W jakim terminie zgłasza się naruszenie ochrony danych
W jakim terminie zgłasza się naruszenie ochrony danych. Prezentujemy Państwu kolejne opracowanie, z cyklu … Rzymowski uważa, że … Tym razem przedmiotem rozważań stanie się prozaicznie tylko proste zagadnienie związane z terminem, w jakim ADO zobowiązany jest dokonać zgłoszenie naruszenia ochrony danych osobowych.
Bez zbędnej zwłoki, czyli ...
Ze słów wytłuszczonych w cytacie: (…) administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je (…) wnioskujemy, że prawodawca określił znaczenie zwrotu bez zbędnej zwłoki. W rozumieniu przyjętym przez prawodawcę bez zbędnej zwłoki oznacza w miarę możliwości, nie później, niż w terminie 72 godzin po stwierdzeniu naruszenia. Prawodawca nie precyzuje co należy rozumieć przez „stwierdzenie naruszenia”, wydaje się jednak, że z uwagi na powszechnie przyjęte rozumienie słowa „stwierdzenie”, przez stwierdzenie naruszenia rozumiemy moment dowiedzenia się przez administratora o fakcie zaistnienia naruszenia.
Stwierdzenie naruszenia ...
Bliższa analiza słów o stwierdzeniu naruszenia, wskazuje, co może wydać się dziwne, że nie do końca wiadomo w jaki sposób wskazane 72 godziny należy liczyć. Czytamy o stwierdzeniu naruszenia, ale nie do końca wiemy przez kogo owo naruszenie ma być stwierdzone by uznać, że było stwierdzone. Z przepisu wynika, jak się wydaje, że przez administratora, bo na niego nałożono obowiązek zgłoszenia naruszenia, sprawa jednak wcale nie jest jasna. Kiedy administratora wyobrażamy sobie naiwnie jako osobę fizyczną, to obliczenie 72 godzin jest proste. Administrator dowiaduje się o naruszeniu i następnie od tego momentu zaczyna biec 72 godzinny termin. Jest to jednak podejście naiwne i intencjonalnie upraszczające stan faktyczny. Kiedy administratora wyobrażamy sobie na przykład jako spółkę, to obliczenie 72 godzin nie jest już takie proste.
Wyobraźmy sobie zdarzenie które ma cechy naruszenia z art. 4 pkt 12 RODO. Zdarzenie ma miejsce, o zdarzeniu wie pracownik który do niego doprowadził czy też pracownik który je wykrył. Czy od tego momentu należy liczyć 72 godziny? Przecież na dobrą sprawę, patrząc z punktu widzenia przedmiotowego administratora, administrator ten nie wie jeszcze, czy naruszenie miało miejsce. Zaszło zdarzenie, naruszenie bezpieczeństwa prowadzące do… (art. 4 pkt 12 RODO), pracownicy administratora nie ustalili jednak jeszcze czy zdarzenie to ma charakter naruszenia z art. 4 pkt 12 RODO. Istotne zatem pozostaje pytanie czy termin 72 godzinny w opisanym stanie faktycznym już biegnie czy jeszcze nie. 72 godziny wydają się być terminem przeznaczonym na ocenę skutków naruszenia, na ocenę ryzyka naruszenia praw i wolności osób fizycznych przez pryzmat art. 33 ROD i art. 34 RODO, żeby jednak dokonywać tych czynności trzeba mieć pewność że zdarzenie które zaszło miało charakter naruszenia z art. 4 pkt 12 RODO, a ustalenie tego, zwłaszcza w dużej strukturze administratora może zająć wręcz kilka dni. Wydaje się że tak długie ustalanie czy zdarzenie było naruszeniem świadczy o pewnej niekompetencji odpowiednich służb administratora, należy jednak mieć świadomość że trudno oczekiwać by administrator i jego służby posiadali wiedzę pełną i doskonałą. Zdobycie wiedzy o samym zdarzeniu może zająć nieco czasu idącego w dni lub godziny, a dopiero po zdobyciu tej wiedzy można przystąpić do ustalania czy zdarzenie miało charakter naruszenia a z kolei po ustaleniu tego faktu można przystąpić do oceniania poziomu ryzyka naruszenia praw i wolności osób fizycznych.
Moment, w którym dochodzi do stwierdzenia ...
Przeprowadzone tu rozważanie nie zawiera odpowiedzi na pytanie o to od jakiego momentu liczyć termin 72 godzinny. Mam tego świadomość i mam też świadomość że problem nad którym się tu zastanawiam nie znajduje, jak się wydaje, rozwiązania na gruncie RODO. Problemem podstawowym nad którym się tu zastanawiam jest ustalenie, który moment w łańcuchu zdarzeń uznać za stwierdzenie naruszenia. Podstawowe rozwiązania są dwa.
- Rozwiązanie najprostsze jednak nieprzychylne dla administratora to uznanie że ze stwierdzeniem naruszenia mamy do czynienia w momencie kiedy pracownik administratora dowiaduje się o zdarzeniu które Później zostaje zakwalifikowane jako narusza z art. 4 pkt 12 RODO.
- Rozwiązanie bardziej przychylne dla administratora to uznanie że ze stwierdzeniem naruszenia mamy do czynienia w momencie kiedy uprawniony pracownik administratora podejmuje decyzję że jakieś zdarzenie ma charakter naruszenia z art. 4 pkt 12 RODO. Przyznam że to rozwiązanie jest mi bliższe. Daje ono nieco więcej czasu administratorowi ale też niejako szanuje jego decyzyjność.
Zauważyć należy, że ...
Problem z liczeniem 72 godzin dostrzegli P. Barta, M. Kawecki i P. Litwiński. Autorzy ci, powołując się na stanowisko EROD zwrócili uwagę, że (…) należy uznać, ze administrator „stwierdził” wystąpienie naruszenia w momencie, w którym uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych.[1] Z treścią zawarta w cytacie mam pewien problem. Zgadzam się z ogólną myślą wynikającą z cytatu, która rozumiem tak, że „stwierdzenie wystąpienia naruszenia” ma charakter subiektywny. Zapewne zresztą nie bez powodu cytowani autorzy pogląd ten powołali. (…) Podobnie w duchu subiektywnej oceny nieuzasadnionej zwłoki wypowiada się[2] C. Burton.
W duchu subiektywnej oceny wypowiadają się też, choć nieco inaczej niż C. Burton, autorzy czeskiego komentarza, którzy zwracają uwagę[3] na fakt, że warunkiem realizacji obowiązku z art. 33 RODO jest by administrator dowiedział się o naruszeniu. Pozornie rzecz jest oczywista, jednak należy sobie to w pełni uświadomić, że jeżeli naruszenie miało miejsce i jednocześnie administrator nie wie, że to naruszenie miało miejsce, to nie ma on szansy zrealizować obowiązków, które wynikają z art. 33 RODO. Co więcej, jeżeli administrator nie wie, że miało miejsce naruszenie to nie tylko nie może on dokonać zgłoszenia tego naruszenia do PUODO, ale nie może nawet dokonać oceny poziomu ryzyka naruszenia praw i wolności. Nie może dokonać oceny poziomu ryzyka naruszenia praw i wolności ponieważ nie wie, że naruszenie ochrony danych osobowych miało miejsce. Należy się tu zastanowić nad tym czy jeżeli administrator nie zgłosi naruszenia, ponieważ o nim nie wiedział, to czy grozi mu odpowiedzialność za niezgłoszenie naruszenia. Pozornie odpowiedź wydaje się prosta, jednak wcale taką nie jest i z uwagi na doniosłość problemu zajmuję się tym niżej.
Skutek niestwierdzenia naruszenia ochrony danych osobowych
Analiza art. 34 ust. 1 RODO każe przemyśleć pewien poważny problem, który z tego przepisu wynika. Otóż jak wiemy, jeżeli naruszenie ochrony danych osobowych nie skutkuje niskim poziomem ryzyka naruszenia praw i wolności osób fizycznych, to na administratorze spoczywa obowiązek zgłoszenia naruszenia ochrony danych osobowych do PUODO. Obowiązek ten, administrator powinien zrealizować, jak stanowi przepis, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. I w tym momencie pojawia się problem może się bowiem zdarzyć że naruszenie ochrony danych miało miejsce i jednocześnie to naruszenie ochrony danych osobowych nie skutkowało niskim poziomem ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli administrator dowiedziałby się o takim naruszeniu to powinien je zgłosić do PUODO, w terminie wskazanym wyżej. Jeżeli administrator nie zgłosił naruszenia które powinien był zgłosić to grozi mu odpowiedzialność administracyjna na podstawie art. 83 ust. 4 lit. a RODO.
Administrator nie dowiedział się o naruszeniu ...
Pozornie rzecz wydaje się prosta. Należy się jednak zastanowić nad tym co się dzieje jeżeli administrator nie dowiedział się o naruszeniu ochrony danych osobowych. Prześledźmy.
- Najpierw ma miejsce naruszenie ochrony danych osobowych.
- Następnie administrator dowiaduje się o zaistnieniu (tego) naruszenia ochrony danych osobowych.
- Następnie administrator dokonuje oceny ryzyka naruszenia praw i wolności osób fizycznych.
- Następnie administrator ustala że poziom ryzyka naruszenia praw i wolności osób fizycznych nie jest niski.
Co istotne ...
Skutek ...
Autorzy czeskiego komentarza ...
Uczciwość wymaga by wskazać że autorzy czeskiego komentarza twierdzą może nie przeciwnie, ale jednak w sposób nieco niepokojący, z punktu widzenia wyprowadzonej tu tezy. Uważają oni bowiem że jeżeli administrator nie stwierdzi naruszenia, to nie zwalnia go to z odpowiedzialności za naruszenie RODO. Aczkolwiek jednocześnie należy wskazać na fakt że jako przepisy których naruszenie może być u źródłem odpowiedzialności, czescy autorzy wskazują art. 24 RODO i art. 32 RODO, czyli jak się wydaje źródło odpowiedzialności widzą raczej w niewłaściwej ocenie ryzyka przetwarzania danych osobowych i niewłaściwym zabezpieczeniu tych danych niż w niezgłoszeniu naruszenia ochrony danych osobowych które powinno zostać zgłoszone organowi ochrony danych.
Być może wypowiedź czeskiej doktryny nie powinna niepokoić. Jeżeli wypowiedź tę przeanalizujemy spokojnie to okazuje się że czescy autorzy formułują kilka osobnych myśli.
- Zrazu zwracają uwagę na fakt że może się zdarzyć iż administrator nie dowie się o naruszeniu ochrony danych osobowych. Jest to myśl pierwsza.
- Następnie zwracają uwagę na fakt że tego iż administrator nie dowie się o naruszeniu ochrony danych osobowych nie wynika iż zwalnia go to z odpowiedzialności związanej z naruszeniem RODO. Jest to myśl druga.
- W końcu zwracają uwagę na fakt że odpowiedzialność może wynikać z naruszenia art. 32 RODO lub art. 24 RODO
Jeżeli myśl czeskich autorów uporządkujemy we wskazany sposób to przestaje ona niepokoić i okazuje się że nie stoi ona sale w sprzeczności, o którą zrazu ją podejrzewałem.
Jak widać PUODO prowadzi rozważania, zastanawiając się nad działaniami administratora od momentu, w którym „doszło do tego naruszenia”. PUODO pisze o położeniu nacisku na szybkie zbadanie incydentu, z czym należy się zgodzić, z jednym jednak zastrzeżenie. Otóż administrator może po prostu nie wiedzieć, że incydent miał miejsce. Administrator nie wie, że incydent miał miejsce, nie może więc zastanowić się, czy incydent naruszeniem był czy nie był, ponieważ nie ma takiej szansy.
W jakim terminie zgłasza się naruszenie ochrony danych
Materiały źródłowe wykorzystane do publikacji „W jakim terminie zgłasza się naruszenie ochrony danych”
[1] P. Barta, M. Kawecki, P. Litwiński w: P. Barta, D. Dörre-Kolasa, M. Kawecki, A. Krzyżak, P. Litwiński [red.]. Ogólne rozporządzenie o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz. Warszawa 2021. s. 348-349.
[2] C. Burton w: The EU General Data Protection Regulation (GDPR). A Commentary. Edited by Ch. Kuner, L. A. Bygrave, Ch. Docksey, and Assistant Editor L. Drechsler. Oxford 2020. s. 646.
[3] M. Nuliček, J. Donát, F. Nonnemann, B. Lichnovský, J. Tomíšek. GDPR / Obecné nařízení o ochraně osobních údajů. Prakticky komentař. Praha 2017. s. 297.
[1] M. Nuliček, J. Donát, F. Nonnemann, B. Lichnovský, J. Tomíšek. GDPR / Obecné nařízení o ochraně osobních údajů. Prakticky komentař. Praha 2017. s. 297.
Autor: dr Jakub Rzymowski