Jakie nowe obowiązki informacyjne będzie miał administrator danych zgodnie z rodo

Na przestrzeni ostatnich kilkudziesięciu lat ilość przetwarzanych danych osobowych stale rośnie. Wynika to z integracji społeczno-gospodarczej państw członkowskich Unii Europejskiej, która spowodowała zwiększenie transgranicznych przepływów danych osobowych oraz rozwoju nowych technologii. W konsekwencji wzrostu wymiany danych osobowych pomiędzy podmiotami publicznymi a prywatnymi konieczne stało się wypracowanie jednolitych uregulowań prawnych dotyczących kwestii ochrony danych osobowych.

Wielkimi krokami zbliża się termin wejścia w życie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej rozporządzenie) oraz uchylenia dyrektywy 95/46/WE. 

Głównym celem wprowadzenia rozporządzenia jest ujednolicenie przepisów dotyczących ochrony danych osobowych obowiązujących na terenie Unii Europejskiej. Aktualne przepisy regulujące tę kwestię nie są wystarczająco spójne. Może to powodować ich kolizję, a w konsekwencji obniżenie poziomu ochrony danych osobowych. Wynika to z tego, że dyrektywa 95/46/WE zawiera tylko ogólne wymogi dotyczące zasad ochrony i przetwarzania danych osobowych. Państwa członkowskie często w sposób odmienny interpretowały i wdrażały te postanowienia. 

Kolejny duży problem, z jakim borykają się obowiązujące uregulowania prawne dotyczące ochrony danych, to ich niedostosowanie do aktualnego poziomu rozwoju technologii, w szczególności nowych sposobów przetwarzania danych z wykorzystaniem Internetu.

W preambule rozporządzenia czytamy: „Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich (…)”.

Moim zdaniem źródła wprowadzenia obowiązku zgłaszania naruszeń systemu ochrony danych osobowych należy doszukiwać się w dążeniu do realizacji zasady bezpieczeństwa. Można postawić pytanie, czy faktycznie ten obowiązek służy realizacji tej zasady, skoro konieczność zgłoszenia naruszenia aktualizuje się dopiero w momencie, gdy do incydentu już doszło.

Bardzo często naruszenia godzące w bezpieczeństwo informacji trwają dłuższy czas, a ich konsekwencje pojawiają się dopiero po usunięciu danego naruszenia. Jeśli zatem otrzymamy np. informację o włamaniu do bazy danych usługodawcy i będziemy w stanie szybko zareagować, zmieniając skompromitowane hasło do innych usług – możemy dzięki takiej informacji ustrzec się przed poniesieniem poważnych szkód.

Rozporządzenie zarówno na administratora danych, jak i na podmiot przetwarzający nakłada obowiązki związane z zapewnieniem bezpieczeństwa przetwarzania danych osobowych. I tak, podmioty te powinny m.in.:

• szyfrować dane osobowe,
• regularnie sprawdzać i oceniać skuteczność bezpieczeństwa systemów, w których dane są przetwarzane,
• wprowadzać procedury, które pozwolą na zwiększenie poziomu bezpieczeństwa przetwarzania danych.

Do zadań ADO należy także ocena bezpieczeństwa przetwarzania danych oraz wdrożenie odpowiednich rozwiązań, które pozwolą na wyeliminowanie zagrożeń związanych z ich przetwarzaniem. ADO powinien stale czuwać nad tym, aby systemy, w których dane osobowe są przetwarzane, spełniały wymogi bezpieczeństwa wynikające z rozporządzenia.

Skoro informowanie o incydentach godzących w bezpieczeństwo danych jest tak ważne dla osób, których dane dotyczą, czy aktualnie obowiązujące w Polsce przepisy przewidują taki obowiązek?

Takie pytanie otrzymałem niedawno od przedstawiciela międzynarodowej korporacji, który chciał się dowiedzieć, komu i w jakim terminie, zgodnie z polskimi przepisami, należy zgłosić naruszenie zasad ochrony danych osobowych.

Otóż aktualnie żaden z przepisów ustawy o ochronie danych osobowych nie nakłada na administratora danych osobowych obowiązku informowania o naruszeniach systemu ochrony danych. Podobny obowiązek został uregulowany w prawie telekomunikacyjnym.

Artykuł 174a ustawy Prawo telekomunikacyjne mówi o tym, że „(…) dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia”.

Omawiany przepis definiuje w ust. 2 pojęcie naruszenia danych osobowych. Zgodnie z nim naruszeniem jest „(…) przypadkowe lub bezprawne zniszczenie, utrata, zmiana, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego, w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych.”

Naruszeniem może być również działanie, które wywrze niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną. Naruszenie to może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej.

Ustawodawca nakłada obowiązek powiadomienia nie tylko GIODO, ale również i samego abonenta lub użytkownika końcowego będącego osobą fizyczną, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa takiej osoby.

Ustawodawca jednocześnie nie nakłada obowiązku zawiadomienia, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona.

Wracając do nowych unijnych przepisów. Jakie obowiązki związane ze zgłaszaniem naruszeń nakładają na administratora danych nowe uregulowania? Jakie działania powinien podjąć? Zgodnie z art. 33 ust. 1 rozporządzenia:

„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”.

Nowe przepisy nakładają na administratora danych obowiązek zgłoszenia naruszenia. Oznacza to, że na każdym administratorze danych, od momentu wejścia w życie rozporządzenia, będzie spoczywał obowiązek poinformowania o dojściu do takiego zdarzenia.

Od tej zasady jest jednak przewidziany wyjątek. Dotyczy on sytuacji, gdy administrator danych stwierdzi, że istnieje małe prawdopodobieństwo, by zdarzenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. ADO ma także ograniczony czas na przesłanie omawianego zgłoszenia.

Brak przesłania zgłoszenia w wymaganym terminie jest naruszeniem obowiązków ADO. W razie przekroczenia terminu do dokonania powiadomienia administrator danych jest obowiązany dodatkowo wyjaśnić przyczyny opóźnienia. Przekroczenie terminu nie zwalnia administratora danych z obowiązku zgłoszenia naruszenia.

Co, jeśli incydent godzący w bezpieczeństwo danych osobowych wydarzy się w ramach działalności przetwarzającego (procesora)? Omawiany artykuł rozporządzenia reguluje także tę kwestię.

Podmiot przetwarzający powinien w momencie stwierdzenia naruszenia systemu ochrony danych osobowych bez zbędnej zwłoki zgłosić naruszenie administratorowi danych. To z kolei ma pozwolić administratorowi danych na realizację ciążącego na nim obowiązku.

Aby administrator danych (i podmiot przetwarzający dane osobowe) mógł w razie wystąpienia naruszenia w terminie zgłosić je odpowiednim podmiotom, należałoby wdrożyć odpowiednią procedurę dotyczącą reagowania na tego typu zdarzenia. Taka procedura powinna zostać opracowana i stosowana przez każdego administratora danych, niezaprzeczalnie służy bowiem poprawie bezpieczeństwa danych osobowych.

Taka procedura powinna zawierać oznaczenie osoby, która będzie zobowiązana przesłać do organu nadzoru zgłoszenie o naruszeniu, np. w przypadku nieobecności inspektora ochrony danych osobowych. Ważne, by procedura zobowiązywała każdego pracownika do informowania o ujawnieniu naruszania.

Te wytyczne mogą być częścią ogólnej procedury dotyczącej reagowania na incydenty godzące w bezpieczeństwo danych osobowych, a więc regulować również sposób dokumentowania naruszenia oraz wdrażanie zaleceń naprawczych. Wybór odpowiedniego sposobu zgłoszenia organowi nadzorczemu wykrytego naruszenia może budzić kontrowersje w praktyce.

Artykuł 33 rozporządzenia nie określa formy zgłoszenia, a więc powstaje wątpliwość czy administrator danych powinien dokonać takiego zgłoszenia pisemnie, czy skuteczne byłoby także powiadomienie za pomocą poczty elektronicznej lub ustne.

Należy przyjąć, że zgłoszenie powinno być dokonane w taki sposób i w takiej formie, które pozwolą odbiorcy zapoznać się z jego treścią. Dla celów dowodowych wskazane jest, by podmiot zgłaszający naruszenie posiadał potwierdzenie realizacji ciążącego na nim obowiązku.

Ważnym elementem zawiadomienia jest informacja dotycząca możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków zaproponowanych i zastosowanych przez administratora danych.

W tym kontekście kluczowe może okazać się posiadanie oraz wdrożenie kodeksów postępowań oraz zatwierdzonych mechanizmów certyfikacji przez administratora danych, jak również opracowanie procedur związanych z reagowaniem na zagrożenia godzące w bezpieczeństwo danych osobowych.

Administrator danych ma w pewnych sytuacjach obowiązek zawiadomienia o naruszeniu bezpieczeństwa osoby, której danych incydent dotyczy.

W myśl art. 34 ust. 1 rozporządzenia:

„Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.

Mimo że administrator powinien zawiadomić organ nadzorczy o wystąpieniu naruszenia, to jednocześnie powinien on zwrócić się z takim zawiadomieniem również bezpośrednio do osoby, której danych osobowych incydent dotyczy.

Administrator danych powinien dokonać takiego powiadomienia, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W innych sytuacjach administrator danych jest zwolniony z takiego obowiązku.

Przepis nie określa dokładnie terminu oraz sposobu takiego powiadomienia. Naruszenie powinno jednak zostać zgłoszone bez zbędnej zwłoki. Z tego obowiązku jest zwolniony podmiot przetwarzający.

Zawiadomienie, jakie powinna otrzymać osoba, której dotyczy incydent, różni się od tego, które otrzymuje podmiot nadzorczy. Charakter naruszenia powinien zostać określony w treści zgłoszenia w sposób jasny i prosty. Podstawowymi elementami takiego zawiadomienia są:

1. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
2. możliwe konsekwencje naruszenia ochrony danych osobowych,
3. środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Rozporządzenie w art. 34 ust. 3 określa sytuacje, w których administrator danych jest zwolniony z obowiązku zawiadomienia osoby, której danych dotyczy incydent. Dotyczy to przypadków, gdy:

1. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
2. administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1,
3. przesłanie zawiadomienia o naruszeniu wymagałoby poczynienia niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Organ nadzorczy może w określonych sytuacjach zobowiązać administratora danych do zawiadomienia osoby, której dane dotyczą.

Warto również wspomnieć o skutkach i konsekwencjach, jakie rodzi naruszenie zasad ochrony danych osobowych. W preambule rozporządzenia czytamy, że:

„Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne”.

Rozporządzenie w rozdziale VIII określa środki ochrony prawnej, odpowiedzialność i sankcje wynikające z nieprawidłowego przetwarzania danych osobowych. Zgodnie z art. 77 każdej osobie, której dane dotyczą, przysługuje prawo do wniesienia skargi do organu nadzorczego w momencie powzięcia wątpliwości, że przetwarzanie danych osobowych jej dotyczące narusza rozporządzenie.

Natomiast art. 82 ust. 1 mówi o tym, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Przepis ten reguluje odpowiedzialność administratora danych, który odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, wyłącznie gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Organ nadzorczy ma możliwość nałożenia administracyjnej kary pieniężnej na administratora danych, np. w przypadku gdy ten dopuści się naruszenia zasad ochrony danych osobowych. Jeśli ADO zlekceważy obowiązek informacyjny dotyczący naruszenia systemu ochrony danych osobowych, może na niego zostać nałożona kara pieniężna w wysokości w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.