niewątpliwie wypowiedzi prezesa UODO kształtują praktykę ochrony danych osobowych w Polsce. W wielu przypadkach są one również drogowskazem dla administratorów, ponieważ przepisy RODO dotyczące naruszeń ochrony danych mają charakter ogólny. Prezes UODO kolejny już raz przychodzi administratorom z pomocą.

W październikowym wydaniu newslettera Urzędu Ochrony Ddanych Osobowych dla IOD opublikowany został wywiad z Dyrektorem Departamentu Kontroli i Naruszeń UODO, w którym zwrócił on uwagę na szereg okoliczności weryfikowanych w toku prowadzonych postępowań.

Ich analiza pozwala przyjąć, że polski organ nadzorczy, analizując zgłoszone mu naruszenie ochrony danych, zwraca uwagę przede wszystkim na następujące kwestie:

  • Działania podejmowane przez administratora, jego współpracę z organem po powstaniu naruszenia oraz w toku postępowania i prawidłowość reakcji na wystąpienia kierowane przez Prezesa UODO. Praktyka wielokrotnie już pokazała, że poprawna współpraca między administratorem a PUODO pozytywne wpływa na rodzaj wydawanych rozstrzygnięć, w tym również wysokość nakładanych kar finansowych.
  • Poprawność przeprowadzonej przez administratora analizy ryzyka. Szczególnie istotne jest to czy uwzględnił on w analizie wszystkie zagrożenia dla danych osobowych.
  • Sposób i częstotliwość testowania, mierzenia oraz oceniania przez administratora danych osobowych skuteczności zastosowanych środków bezpieczeństwa, a także w razie potrzeby wprowadzanie w nich modyfikacji.
  • Procedury związane ze sporządzaniem kopii zapasowych danych. Jak podkreśla PUODO, w tym obszarze administratorzy powinni zwrócić szczególną uwagę na to:
    • czy procedury są wprowadzone i faktycznie działają – zdaniem organu błędem jest ich brak lub lakoniczność,
    • czy sprawdzana jest prawidłowość kopii zapasowych i możliwość odtworzenia z nich danych,
    • gdzie są przechowywane kopie zapasowe – zdaniem organu błędem jest przechowywanie ich wraz z bieżąco wykorzystywanymi danymi lub przechowywanie w sposób niezabezpieczony.
  • Stosowane systemy informatyczne i urządzenia służące do przetwarzania danych osobowych. W tym zakresie administrator powinien zweryfikować, czy:
  • korzysta z aktualnych systemów, które posiadają wsparcie producenta;
  • posługuje się urządzeniami posiadającymi możliwość bieżącej aktualizacji oprogramowania.
  • Fakt, czy objęte naruszeniem podmioty zostały właściwie zawiadomione o naruszeniu ochrony ich danych osobowych. W szczególności PUODO weryfikuje czy administrator przekazał tym podmiotom wszystkie wymagane przepisami informacje.

Powyższa lista nie jest wyczerpująca i koncentruje się wokół najbardziej problematycznych zagadnień. Okoliczności, które mają znaczenie podczas badania naruszeń i prowadzonych postępowań jest oczywiście znacznie więcej. Choć podejście do ochrony danych osobowych ciągle się zmienia, przedstawiony wyżej kierunek dla administratorów można uznać za najbardziej aktualny – zarówno na etapie przetwarzania danych osobowych, jak i w trakcie ewentualnej kontroli.

Więcej o tym, jak powinny wyglądać działania w przypadku, gdy w firmie wystąpi naruszenie ochrony danych osobowych pisaliśmy w innym artykule:

Naruszenie ochrony danych osobowych

Nowe wytyczne EROD, czyli więcej obowiązków dla administratorów

Pierwsze wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych na gruncie RODO zostały przyjęte jeszcze w 2017 przez Grupę Roboczą Art. 29 (poprzednik EROD)[1]. Niedawno Europejska Rada Ochrony Danych (unijny organ właściwy do spraw ochrony danych osobowych) opublikowała na swojej stronie internetowej projekt zaktualizowanych wytycznych[2]. Zawiera on wskazówki w aspekcie zgłaszania naruszeń ochrony danych przez podmioty, które nie mają jednostki organizacyjnej na terenie Unii Europejskiej. Choć nowe wytyczne EROD nie wprowadzają rewolucji w podejściu do zgłaszania naruszeń, zmiana ta będzie miała duże znaczenie praktyczne dla administratorów spoza UE. Przyjrzyjmy się temu uważniej.

Podmiot spoza UE i jego przedstawiciel

RODO określa sytuacje, w których konieczne jest wyznaczenie przedstawiciela, a także wskazuje jego funkcje. Zgodnie z przepisami każdy administrator (i procesor), który:

  • nie ma jednostki organizacyjnej w UE;
  • przetwarza dane osób przebywających na terenie UE, przy czym przetwarzanie to ma związek z oferowaniem w Unii Europejskiej towarów lub usług takim jednostkom lub monitorowaniem ich zachowania na tym terenie,

musi (z pewnymi wyjątkami) wyznaczyć swojego przedstawiciela, który będzie kontaktem w sprawach związanych z przetwarzaniem danych.

Wskazany przedstawiciel musi mieć siedzibę w tym państwie członkowskim UE, w którym przebywają osoby, których dane są przetwarzane w powyższych celach. Jego głównym zadaniem jest zapewnienie możliwości kontaktu z podmiotami danych oraz organami nadzorczymi w sprawach związanych z tym przetwarzaniem.

Stare vs. nowe wytyczne EROD w kwestii zgłaszania naruszeń ochrony danych

Pierwotne wytyczne EROD zakładały, że w przypadku wystąpienia naruszenia ochrony danych osobowych należy zgłosić je do organu nadzorczego w państwie, w którym siedzibę ma przedstawiciel. Rozwiązanie to było oparte na mechanizmie kompleksowej współpracy pomiędzy organami z różnych państw UE (tzw. procedura one-stop-shop). Procedura ta zakłada, że administrator powinien podlegać kontroli tylko jednego organu nadzorczego – niezależnie od ilości państw, w których prowadzi on działalność. W praktyce oznaczało to, że jeżeli podmiot spoza Unii Europejskiej, działający na terenie kilku jej krajów, wyznaczył swojego przedstawiciela np. w Polsce, to wystarczające było zgłoszenie incydentu tylko do polskiego organu (PUODO).

W projekcie nowych wytycznych organ odchodzi od tej zasady. EROD przyjmuje, że sama obecność przedstawiciela w państwie członkowskim nie oznacza możliwości skorzystania z procedury one-stop-shop. W konsekwencji projekt zakłada, że naruszenie ochrony danych osobowych będzie musiało zostać zgłoszone do organów nadzorczych wszystkich państw, w których znajdują się osoby objęte naruszeniem. Dla administratorów (podmiotów spoza UE) zmiana będzie się wiązać z dodatkowymi obowiązkami, wśród których wymienić możemy:

  • konieczność ustalenia dokładnego zakresu terytorialnego naruszenia, czyli określenia, w jakich państwach znajdowały się osoby objęte incydentem;
  • dokonanie zgłoszenia w organach nadzorczych wszystkich państw, na terenie których przebywają osoby objęte incydentem.

Choć projekt nowych wytycznych nie został jeszcze ostatecznie przyjęty przez EROD i obecnie jest konsultowany, można założyć, że wejdzie on w życie w kształcie bardzo zbliżonym do aktualnego.


[1] https://uodo.gov.pl/pl/3/1345

[2] https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-92022-personal-data-breach_pl


Autor: Zuzanna Prandecka-Walek

SENIOR ASSOCIATE | ADWOKAT | OW LEGAL zuzanna.prandecka-walek@olesinski.com Więcej

Autor: Mateusz Wita

SENIOR ASSOCIATE | OW LEGAL mateusz.wita@olesinski.com