Eksperci w dziedzinie ochrony danych osobowych

Lawyers discussing work at workplace with laptop and femida in office

TAGI:

Udostępnij publikację:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Obowiązek notyfikacyjny

Obowiązek notyfikacyjny administratora wobec osób, których dane dotyczą – analiza art. 34 GDPR.

GDPR nakłada na administratorów danych nowe obowiązki, spośród których można wyróżnić te związane z szybką identyfikacją i przeciwdziałaniem naruszeniom bezpieczeństwa danych. Nie tylko organ nadzorczy będzie odtąd informowany o powstaniu naruszenia. Zapewnia to dodatkowa instytucja zgłaszania naruszeń również w stosunku do osób, których dane dotyczą.

Artykuły 33 i 34 rozporządzenia regulują sprawę notyfikacji. O ile art. 33 wskazuje na instytucję zgłaszania incydentów organowi nadzorczemu, to przedmiotem zainteresowania będzie art. 34, który ustanawia przesłanki i procedurę notyfikacji naruszeń bezpieczeństwa danych osobom, których dane dotyczą. Przepisy te składają się na pojęcie nowej procedury notyfikacji naruszeń, przy czym notyfikacja osobom, których dane dotyczą obarczona jest dodatkową przesłanką zajścia „wysokiego ryzyka”, co zostanie wyjaśnione w dalszej części artykułu.
Unijny ustawodawca na mocy tej normy przyznał osobom, których dane są przetwarzane prawo do bycia rzetelnie informowanymi o incydentach. Warto nadmienić, że w polskim porządku prawnym bardzo podobna instytucja istnieje już na gruncie prawa telekomunikacyjnego, gdzie obowiązek zawiadamiania o incydencie, zarówno organu nadzorczego, jak i abonenta lub użytkownika końcowego, ciąży na operatorach telekomunikacyjnych (art. 174a Prawa telekomunikacyjnego).

Czym jest naruszenie i kiedy do niego dochodzi?

Punktem wyjścia jest określenie, czym jest i kiedy dochodzi do naruszenia bezpieczeństwa przetwarzanych danych uruchamiającego obowiązek z art. 34 GDPR Art. 4 ust.12 zawiera w sobie definicję naruszenia, określając je jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przepis jasno określa, jakie wydarzenia dotyczące przetwarzanych danych powodują automatycznie powstanie naruszenia. Katalog jest dosyć szeroki, albowiem rozciąga się od negatywnych modyfikacji dotyczących danych (zniszczenie, utracenie) po nieuprawniony dostęp. Zajście któregokolwiek ze zdarzeń opisanych w redakcji przepisu art. 4 ust.12 GDPR powoduje powstanie naruszenia ochrony danych osobowych. Na tym jednak elementy oceny się nie kończą.

Motywy GDPR udzielają wskazówek do notyfikacji

Poza samym przepisem artykułu 34 już wcześniej odnajdujemy w GDPR  wskazówki, w jaki sposób oceniać incydenty pod kątem naruszenia bezpieczeństwa i jakimi przesłankami się kierować. Motyw 86 stanowi, iż „administrator musi poinformować osobę, której dane dotyczą o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw i wolności takiej osoby (…)”. Pojęcie wysokiego ryzyka naruszenia praw i wolności zostało zaś przybliżone w motywie 75 GDPR, które utożsamia je m.in. z :

  • uszczerbkiem fizycznym i szkodami majątkowymi;
  • naruszeniem poufności danych objętych tajemnicą;
  • utratą kontroli przez osobę nad jej danymi osobowymi;
  • zagrożeniem dla szczególnie chronionych kategorii danych, jak dane wrażliwe;
  • ingerencją we wszelkie możliwe do zidentyfikowania aspekty osobiste w drodze profilowania.

Poinformowanie osoby, której dane dotyczą ma umożliwić przede wszystkim podjęcie przez nią środków zapobiegawczych i zminimalizowanie negatywnych skutków. Motyw ponadto ogólnie wskazuje, co powinna zawierać tego typu notyfikacja. Składać się na nią powinien opis charakteru naruszeń oraz zalecenia dla osoby fizycznej co do zmniejszenia konsekwencji naruszenia. Sama informacja powinna być przekazana najszybciej jak to jest możliwe („bez zbędnej zwłoki), z uwzględnieniem wskazówek pochodzących od organu nadzorczego i ewentualnie organów ścigania.

W celu stwierdzenia naruszenia i poinformowania osoby, której dane dotyczą, administrator powinien się upewnić, że wdrożył odpowiednie środki techniczne i organizacyjne. Sam wymóg notyfikacji bez zbędnej zwłoki powinien być oceniany w kontekście charakteru i konsekwencji samego naruszenia (motyw 87 GDPR).

Motyw 88 zawiera wytyczne, które wskazują, że przy określaniu szczegółowych przepisów notyfikacyjnych należy brać pod uwagę okoliczności naruszenia oraz istnienie odpowiednich zabezpieczeń technicznych, które uniemożliwią np. kradzież tożsamości. Przy informowaniu m.in. osób, których dane dotyczą administrator powinien wziąć pod uwagę uzasadniony interes także organów ścigania, które mogą być zaangażowane w sprawę zwalczania danego naruszenia.

Czym jest zawiadomienie o naruszeniu i co w sobie zawiera?

Tak jak zostało wcześniej wspomniane, instytucję notyfikacji o naruszeniu osobom, które dane dotyczą reguluje art. 34 GDPR. Jest to jedna z instytucji nakładające nowy obowiązek na administratorów, jednocześnie zwiększając kontrolę podmiotów danych nad ich ochroną i bezpiecznym zarządzaniem. Stosowanie przepisu powinno odbywać się z uwzględnieniem omówionych wytycznych, pochodzących z motywów 86-88 GDPR.

Na mocy normy zawartej w przepisie „administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o powstaniu naruszenia, które może powodować wysokie ryzyko dla praw i wolności osób fizycznych”. Udogodnieniem dla osób, których dane dotyczą jest niezwłoczność zawiadomienia, która może przyczynić się do minimalizacji negatywnych rezultatów. Warto dodać, że obowiązek notyfikacyjny obejmuje te naruszenia, które wypełniają kryterium stworzenia „wysokiego ryzyka dla praw i wolności osób”. Co wchodzi w zakres tego pojęcia, zostało wyjaśnione przy omówieniu treści motywu 75 GDPR.

Przepis wymaga, aby zawiadomienie sformułowane było prostym i jasnym językiem. Musi przede wszystkim informować o charakterze naruszenia, potencjalnych jego konsekwencjach, zastosowanych środkach oraz zalecać działania zaradcze, które mogą zminimalizować negatywne konsekwencje naruszenia. Administrator musi również poinformować osobę o danych kontaktowych inspektora ochrony danych lub punktu kontaktowego, gdzie będzie miała ona możliwość uzyskania dodatkowych informacji.

Notyfikacja nie zawsze będzie obowiązkowa

Mimo wszystko, artykuł 34 zawiera w sobie pewne wyłączenia jeżeli chodzi o zawiadomienia o naruszeniu osoby, której dane dotyczą. Obowiązek taki nie powstaje, gdy w stosunku do naruszonych danych zostały zastosowane przez administratora odpowiednie środki techniczne o charakterze zabezpieczającym. Przede wszystkim mówi się tutaj implementacji zabezpieczeń kryptograficznych (np. szyfrowanie), które uniemożliwiają dostęp do danych osobom nieupoważnionym.

Innym przypadkiem, kiedy nie powstaje wymóg zawiadomienia jest sytuacja, gdy administrator podjął środki eliminujące prawdopodobieństwo wysokiego ryzyka praw i wolności osoby, której dane dotyczą. Odpada tutaj bardzo ważna przesłanka „wysokiego ryzyka” – przesłanka, która jest jednym z obligatoryjnych elementów w kontekście obowiązkowej notyfikacji, co zostało omówione już wcześniej.

Administrator nie ma również obowiązku notyfikacji w przypadku, kiedy wymagałoby to od niego niewspółmiernie dużego wysiłku. Przepis art. 34 ust.3 pkt. c), bo o nim mowa, ustanawia alternatywną procedurę dla administratora poprzez wydanie publicznego komunikatu w tym zakresie. W zamyśle unijnego ustawodawcy, tego typu środek ma odnieść identyczny, efektywny skutek w postaci tego, iż osoba, której dane dotyczą zostanie należycie poinformowana o incydencie.

Organ nadzorczy interweniuje w procedurze notyfikacji

Norma artykułu 34 przewiduje również rozwiązania w przypadkach, kiedy osoba nie zostaje niezwłocznie poinformowana przez administratora o powstaniu naruszenia. Wówczas to organ nadzorczy jest uprawniony do żądania od administratora, aby podjął on takie działanie. Bierze on również pod uwagę, czy nie zachodzi jeden z przypadków wyłączających obowiązek notyfikacji (art.34 ust.3 GDPR). Warto podkreślić, iż żądanie skierowane do administratora poprzedzone jest oceną przez organ, czy konkretne naruszenie pociąga za sobą przesłankę „wysokiego ryzyka”.

Wysokie kary finansowe mobilizują administratorów

Obowiązek, który nałożony został na administratorów z mocy art. 34 podlega, tak jak inne określone w GDPR, sankcjom finansowym w przypadku ich niewykonania. W art. 83 ust.4 pkt. a) odnajdujemy ulokowanie między innymi niedopełnienia obowiązku notyfikacyjnego, które jest zagrożone karami do 10 milionów euro, bądź 2% rocznego światowego obrotu. Jest to wystarczający bodziec, który skłoni administratorów do wdrożenia przed 25 maja 2018 r. odpowiednich procedur wewnętrznych w organizacji, które będą przydatne do efektywnego reagowania na incydenty bezpieczeństwa danych osobowych i tym samym wypełnianiu obowiązków z artykułu 34 GDPR.

Źródła:

NEWSLETTER

Zapisz się na newsletter gdpr.pl, aby otrzymywać najświeższe informacje, opinie i rozstrzygnięcia ze świata RODO.

SKONTAKTUJ SIĘ Z NAMI

Jeśli jesteś zainteresowany naszą ofertą lub realizacją swojego projektu, napisz do nas wiadomość!

© Copyright 2021 Omni Modo. Wszelkie prawa zastrzeżone | Wykonanie: Agencja Portal

Michał Rygiel

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Adwokat. Ochroną danych osobowych i prawem nowych technologii zajmuje się od kilku lat.  Doświadczenie zawodowe zdobywał w firmach z branży IT oraz zajmujących się konsultingiem i doradztwem prawym w tym zakresie. Posiada również doświadczenie w obsłudze korporacyjnej w zakresie compliance ze szczególnym uwzględnieniem zagadnień ochrony danych osobowych oraz ładu korporacyjnego.

Marta Krawczyk

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Prawnik, absolwentka Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Jana Pawła II w Lublinie. Wiedzę pogłębiała m.in. podczas studiów podyplomowych Wykonywania funkcji Inspektora Ochrony Danych (INP PAN w Warszawie).

Od lat zajmuje się sprawami z zakresu prawa nowych technologii w szczególności prawem ochrony danych osobowych. Doświadczenie zawodowe zdobywała m.in. w Urzędzie Ochrony Danych Osobowych oraz Parlamencie Europejskim.

W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży produkcyjnej oraz podmiotów publicznych. Ponadto, wspomaga IOD w pełnieniu funkcji. W obszarze jej szczególnych zainteresowań leży tematyka ochrony danych przy przetwarzaniu transgranicznym oraz transferu danych do państwa trzecich.

Karol Kozieł

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny wpisany na listę radców prawnych prowadzoną przez Radę Okręgowej Izby Radców Prawnych w Kielcach, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Wiedzę  pogłębiał podczas studiów podyplomowych Prawo Nowoczesnych Technologii (INP PAN w Warszawie) oraz Nowoczesne Usługi Biznesowe (UTH w Radomiu). Ukończył programy Summer Law School on Intellectual Property Law oraz Summer Law School on Business Law organizowane przez University of Minho w Bradze.

Specjalizuje się w prawie e-commerce, ochronie konsumentów oraz  prawie ochrony danych osobowych. Doświadczenie zdobywał współtworząc i kierując działem prawnym wiodącego polskiego portalu internetowego z branży turystycznej oraz podczas pracy w kancelarii wyspecjalizowanej w prawie nowych technologii.  Autor publikacji naukowych i popularnonaukowych z zakresu ochrony danych osobowych w tym  „Komentarza do Ustawy z dnia 10 maja 2018 o ochronie danych osobowych” (współautorstwo i redakcja).  Wykładowca Wyższej Szkoły Bankowej w Warszawie.

Martyna Gosz

Adwokatka, Specjalistka ds. Ochrony Danych Osobowych

Adwokatka, absolwentka prawa Wydziale Prawa i Administracji i Ekonomii Uniwersytetu im. A. Mickiewicza w Poznaniu, a także Akademii L. Koźmińskiego w Warszawie na kierunku „Prawo Nowoczesnych Technologii”.
Specjalizuje się w zakresie ochrony danych osobowych, prawie nowych technologii, e-Commerce, a także prawie ubezpieczeń i prawie karnym. Pełniła także funkcję IODO w sektorze finansowym i ubezpieczeniowym. Od czasów studenckich angażuje się w wolontariat prawniczy (inicjatywy pro bono).
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży motoryzacyjnej i kosmetycznej oraz podmiotów publicznych. Posiada bogate doświadczenie w prowadzeniu całościowych audytów oraz wdrożeń z RODO, a także bieżącym doradztwie w zakresie przetwarzania danych osobowych.

Daniel Niwiński

Prawnik, Specjalista ds. Bezpieczeństwa Informacji

Absolwent SWPS Uniwersytetu Humanistycznospołecznego w Warszawie na kierunku Prawo, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji (ISO 27001), student wydziału Informatyki w Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. W swojej pracy zawodowej specjalizuje się w zagadnieniach związanych z bezpieczeństwem informacji, cybersecurity oraz ochroną danych osobowych. Doświadczenie zawodowe zdobywał m.in. w spółce z branży IT, w której zbudował od podstaw dział bezpieczeństwa informacji. Przez lata współprowadził również spółkę z branży handlu zagranicznego, aktywnie wspierając Zarząd zarówno w aspektach biznesowych jak i prawnych. W okresie studiów aktywnie wspierał działalność uczelni jako członek studenckiej poradni prawnej. Od 2019 roku współpracuje z Omni Modo w zakresie audytów bezpieczeństwa informacji, audytów ochrony danych osobowych oraz opracowywania i wdrażania procedur bezpieczeństwa.

Arkadiusz Rzycki

Project Manager

Absolwent Akademii Leona Koźmińskiego na kierunku „Zarządzanie procesowe”. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001. Specjalizuje się w zagadnieniach dotyczących bezpieczeństwa informacji, wymogów techniczno-organizacyjnych wynikających z przepisów RODO w zakresie bezpieczeństwa oraz przetwarzania danych osobowych, analizy ryzyka, zarządzania procesami i projektami. Doświadczenie zawodowe zdobywał w międzynarodowej instytucji finansowej. Od 2016 roku związany z Omni Modo.  Posiada długoletnie doświadczenie w zakresie zarządzania, realizacji projektów (w tym zapewniających zgodność z obowiązującymi przepisami prawa).  Przeprowadza audyty, szkolenia, opracowuje i wdraża dokumentację niezbędną do osiągnięcia celów realizowanych procesów, zgodności z wymogami organizacji, wdrażanych systemów zarządzania, jak również przepisów prawa.

Wojciech Habrowski

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie.

Zajmuje się sprawami z zakresu prawa ochrony danych osobowych, szeroko pojętego prawa cywilnego, w szczególności prawa zobowiązań, prawa gospodarczego oraz prawa pracy. Doświadczenie zawodowe zdobywał w renomowanych kancelariach radców prawnych, a także w kancelarii notarialnej.

W Omni Modo, do jego obowiązków należy bieżące doradztwo na rzecz klientów, wsparcie IOD, przeprowadzanie audytów zgodności z RODO oraz szkoleń. Odpowiada m.in. za obsługę klientów z branży energetycznej .