Proste to RODO ochrona danych w medycynie

Wdrożenie RODO w jednostkach medycznych.
RODO w medycynie. Przygotowanie dokumentacji RODO. Szkolenia z ochrony danych osobowych.

Proste to RODO

Ochrona danych w medycynie i oświacie

W jakim terminie zgłasza się naruszenie ochrony danych

W jakim terminie zgłasza się naruszenie ochrony danych

W jakim terminie zgłasza się naruszenie ochrony danych. Prezentujemy Państwu kolejne opracowanie, z cyklu … Rzymowski uważa, że … Tym razem przedmiotem rozważań stanie się prozaicznie tylko proste zagadnienie związane z terminem, w jakim ADO zobowiązany jest dokonać zgłoszenie naruszenia ochrony danych osobowych.

Bez zbędnej zwłoki, czyli ...

Ze słów wytłuszczonych w cytacie: (…) administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je (…) wnioskujemy, że prawo­dawca określił znaczenie zwrotu bez zbędnej zwłoki. W rozumieniu przyjętym przez prawodawcę bez zbędnej zwłoki oznacza w miarę możliwości, nie później, niż w terminie 72 godzin po stwierdzeniu na­ruszenia. Prawodawca nie precyzuje co należy rozumieć przez „stwier­dzenie naruszenia”, wydaje się jednak, że z uwagi na po­wszechnie przyjęte rozumienie słowa „stwierdzenie”, przez stwier­dzenie naruszenia rozumiemy moment dowiedzenia się przez admini­stratora o fakcie zaistnienia naruszenia.

Stwierdzenie naruszenia ...

Bliższa analiza słów o stwierdzeniu naruszenia, wskazuje, co mo­że wydać się dziwne, że nie do końca wiadomo w jaki sposób wska­zane 72 godziny należy liczyć. Czytamy o stwierdzeniu narusze­nia, ale nie do końca wiemy przez kogo owo naruszenie ma być stwier­dzone by uznać, że było stwierdzone. Z przepisu wynika, jak się wydaje, że przez administratora, bo na niego nałożono obowiązek zgłoszenia naruszenia, sprawa jednak wcale nie jest jasna. Kiedy ad­ministratora wyobrażamy sobie naiwnie jako osobę fizyczną, to obli­czenie 72 godzin jest proste. Administrator dowiaduje się o naruszeniu i następnie od tego momentu zaczyna biec 72 godzinny termin. Jest to jednak podejście naiwne i intencjonalnie upraszczające stan fak­tyczny. Kiedy administratora wyobrażamy sobie na przykład jako spółkę, to obliczenie 72 godzin nie jest już takie proste.

Wyobraźmy sobie zdarzenie które ma cechy naruszenia z art. 4 pkt 12 RODO. Zdarzenie ma miejsce, o zdarzeniu wie pracownik który do niego doprowadził czy też pracownik który je wykrył. Czy od tego momentu należy liczyć 72 godziny? Przecież na dobrą sprawę, patrząc z punktu widzenia przedmiotowego administratora, administrator ten nie wie jeszcze, czy naruszenie miało miejsce. Za­szło zdarzenie, naruszenie bezpieczeństwa prowadzące do… (art. 4 pkt 12 RODO), pracownicy administratora nie ustalili jednak jesz­cze czy zdarzenie to ma charakter naruszenia z art. 4 pkt 12 RODO. Istotne zatem pozostaje pytanie czy termin 72 godzinny w opisanym stanie faktycznym już biegnie czy jeszcze nie. 72  godziny wydają się być terminem przeznaczonym na ocenę skutków naruszenia, na ocenę ryzyka naruszenia praw i wolności osób fizycznych przez pryzmat art. 33 ROD i art. 34 RODO, żeby jednak dokonywać tych czynności trzeba mieć pewność że zdarzenie które zaszło miało charakter naru­szenia z art. 4 pkt 12 RODO, a ustalenie tego, zwłaszcza w dużej strukturze administratora może zająć wręcz kilka dni. Wydaje się że tak długie ustalanie czy zdarzenie było naruszeniem świadczy o pewnej niekompetencji odpowiednich służb administratora, należy jednak mieć świadomość że trudno oczekiwać by administrator i jego służby posiadali wiedzę pełną i doskonałą.  Zdobycie wiedzy o samym zdarzeniu może zająć nieco czasu idącego w dni lub go­dziny, a dopiero po zdobyciu tej wiedzy można przystąpić do ustala­nia czy zdarzenie miało charakter naruszenia a z  kolei po ustaleniu tego faktu można przystąpić do oceniania poziomu ryzyka naruszenia praw i wolności osób fizycznych.

Moment, w którym dochodzi do stwierdzenia ...

Przeprowadzone tu rozważanie nie zawiera odpowiedzi na py­tanie o to od jakiego momentu liczyć termin 72 godzinny. Mam tego świadomość i mam też świadomość że problem nad którym się tu za­stanawiam nie znajduje, jak się wydaje, rozwiązania na gruncie RODO. Problemem podstawowym nad którym się tu zastanawiam jest ustalenie, który moment w łańcuchu zdarzeń uznać za stwierdzenie naruszenia. Podstawowe rozwiązania są dwa. 

  • Rozwiązanie najprostsze jednak nieprzychylne dla administratora to uznanie że ze stwierdzeniem naruszenia mamy do czynienia w momencie kiedy pracownik administratora dowiaduje się o zdarzeniu które Później zostaje zakwalifikowane jako narusza z art. 4 pkt 12 RODO.
  • Rozwiązanie bardziej przychylne dla administratora to uznanie że ze stwierdzeniem naruszenia mamy do czynienia w momencie kiedy uprawniony pracownik administratora podejmuje decyzję że jakieś zdarzenie ma charakter naruszenia z art. 4 pkt 12 RODO. Przy­znam że to rozwiązanie jest mi bliższe. Daje ono nieco więcej czasu administratorowi ale też niejako szanuje jego decyzyjność.

Zauważyć należy, że ...

Problem z liczeniem 72 godzin dostrzegli P. Barta, M. Kawecki i P. Litwiński. Autorzy ci, powołując się na stanowisko EROD zwró­cili uwagę, że (…) należy uznać, ze administrator „stwierdził” wystą­pienie naruszenia w momencie, w którym uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpi­eczeń­stwa, który doprowadził do ujawnienia danych osobowych.[1] Z treś­cią zawarta w cytacie mam pewien problem. Zgadzam się z ogólną myślą wynikającą z cytatu, która rozumiem tak, że „stwier­dzenie wy­stą­pie­nia naruszenia” ma charakter subiektywny. Zapewne zresztą nie bez powodu cytowani autorzy pogląd ten powołali. (…) Podobnie w duchu subiektywnej oceny nieuzasad­nionej zwłoki wypowiada się[2] C. Burton.

W duchu subiektywnej oceny wypowiadają się też, choć nieco inaczej niż C. Burton, autorzy czeskiego komentarza, którzy zwracają uwagę[3] na fakt, że warunkiem realizacji obowiązku z art. 33 RODO jest by administrator dowiedział się o naruszeniu. Pozornie rzecz jest oczywista, jednak należy sobie to w pełni uświadomić, że jeżeli naruszenie miało miejsce i jednocześnie administrator nie wie, że to naruszenie miało miejsce, to nie ma on szansy zrealizować obowiązków, które wynikają z art. 33 RODO. Co więcej, jeżeli administrator nie wie, że miało miejsce naruszenie to nie tylko nie może on dokonać zgłoszenia tego naruszenia do PUODO, ale nie może nawet dokonać oceny poziomu ryzyka naruszenia praw i wolności. Nie może dokonać oceny poziomu ryzyka naruszenia praw i wolności ponieważ nie wie, że naruszenie ochrony danych osobowych miało miejsce. Należy się tu zastanowić nad tym czy jeżeli administrator nie zgłosi naruszenia, ponieważ o nim nie wiedział, to czy grozi mu odpowiedzialność za niezgłoszenie naruszenia. Pozornie odpowiedź wydaje się prosta, jednak wcale taką nie jest i z uwagi na doniosłość problemu zajmuję się tym niżej.

Skutek niestwierdzenia naruszenia ochrony danych osobowych

Analiza art. 34 ust. 1 RODO każe przemyśleć pewien poważny problem, który z tego przepisu wynika. Otóż jak wiemy, jeżeli naru­sze­nie ochrony danych osobowych nie skutkuje niskim poziomem ryzyka naruszenia praw i wolności osób fizycznych, to na admini­stra­torze spoczywa obowiązek zgłoszenia naruszenia ochrony danych oso­bowych do PUODO. Obowiązek ten, administrator powinien zre­alizować, jak stanowi przepis, bez zbędnej zwłoki – w miarę możli­woś­ci, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. I w tym momencie pojawia się problem może się bowiem zdarzyć że naruszenie ochrony danych miało miejsce i jednocześnie to naruszenie ochrony danych osobowych nie skutkowało niskim poziomem ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli administrator do­wiedziałby się o takim naruszeniu to powinien je zgłosić do PUODO, w terminie wskazanym wyżej. Jeżeli administrator nie zgłosił naru­szenia które powinien był zgłosić to grozi mu odpowiedzialność ad­mi­nistracyjna na podstawie art. 83 ust. 4 lit. a RODO.

Administrator nie dowiedział się o naruszeniu ...

Pozornie rzecz wydaje się prosta. Należy się jednak zastanowić nad tym co się dzieje jeżeli administrator nie dowiedział się o naru­sze­niu ochrony danych osobowych. Prześledźmy.

  • Najpierw ma miejsce naruszenie ochrony danych osobowych.
  • Następnie administrator do­wiaduje się o zaistnieniu (tego) naruszenia ochrony danych osobo­wych.
  • Następnie administrator dokonuje oceny ryzyka naruszenia praw i wolności osób fizycznych.
  • Następnie administrator ustala że poziom ryzyka naruszenia praw i wolności osób fizycznych nie jest niski.

Co istotne ...

Skutek ...

Autorzy czeskiego komentarza ...

Uczciwość wymaga by wskazać że autorzy czeskiego komentarza twierdzą może nie przeciwnie, ale jednak w sposób nieco niepokojący, z punktu widzenia wyprowadzonej tu tezy. Uważają oni bowiem że jeżeli administrator nie stwierdzi naruszenia, to nie zwalnia go to z odpowiedzialności za naruszenie RODO. Aczkolwiek jednocześnie należy wskazać na fakt że jako przepisy których naruszenie może być u źródłem odpowiedzialności, czescy autorzy wskazują art. 24 RODO i art. 32 RODO, czyli jak się wydaje źródło odpowiedzialności widzą raczej w niewłaściwej ocenie ryzyka przetwarzania danych osobowych i niewłaściwym zabezpieczeniu tych danych niż w niezgłoszeniu naruszenia ochrony danych osobowych które powinno zostać zgłoszone organowi ochrony danych.

Być może wypowiedź czeskiej doktryny nie powinna niepokoić. Jeżeli wypowiedź tę przeanalizujemy spokojnie to okazuje się że czescy autorzy formułują kilka osobnych myśli.

  • Zrazu zwracają uwagę na fakt że może się zdarzyć iż administrator nie dowie się o naruszeniu ochrony danych osobowych. Jest to myśl pierwsza.
  • Następnie zwracają uwagę na fakt że tego iż administrator nie dowie się o naruszeniu ochrony danych osobowych nie wynika iż zwalnia go to z odpowiedzialności związanej z naruszeniem RODO. Jest to myśl druga.
  • W końcu zwracają uwagę na fakt że odpowiedzialność może wynikać z naruszenia art. 32 RODO lub art. 24 RODO

Jeżeli myśl czeskich autorów uporządkujemy we wskazany sposób to przestaje ona niepokoić i okazuje się że nie stoi ona sale w sprzeczności, o którą zrazu ją podejrzewałem.

Jak widać PUODO prowadzi rozważania, zastanawiając się nad działaniami administratora od momentu, w którym „doszło do tego naruszenia”. PUODO pisze o położeniu nacisku na szybkie zbadanie incydentu, z czym należy się zgodzić, z jednym jednak zastrzeżenie. Otóż administrator może po prostu nie wiedzieć, że incydent miał miejsce. Administrator nie wie, że incydent miał miejsce, nie może więc zastanowić się, czy incydent naruszeniem był czy nie był, ponieważ nie ma takiej szansy.

W jakim terminie zgłasza się naruszenie ochrony danych

Materiały źródłowe wykorzystane do publikacji „W jakim terminie zgłasza się naruszenie ochrony danych”
[1] P. Barta, M. Kawecki, P. Litwiński w: P. Barta, D. Dörre-Kolasa, M. Kawecki, A. Krzyżak, P. Litwiński [red.]. Ogólne rozporządzenie o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz. Warszawa 2021. s. 348-349.
[2] C. Burton w: The EU Ge­ne­ral Da­ta Pro­te­ction Re­gu­la­tion (GDPR). A Com­men­tary. Edi­ted by Ch. Kuner, L. A. By­grave, Ch. Dock­sey, and As­si­stant Edi­tor L. Drechs­ler. Oxford 2020. s. 646.
[3] M. Nu­li­ček, J. Do­nát, F. No­nne­mann, B. Lich­nov­ský, J. Tom­íšek. GDPR / Obec­né naří­zení o och­ra­ně osob­ních úda­jů. Prak­tic­ky ko­men­tař. Pra­ha 2017. s. 297.
[1] M. Nu­li­ček, J. Do­nát, F. No­nne­mann, B. Lich­nov­ský, J. Tom­íšek. GDPR / Obec­né naří­zení o och­ra­ně osob­ních úda­jů. Prak­tic­ky ko­men­tař. Pra­ha 2017. s. 297.