Home  ›  Aktualności  ›  Dodatkowe obowiązki administratorów przy zgłaszaniu naruszeń – nowe wytyczne EROD

Dodatkowe obowiązki administratorów przy zgłaszaniu naruszeń – nowe wytyczne EROD

Wyślij link znajomemu

W dniu 3 października 2017 r. Grupa Robocza art. 29 (poprzednik Europejskiej Rady Ochrony Danych – „EROD”) przyjęła pierwsze wytyczne w sprawie powiadamiania o naruszeniu danych na gruncie RODO. W trzecim kwartale 2022 r. EROD opublikowała projekt zaktualizowanych wytycznych, w których doprecyzowała wymogi dotyczące powiadamiania o naruszeniach danych osobowych, przy czym istotna zmiana jest skierowana do podmiotów, które nie posiadają jednostki organizacyjnej na terenie Unii Europejskiej.

Rola przedstawiciela administratora

Zgodnie z przepisami RODO, gdy administrator (lub podmiot przetwarzający) niemający jednostki organizacyjnej w Unii Europejskiej przetwarza dane osobowe osób, których dane dotyczą, znajdujących się w Unii, a jego czynności przetwarzania wiążą się z oferowaniem towarów lub usług tym osobom w Unii lub z monitorowaniem ich zachowania, to taki administrator powinien wyznaczyć przedstawiciela, chyba że przetwarzanie ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa, i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych, lub jeżeli administrator jest organem lub podmiotem publicznym. Taki przedstawiciel powinien działać w imieniu administratora i może być adresatem ewentualnych działań organu nadzorczego. Przedstawiciel powinien wykonywać swoje zadania zgodnie z upoważnieniem otrzymanym od administratora, a jednym z jego głównych zadań jest współpraca z właściwymi organami nadzorczymi w odniesieniu do wszelkich działań służących zapewnieniu przestrzegania przepisów RODO.

Przedstawiciel już nie wystarczy

Pierwsze wytyczne w sprawie zgłaszania naruszeń ochrony danych osobowych zakładały, że w przypadku wystąpienia takiego naruszenia należy zgłosić je do organu nadzorczego w państwie, w którym siedzibę ma przedstawiciel wyznaczony przez administratora. Procedura ta była oparta na mechanizmie kompleksowej współpracy pomiędzy organami z różnych państw UE (tzw. one-stop-shop) i zakładała, że administrator powinien podlegać kontroli tylko jednego organu nadzorczego – niezależnie od ilości państw, w których prowadzi on działalność. Jeśli więc, podmiot mający siedzibę poza Unią, działał na terenie kilku jej krajów, a wyznaczył swojego przedstawiciela np. w Polsce, to wystarczające było zgłoszenie naruszenia jedynie do polskiego organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.

Jednak zgodnie z nowym brzmieniem wytycznych, sama obecność przedstawiciela w państwie członkowskim nie spowoduje już uruchomienia procedury one-stop-shop. Z tego powodu naruszenie będzie musiało zostać zgłoszone każdemu organowi państwa członkowskiego, w którym zamieszkują dotknięte naruszeniem osoby. Zgłoszenia tego należy dokonać zgodnie z pełnomocnictwem udzielonym przez administratora jego przedstawicielowi i na jego odpowiedzialność.

Krytyka odejścia od procedury one-stop-shop

Jak można przypuszczać, odejście przez EROD od procedury one-stop-shop wzbudziło krytykę podmiotów spoza Unii, dla których oznacza to szereg nowych obowiązków. Ta krytyka posługuje się zresztą solidną argumentacją. Spośród głosów krytycznych warto zwrócić uwagę m.in. na:

  • Trudność w dotrzymaniu terminów zgłoszenia naruszenia ochrony danych osobowych

Zaktualizowane wytyczne EROD nie wspominają, żeby zmianie miał ulec termin na zgłoszenie naruszenia, który – przypomnijmy – wynosi jedynie 72 godziny od stwierdzenia naruszenia. Istnieje ryzyko braku zareagowania w ww. terminie, ponieważ każdy organ ochrony danych określa na swój sposób procedurę powiadamiania o naruszeniach. Jeżeli – w uproszczeniu – wszystkie 27 państw członkowskich dotknięte jest tym samym naruszeniem danych, a każde państwo członkowskie ma inny formularz powiadomienia o naruszeniu danych, we własnym języku, to wręcz niemożliwe staje się dla organizacji dotrzymanie terminu 72 godzin. Jeżeli termin 72 godzin zostanie przekroczony, a naruszenie nie zostanie zgłoszone, może to spowodować dalsze ryzyko dla ochrony danych osobowych osób, których dane dotyczą. Można by oczekiwać, że to właśnie sprawna współpraca na poziomie organów nadzorczych ma zapewniać ochronę danych osobowych Europejczyków, a nie zgłaszanie naruszenia przez – w praktyce – kilka/kilkanaście dni przez organizacje, których macierzystym obszarem działalności nie jest Unia Europejska.

  • Zbytnie obciążenie organów nadzorczych państw członkowskich

Jeżeli naruszenie danych dotyczy wielu państw członkowskich  Unii, właściwych może być bardzo wiele organów nadzorczych. Niektóre organy ochrony danych mogą mieć trudności w obsłudze zgłoszenia, biorąc pod uwagę np. ograniczenie w zasobach technicznych i organizacyjnych. Większość organów nadzorczych twierdzi, że nie ma wystarczających zasobów, by zajmować się naruszeniami danych, i zgłaszają, że ich personel jest niewystarczający. Chciałyby one przeprowadzać więcej audytów i skupić się na łagodzeniu skutków naruszeń danych. W przypadkach zgłaszania naruszeń danych, najbardziej czasochłonnym aspektem jest wypełnianie formularzy, co powoduje brak czasu na faktyczne zajęcie się naruszeniem danych, skutkujące rozbieżnością między obciążeniem pracą a możliwościami jej wykonania. Otwarte pozostaje także pytanie czy taka dublowana praca rzeczywiście przybliża organy do realizacji głównego celu RODO, którego założeniem jest przecież jak najlepsza ochrona danych osobowych obywateli UE.

Podsumowując, zmiany zaproponowane przez EROD w  nowym brzmieniu wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych nie wydają się ani niezbędne, ani co więcej – zasadne. Jeśli celem wprowadzonych zmian miała być lepsza ochrona praw Europejczyków, wydaje się że przyjęte rozwiązanie nie przybliży, a wręcz może nas od niego oddalić. Konsultacje projektu jeszcze się nie zakończyły – pozostaje jedynie oczekiwać na ostateczną decyzję EROD w tym zakresie.

Autor: Ewa Boboli

Źródła:

https://ec.europa.eu

https://edpb.europa.eu.pdf

https://eur-lex.europa.eu