Jeżeli wszyscy administratorzy będą się trzymać zaktualizowanego poradnika UODO, to zgłaszanych naruszeń ochrony danych osobowych może znacznie wzrosnąć - nawet kilkukrotnie. Prezes UODO zapewnia, że urząd jest na to gotowy.

rozwiń

RODO wymaga, aby administrator zgłosił prezesowi Urzędu Ochrony Danych Osobowych naruszenie ochrony danych osobowych bez zbędnej zwłoki, „chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (art. 33 ust. 1). Natomiast niedawno zaktualizowany poradnik UODO mówi, że zgłoszenia nie wymagają naruszenia ochrony danych, „w przypadku których ryzyko prawdopodobnie nie wystąpi”, dodając, że brak obowiązku zgłoszenia to „wyjątkowe sytuacje, a administratorzy muszą być w stanie wykazać brak ryzyka”.

Co mówi RODO w sprawie zgłoszeń?

- W RODO są dwa kryteria, które łącznie muszą być spełnione, żeby trzeba było dokonywać zgłoszenia – mówi Sławomir Kowalski, adwokat, partner w _Just_LAW. Jak tłumaczy, pierwsze kryterium to istnienie ryzyka naruszenia praw i wolności podmiotu danych. Poziom ryzyka nie ma tu znaczenia. - Przyjmujemy, że to kryterium jest spełnione, jeżeli występuje jakiekolwiek ryzyko. Drugie kryterium dotyczy tego, na ile prawdopodobne jest, że dane naruszenie wywoła skutek w sferze praw i wolności – wyjaśnia. Jeśli okoliczności naruszenia wskazują, że to prawdopodobieństwo jest małe, naruszenia nie zgłaszamy, jeśli większe niż małe – zgłaszamy.

- Natomiast w poradniku odnajdujemy stanowisko, z którego wynika, że naruszenie nie wymaga zgłoszenia, gdy „można jednoznacznie stwierdzić, że takie ryzyko prawdopodobnie nie wystąpi”. Wymienione w poradniku przykłady skutków naruszenia - takie jak ujawnienie danych publicznie dostępnych lub utracenie danych zaszyfrowanych - także wskazują, że UODO bardzo nisko ustawia poprzeczkę dla kryterium małego prawdopodobieństwa, określając ten poziom jako „brak ryzyka” – wskazuje Kowalski. - Moim zdaniem to jest interpretacja rozszerzająca zakres obowiązku zgłoszenia naruszenia ponad to, co wynika z RODO. Autorzy poradnika zdają się wąsko traktować sytuacje, w których nie mamy do czynienia z zupełnym brakiem ryzyka, ale jest mało prawdopodobne, aby naruszenie wywołało jakikolwiek skutek w sferze praw i wolności podmiotu danych – uważa Sławomir Kowalski.

UODO daje pewność wykładni przepisów RODO

Weronika Olszewska, starszy prawnik w kancelarii DWF Polska Jamka, spodziewa się, że poradnik UODO wpłynie na praktykę obsługi naruszeń wielu administratorów, którzy opierali się na klasyfikacji ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa) z czterostopniową skalą ryzyka: niskie, średnie, wysokie, bardzo wysokie. - Do tej pory wielu administratorów rezygnowało ze zgłoszenia naruszenia organowi nadzorczemu w przypadku, gdy identyfikowali ryzyko jako niskie – wskazuje Olszewska.

Jak stwierdził na łamach DGP dr Mirosław Gumularz, „UODO restrykcyjnie wykłada art. 33 RODO”.

- To, co jest w poradniku, wynika z RODO, gdzie jest napisane, kiedy trzeba zgłaszać naruszenie ochrony danych, jeśli występuje ryzyko dla praw lub wolności. Jak określić przymiotnikowo przyjęte w poradniku stanowisko, nie należy już do organu ochrony danych - mówi prezes UODO Mirosław Wróblewski. Jak podkreśla, najważniejsze, co wynika z bardzo wielu spotkań z administratorami i inspektorami ochrony danych, jest zapewnienie ze strony urzędu pewności wykładni przepisów RODO – i to zadanie spełnia właśnie poradnik, wypracowany w konsultacjach publicznych we współpracy ze Społecznym Zespołem Ekspertów przy prezesie UODO (artykuł Mirosława Wróblewskiego na ten temat opublikujemy w DGP w przyszłym tygodniu).

Sporna przestrzeń małego ryzyka

W praktyce spornym obszarem jest trudno uchwytna przestrzeń między brakiem ryzyka a małym ryzykiem. - Według RODO takie sytuacje nie podlegają notyfikacji, ale prezes UODO w swoim poradniku radzi administratorom, żeby je zgłaszać. W mojej ocenie to jest po prostu rada, uproszczenie rzeczywistości. Jeżeli byłaby to interpretacja przepisu RODO, to moim zdaniem byłaby niezgodna z tym przepisem – stwierdza Kowalski. I dodaje, że byłaby też niezgodna z wytycznymi Europejskiej Rady Ochrony Danych, w których są podane przykłady naruszeń i kwalifikacja, które z nich podlegają obowiązkowi zgłoszenia lub nie.

- Wskazano w nich szereg sytuacji, w których naruszenie powoduje jakieś ryzyko, ale z uwagi na małe prawdopodobieństwo wystąpienia skutków naruszenia nie jest konieczne jego zgłoszenie – dodaje ekspert. Jako przykład podaje wysłanie na niewłaściwy adres e-maila z informacją o statusie zamówienia: z jego numerem, informacją o przedmiocie zamówienia i dostawie oraz imieniem i nazwiskiem zamawiającego. - Nie mamy tu do czynienia z brakiem ryzyka, bo ktoś może chcieć ten adres i dane wykorzystać. Mieści się to jednak w zakresie małego prawdopodobieństwa, dlatego w mojej interpretacji takie naruszenie nie kwalifikuje się do zgłoszenia – analizuje Kowalski.

Jak poradnik UODO definiuje naruszenie ochrony danych osobowych

- Każde naruszenie może stwarzać ryzyko. Pytanie tylko, z jak dużym prawdopodobieństwem - mówi dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński i członek Społecznego Zespołu Ekspertów przy prezesie Urzędu Ochrony Danych Osobowych. Jego zadaniem poradnik przyjmuje pod tym względem szersze spojrzenie niż RODO – tzn. szerzej definiuje przypadki, w których naruszenie podlega zgłoszeniu.

Poradnik szerzej definiuje też samo naruszenie ochrony danych osobowych. RODO mówi, że jest nim „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”. Natomiast w poradniku czytamy o zdarzeniu, które „może doprowadzić” do „nieuprawnionego zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu” do danych.

- Powiedzmy, że administrator ma wątpliwości, czy doszło u niego do wycieku danych. Zewnętrzna firma informatyczna to sprawdza i ustala, że nie ma dowodów ani na to, że był wyciek, ani że go nie było. Zatem nie wiadomo. W takiej sytuacji na gruncie RODO powiedziałbym, że nie było naruszenia – bo nic nie wskazuje, że dane wyciekły. Jednak w oparciu o słowo „może” występujące w poradniku należałoby to już uznać za naruszenie – stwierdza Paweł Litwiński.

Czy decyzje prezesa UODO będą zgodne z poradnikiem?

Jak podkreśla Mirosław Wróblewski, podejście zaprezentowane w poradniku znajdzie odzwierciedlenie w decyzjach prezesa UODO. - Dla administratorów oznacza to przewidywalność działania organu. W poradniku prezentujemy stanowcze stanowisko, ale zgodnie z tymi wytycznymi wszyscy będą traktowani fair – stwierdza.

Czy UODO nie obawia się natłoku zgłoszeń? - Przy i tak rosnącej liczbie naruszeń nie widzę poważnych zagrożeń, które mogłyby wynikać z podejścia zaprezentowanego w poradniku. Ponadto urząd jest dobrze przygotowany, bo od 1 stycznia działa Departament Wstępnej Kontroli Skarg i Naruszeń, selekcjonujący przypadki, które nie rodzą konieczności dalszych postępowań i takie, które wymagają dalszych działań ze strony UODO – odpowiada Wróblewski.

Jak bardzo wzrośnie liczba zgłoszeń do UODO?

Jak przypuszcza Paweł Litwiński, jeśli zasady z poradnika będą powszechnie przestrzegane, liczba zgłoszeń incydentów może wzrosnąć nawet kilkukrotnie. - Jest to trochę wróżenie z fusów – zastrzega. - Z ankiet, które kiedyś przeprowadzałem, wynika, że zgłasza się do UODO ok. 40 stwierdzonych naruszeń. Teraz byłyby to prawie wszystkie. Do tego dojdzie rozszerzenie pojęcia naruszenia – tłumaczy.

- Domyślam się, że przyjmując takie podejście, UODO chce zapewnić większe bezpieczeństwo naszych danych. Ale dokłada pracy administratorom danych. Przedsiębiorcy mogą się też obawiać, że zgłaszanie każdego incydentu, nawet przy małym prawdopodobieństwie ryzyka, sprowadzi na nich kontrole i kary – wskazuje Paweł Litwiński.

Zdaniem Sławomira Kowalskiego za brak zgłoszeń incydentów z małym prawdopodobieństwem ryzyka nie należy się spodziewać wysokich kar. - Myślę, że będą to raczej upomnienia. Można będzie złożyć skargę do sądu i uważam, że na gruncie przepisów i wytycznych EROD taki brak zgłoszenia będzie do obrony – stwierdza.