Dodatkowe obowiązki administratorów przy zgłaszaniu naruszeń – nowe wytyczne EROD
09.02.2023
Autor: Ewa Boboli
W dniu 3 października 2017 r. Grupa Robocza art. 29 (poprzednik Europejskiej Rady Ochrony Danych – „EROD”) przyjęła pierwsze wytyczne w sprawie powiadamiania o naruszeniu danych na gruncie RODO. W trzecim kwartale 2022 r. EROD opublikowała projekt zaktualizowanych wytycznych, w których doprecyzowała wymogi dotyczące powiadamiania o naruszeniach danych osobowych, przy czym istotna zmiana jest skierowana do podmiotów, które nie posiadają jednostki organizacyjnej na terenie Unii Europejskiej.
Zgodnie z przepisami RODO, gdy administrator (lub podmiot przetwarzający) niemający jednostki organizacyjnej w Unii Europejskiej przetwarza dane osobowe osób, których dane dotyczą, znajdujących się w Unii, a jego czynności przetwarzania wiążą się z oferowaniem towarów lub usług tym osobom w Unii lub z monitorowaniem ich zachowania, to taki administrator powinien wyznaczyć przedstawiciela, chyba że przetwarzanie ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa, i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych, lub jeżeli administrator jest organem lub podmiotem publicznym. Taki przedstawiciel powinien działać w imieniu administratora i może być adresatem ewentualnych działań organu nadzorczego. Przedstawiciel powinien wykonywać swoje zadania zgodnie z upoważnieniem otrzymanym od administratora, a jednym z jego głównych zadań jest współpraca z właściwymi organami nadzorczymi w odniesieniu do wszelkich działań służących zapewnieniu przestrzegania przepisów RODO.
Pierwsze wytyczne w sprawie zgłaszania naruszeń ochrony danych osobowych zakładały, że w przypadku wystąpienia takiego naruszenia należy zgłosić je do organu nadzorczego w państwie, w którym siedzibę ma przedstawiciel wyznaczony przez administratora. Procedura ta była oparta na mechanizmie kompleksowej współpracy pomiędzy organami z różnych państw UE (tzw. one-stop-shop) i zakładała, że administrator powinien podlegać kontroli tylko jednego organu nadzorczego – niezależnie od ilości państw, w których prowadzi on działalność. Jeśli więc, podmiot mający siedzibę poza Unią, działał na terenie kilku jej krajów, a wyznaczył swojego przedstawiciela np. w Polsce, to wystarczające było zgłoszenie naruszenia jedynie do polskiego organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.
Jednak zgodnie z nowym brzmieniem wytycznych, sama obecność przedstawiciela w państwie członkowskim nie spowoduje już uruchomienia procedury one-stop-shop. Z tego powodu naruszenie będzie musiało zostać zgłoszone każdemu organowi państwa członkowskiego, w którym zamieszkują dotknięte naruszeniem osoby. Zgłoszenia tego należy dokonać zgodnie z pełnomocnictwem udzielonym przez administratora jego przedstawicielowi i na jego odpowiedzialność.
Jak można przypuszczać, odejście przez EROD od procedury one-stop-shop wzbudziło krytykę podmiotów spoza Unii, dla których oznacza to szereg nowych obowiązków. Ta krytyka posługuje się zresztą solidną argumentacją. Spośród głosów krytycznych warto zwrócić uwagę m.in. na:
Zaktualizowane wytyczne EROD nie wspominają, żeby zmianie miał ulec termin na zgłoszenie naruszenia, który – przypomnijmy – wynosi jedynie 72 godziny od stwierdzenia naruszenia. Istnieje ryzyko braku zareagowania w ww. terminie, ponieważ każdy organ ochrony danych określa na swój sposób procedurę powiadamiania o naruszeniach. Jeżeli – w uproszczeniu – wszystkie 27 państw członkowskich dotknięte jest tym samym naruszeniem danych, a każde państwo członkowskie ma inny formularz powiadomienia o naruszeniu danych, we własnym języku, to wręcz niemożliwe staje się dla organizacji dotrzymanie terminu 72 godzin. Jeżeli termin 72 godzin zostanie przekroczony, a naruszenie nie zostanie zgłoszone, może to spowodować dalsze ryzyko dla ochrony danych osobowych osób, których dane dotyczą. Można by oczekiwać, że to właśnie sprawna współpraca na poziomie organów nadzorczych ma zapewniać ochronę danych osobowych Europejczyków, a nie zgłaszanie naruszenia przez – w praktyce – kilka/kilkanaście dni przez organizacje, których macierzystym obszarem działalności nie jest Unia Europejska.
Jeżeli naruszenie danych dotyczy wielu państw członkowskich Unii, właściwych może być bardzo wiele organów nadzorczych. Niektóre organy ochrony danych mogą mieć trudności w obsłudze zgłoszenia, biorąc pod uwagę np. ograniczenie w zasobach technicznych i organizacyjnych. Większość organów nadzorczych twierdzi, że nie ma wystarczających zasobów, by zajmować się naruszeniami danych, i zgłaszają, że ich personel jest niewystarczający. Chciałyby one przeprowadzać więcej audytów i skupić się na łagodzeniu skutków naruszeń danych. W przypadkach zgłaszania naruszeń danych, najbardziej czasochłonnym aspektem jest wypełnianie formularzy, co powoduje brak czasu na faktyczne zajęcie się naruszeniem danych, skutkujące rozbieżnością między obciążeniem pracą a możliwościami jej wykonania. Otwarte pozostaje także pytanie czy taka dublowana praca rzeczywiście przybliża organy do realizacji głównego celu RODO, którego założeniem jest przecież jak najlepsza ochrona danych osobowych obywateli UE.
Podsumowując, zmiany zaproponowane przez EROD w nowym brzmieniu wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych nie wydają się ani niezbędne, ani co więcej – zasadne. Jeśli celem wprowadzonych zmian miała być lepsza ochrona praw Europejczyków, wydaje się że przyjęte rozwiązanie nie przybliży, a wręcz może nas od niego oddalić. Konsultacje projektu jeszcze się nie zakończyły – pozostaje jedynie oczekiwać na ostateczną decyzję EROD w tym zakresie.
Źródła:
https://ec.europa.eu/newsroom/article29/items/612052
https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&from=PL
Autor
Ewa Boboli
Radca prawny, absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Uczestniczyła w licznych audytach zgodności z przepisami dot. ochrony danych osobowych m.in. w największej na świecie firmie z branży reklamowej i ogólnopolskiej sieci franczyzowej. Doradzała m.in. jednej z największych sieci kurierskich w Europie, jednej z wiodących marek produkujących armaturę łazienkową. Doradzała spółkom
w zakresie prawa ochrony danych osobowych, e-commerce, sporządzała dokumentację wymaganą przepisami RODO oraz ustawy o świadczeniu usług drogą elektroniczną. Posługuje się językiem angielskim.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!