Fot. katemangostar, wwww.freepik.com
Czy każda luka w ochronie danych osobowych musi trafić na biurko prezesa UODO? Najnowsze stanowisko Urzędu Ochrony Danych Osobowych sugeruje, że tak – nawet jeśli ryzyko wydaje się minimalne. Szczegółowe wytyczne w tej sprawie znajdą się w nowo opublikowanym i zaktualizowanym poradniku UODO.
Kiedy incydent staje się „sprawą dla UODO”?
Niedawno opublikowany poradnik wprowadza trzystopniowy model oceny sytuacji:
- Brak ryzyka – jeśli można wykazać, że incydent nie niesie zagrożenia, wystarczy go udokumentować.
- Ryzyko standardowe – każde ryzyko, nawet niewielkie, oznacza obowiązek udokumentowania zdarzenia i zgłoszenia incydentu do UODO.
- Wysokie ryzyko – oprócz udokumentowania i zgłoszenia zdarzenia do organu nadzorczego, konieczne jest także powiadomienie osób, których dane dotyczą.
Najważniejsza zmiana? Jedynie całkowity brak ryzyka zwalnia z obowiązku zgłoszenia. Popularne dotąd podejście, według którego niskie ryzyko pozwalało na uniknięcie raportowania, staje się nieaktualne.
Kiedy zgłoszenie jest konieczne?
Zgodnie z art. 33 ust. 1 RODO, administrator musi zgłosić naruszenie ochrony danych do UODO „bez zbędnej zwłoki”, chyba że jest mało prawdopodobne, by incydent skutkował zagrożeniem dla praw lub wolności osób fizycznych. Interpretacja tego przepisu budzi jednak kontrowersje.
Według ekspertów UODO, jedynie brak ryzyka zwalnia z obowiązku zgłoszenia incydentu. Oznacza to, że nawet sytuacje, które inne organizacje uznałyby za niskiego ryzyka (np. zgodnie z metodyką ENISA – Agencji UE ds. Cyberbezpieczeństwa), mogą wymagać notyfikacji do organu nadzorczego.
Z czym wiąże się zgłoszenie incydentu?
Wielu administratorów danych martwi się, że samo zgłoszenie naruszenia może otworzyć UODO furtkę do kontroli. Czy słusznie? Częściowo tak.
Załóżmy, że firma przypadkowo wysyła listę płac pracowników do niewłaściwego adresata. Jeśli plik był odpowiednio zabezpieczony – na przykład zaszyfrowany lub chroniony hasłem – ryzyko może być uznane za minimalne. Jeśli jednak dane były w otwartym arkuszu, który każdy mógł podejrzeć, to już poważne naruszenie, które może przyciągnąć uwagę UODO i skutkować konsekwencjami dla organizacji.
Paradoksalnie, niezgłoszenie naruszenia może być jeszcze gorsze. Jeśli urząd dowie się o nim z innego źródła – np. mediów lub skargi klienta – może to wpłynąć na wysokość ewentualnej kary.
Mit „zaufanego odbiorcy” – nie każda instytucja publiczna daje bezpieczeństwo
Intrygującą kwestią poruszoną na konferencji było pojęcie „zaufanego odbiorcy”. W teorii, jeśli dane trafią do takiego podmiotu, zgłoszenie do UODO może nie być konieczne. Brzmi dobrze? Niestety, nie jest to takie proste.
– Nie można automatycznie uznać żadnej instytucji publicznej za „zaufanego odbiorcę” – tłumaczy dr Mirosław Gumularz, radca prawny z kancelarii NTL. – Kluczowe jest to, czy dany podmiot ma odpowiednie procedury bezpieczeństwa.
To oznacza, że organizacje muszą same analizować każdy przypadek i nie mogą z góry zakładać, że np. przekazanie przez pomyłkę danych urzędowi zwalnia je z obowiązku zgłoszenia naruszenia.
Co to oznacza dla firm i instytucji?
Jeśli myślałeś, że drobne incydenty nie wymagają zgłoszenia, czas zrewidować podejście. Nowe wytyczne UODO sugerują, że lepiej dmuchać na zimne – nawet przy niewielkim ryzyku. W praktyce oznacza to:
- Większą ostrożność w ocenie ryzyka – każda decyzja o niezgłoszeniu naruszenia musi być solidnie udokumentowana.
- Możliwe kontrole po zgłoszeniu – zgłoszenie nie oznacza automatycznie złamania RODO, ale może przyciągnąć uwagę urzędu.
- Konieczność indywidualnej analizy odbiorców danych – nie można zakładać, że instytucje publiczne są zawsze „zaufanymi odbiorcami”.
Najnowszy poradnik UODO może stać się bardzo ważnym dokumentem dla administratorów danych, dlatego warto już dziś się z nim zapoznać i dostosować wewnętrzne procedury do nowych wytycznych.
