Raportowanie do Urzędu Ochrony Danych Osobowych (dalej UODO) o własnych naruszeniach to konstrukcja prawna wywodząca się z art. 33 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO) i w stosunku do przepisów ustawy o ochronie danych osobowych jest ona całkowicie nowa.
Od 25 maja 2018 r. będzie to obowiązek powszechny, nałożony na każdego administratora danych osobowych oraz każdy podmiot przetwarzający dane czyli procesora. Polegać on będzie na informowaniu, przez te podmioty, UODO o naruszeniu przepisów ochrony danych osobowych. Termin jaki wyznacza europejski Ustawodawca został ustalony na 72h. Jeżeli w przeciągu tego czasu administrator nie powiadomi organu nadzorczego o naruszeniu w dalszym ciągu jest zobligowany to zrobić, podając przyczynę opóźnienia. Oczywiście termin biegnie od momentu w którym administrator lub procesor dowie się o zaistniałym naruszeniu.
Czy warto ukrywać przed organem naruszenie przepisów o ochronie danych osobowych?
Uchylanie się od obowiązku poinformowania organu nadzorczego wiąże się z nałożeniem przez Urząd, określonych w art. 83. Ust. 4 RODO, kar. Sankcje finansowe będą bardzo odczuwalne dla administratorów danych, gdyż mogą wynosić nawet 100 tys. euro lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa. Nie warto również liczyć na pobłażliwe traktowanie przez UODO w chwili, gdy nie zgłosi się do niego wystąpienia incydentu. Kara nałożona po zaraportowaniu naruszenia do UODO będzie na pewno niższa niż ta nałożona przez Urząd w przypadku wykrycia zatajenia nieprawidłowości.
W jaki sposób będzie można informować organ?
Zgodnie z zapisami przedstawionymi w projekcie ustawy z dnia 12 września 2017 r. o ochronie danych osobowych, Prezes UODO będzie prowadził system teleinformatyczny za pomocą, którego będzie można informować go o naruszeniach. Prawdopodobnie będzie to formularz elektroniczny na stronie Urzędu. Warto pamiętać, iż istotnym będzie wprowadzenie odpowiednich rozwiązań organizacyjnych. Pracownik, który dowie się o incydencie musi wiedzieć do kogo zgłosić zaistniałą sytuację. Dobrym rozwiązaniem będzie więc stworzenie wewnętrznej polityki działania na wypadek wystąpienia incydentów.
O jakich incydentach należy poinformować UODO?
- Pomocne, w ocenie jakie incydenty należy zgłaszać, może okazać się zdefiniowanie, zawartego w art. 4 pkt 12 RODO, terminu „naruszenia danych osobowych”. Może być ono przypadkowe lub bezprawne (tj. naruszające przepisy). Może ono polegać na działaniu albo zaniechaniu, którego skutkiem jest zniszczenie bądź usunięcie danych, modyfikacja (zmiana treści); ujawnienie danych lub uzyskanie dostępu do nich przez osobę nieuprawnioną. Naruszenia mogą więc odnosić się do różnych czynności przetwarzania danych - mówi Adam Lipiński, Specjalista ds. ochrony danych, ODO 24.
Czy tylko UODO musi zostać poinformowany?
W sytuacji, w której naruszenie niesie ze sobą wysokie „ryzyko naruszenia praw lub wolności osób fizycznych”, administrator powinien również, bez zbędnej zwłoki, zawiadomić osobę, której danych osobowych dotyczyło naruszenie. Powyższa wiadomość powinna być zakomunikowana prostym i przejrzystym językiem.
- Dla wielu administratorów danych najbardziej uciążliwym, w procesie raportowania naruszeń do UODO, może okazać się krótki termin - 72h. Nie są to godziny robocze, więc czas w jakim należy zawiadomić organ nadzorczy o incydencie jest bardzo krótki. Podstawowym sposobem na wywiązanie się z tego obowiązku prawnego będzie wdrożenie w organizacji odpowiednich procedur administracyjnych i technicznych aby incydent mógł być jak najszybciej zauważony i w razie konieczności zgłoszony do Urzędu – wskazuje, Adam Lipiński, Specjalista ds. ochrony danych, ODO 24.
- Nie zapominajmy, iż głównym zadaniem RODO jest ochrona danych osobowych osób fizycznych, nie zaś wygoda przedsiębiorców. Mimo, iż instytucja zawarta w art. 33 rozporządzenia może wydawać się z punktu widzenia szeroko rozumianych firm kuriozalna, to zapewnia ona odpowiednie warunki ochronne osobom, których dane są przez nie przetwarzane – dodaje.