Incydent u procesora – kiedy administrator stwierdza naruszenie ochrony danych?

Ważnym elementem dostosowania organizacji do wymogów RODO jest wprowadzenie skutecznej procedury obsługi naruszeń ochrony danych osobowych. Administrator powinien być w stanie wykryć naruszenie, zminimalizować jego negatywne skutki i szybko poinformować o nim organ nadzorczy oraz osobę której dane dotyczą. Obowiązek notyfikacji organu nadzorczemu nie powstaje tylko wtedy, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Osobę, której dane dotyczą zawiadamia się natomiast wtedy, gdy te ryzyko jest wysokie. Sprawne działanie jest o tyle istotne, że jeżeli administrator nie zawiadomi organu nadzorczego o naruszeniu w ciągu 72 godzin od stwierdzenia naruszenia, to zobowiązany będzie uzasadnić przyczynę opóźnienia.

Tworząc procedury z zakresu ochrony danych osobowych, warto pamiętać, że administrator nie zawsze realizuje procesy związane z przetwarzaniem danych osobowych samodzielnie. Często administrator korzysta z usług podwykonawcy, tzw. podmiotu przetwarzającego (procesora). Ma to miejsce na przykład w przypadku korzystania z usług podmiotu świadczącego usługi hostingowe, korzystania z zewnętrznej księgowości czy też archiwizacji dokumentów przez podmiot zewnętrzny. Podmiot przetwarzający nie jest zobowiązany do zgłaszania naruszeń Prezesowi Urzędu Ochrony Danych Osobowych. Jego aktywność w tym zakresie ogranicza się do zawiadomienia o każdym naruszeniu ochrony danych administratora – zgodnie z RODO podmiot przetwarzający zobowiązany jest wykonać to bez zbędnej zwłoki.

Pojawia się jednak pytanie, kiedy administrator „stwierdza naruszenie” w przypadku naruszenia, które wystąpiło po stronie podmiotu przetwarzającego (a od tego momentu zaczyna bieg termin 72 godzin na zawiadomienie o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych bez obowiązku wyjaśniania przyczyn opóźnienia). W tym zakresie prezentowane są dwie koncepcje, a mianowicie: (1) administrator stwierdza naruszenie ochrony danych równocześnie z podmiotem przetwarzającym oraz (2) administrator stwierdza naruszenie w momencie w którym podmiot przetwarzający poinformował go o wystąpieniu naruszenia. Co ciekawe, Europejska Rada Ochrony Danych (wówczas jeszcze jako Grupa Robocza Art. 29) w wytycznych w sprawie powiadamiania o naruszeniu ochrony danych osobowych na mocy RODO miała okazję wypowiedzieć się na ten temat i zajęła… raz jedno, a raz drugie stanowisko.

W wytycznych przyjętych 3 października 2017 roku, Grupa Robocza Art. 29 stwierdziła co następuje:

“Art. 33 ust. 2 jasno wskazuje, że jeżeli administrator korzysta z usług podmiotu przetwarzającego, podmiot taki po stwierdzeniu naruszenia ochrony danych osobowych musi zgłosić je administratorowi „bez zbędnej zwłoki”. Administrator korzysta z usług podmiotu przetwarzającego dla własnych celów; co do zasady należy zatem uznać, że „stwierdza” naruszenie równocześnie z podmiotem przetwarzającym“.

Wytyczne te poddano przeglądowi i zostały one zmienione w dniu 8 lutego 2018 roku, w tym również w zakresie poglądu na temat stwierdzenia naruszenia ochrony danych przez administratora. W zaktualizowanych wytycznych stwierdzono co następuje:

“W art. 33 ust. 2 wskazano wyraźnie, że w przypadku, gdy administrator korzysta z usług podmiotu przetwarzającego, a podmiot przetwarzający stwierdzi wystąpienie naruszenia ochrony danych osobowych, które przetwarza w imieniu administratora, musi zgłosić to naruszenie administratorowi „bez zbędnej zwłoki”. Należy przy tym podkreślić, że podmiot przetwarzający nie musi ocenić prawdopodobieństwa wystąpienia ryzyka wynikającego z naruszenia przed jego zgłoszeniem administratorowi; odpowiedzialność za przeprowadzenie takiej oceny w momencie stwierdzenia wystąpienia naruszenia spoczywa na administratorze. Podmiot przetwarzający musi jedynie ustalić, czy doszło do naruszenia, a następnie zgłosić to naruszenie administratorowi. Administrator korzysta z usług podmiotu przetwarzającego, aby realizować wyznaczone cele; dlatego też zasadniczo należy przyjąć, że administrator „stwierdził” wystąpienie naruszenia w momencie, w którym podmiot przetwarzający poinformował go o jego wystąpieniu”.

Analiza art. 33 RODO oraz motywów RODO nie daje jednoznacznej odpowiedzi na pytanie które stanowisko jest właściwe. Choć osobiście za racjonalny uważam pogląd Grupy Roboczej Art. 29 zaprezentowany w „drugim podejściu” do tego tematu, tak przepis art. 33 ust. 2 RODO, który wskazuje, że: „podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi”, skutecznie zniechęca mnie do zajmowania w tym zakresie jednoznacznego stanowiska. Racjonalnym byłoby aby administrator stosujący się do wytycznych Europejskiej Rady Ochrony Danych nie ponosił z tego tytułu negatywnych konsekwencji. Wydaje się więc, że skoro Grupa Robocza Art. 29 zajęła najpierw jedno stanowisko, a następnie w wyniku przeglądu je zmieniła, to za wiążące należałoby uznać te późniejsze wytyczne. Niemniej jednak, według znanych mi – nieoficjalnych – informacji, polski organ nadzorczy skłaniał się kiedyś do pierwszego podejścia. Nie mam jednak wiedzy czy takie podejście prezentowane jest nadal.

Wydaje się, że w tym przypadku uzasadniona byłaby aktywność Prezesa Urzędu Ochrony Danych Osobowych i wydanie oficjalnych, jednoznacznych wytycznych dla administratorów, co ujednoliciłoby praktykę rynkową. Organ nadzorczy otrzymuje przecież zgłoszenia naruszeń ochrony danych osobowych na co dzień, więc wydaje się że udało się wypracować w tym zakresie określony model działania. Warto dodać, że polski organ nadzorczy wydał już wytyczne dla administratorów w zakresie zgłaszania naruszeń ochrony danych (swoją drogą bardzo ciekawe i merytoryczne – zachęcam do zapoznania się), jednakże problem ten niestety nie został tam rozstrzygnięty. Według mojej wiedzy problem ten nie został dotąd poruszony w żadnym oficjalnym dokumencie.

Niejako na marginesie wskazuję, że art. 33 ust. 1 RODO nie jest jedynym przepisem, który reguluje obowiązek informowania Prezesa UODO o naruszeniu ochrony danych. Krótszy termin na dokonanie zawiadomienia mają podmioty świadczące publicznie dostępne usługi łączności elektronicznej. Dostawcy takich usług zobowiązani są do powiadomienia Prezesa UODO o naruszeniu ochrony danych nie później niż 24 godziny po wykryciu naruszenia ochrony danych, jeśli jest to wykonalne. Wymóg ten wynika z artykułu 2 rozporządzenia Komisji (UE) nr 611/2013. Co istotne, przepis ten precyzuje, że: „uznaje się, że doszło do wykrycia naruszenia ochrony danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych(…)”. Więc w tym przypadku unijny prawodawca precyzyjnie określił moment od którego należy liczyć wspomniane 24 godziny.

 

Daniel Trędkiewicz

Aplikant radcowski

daniel.tredkiewicz@forystek.pl