24 godziny na zgłaszanie incydentów do GIODO. Prawda czy fałsz?

e-ochronadanych - zgłaszanie incydentów do GIODO

Często otrzymujemy pytania dotyczące obowiązku poinformowania przez administratora danych (czyli np. przez spółkę) Generalnego Inspektora Ochrony Danych Osobowych o wystąpieniu incydentu w procesie przetwarzania danych osobowych. Jak informują niektóre źródła, obowiązek ten powinien zostać zrealizowany w terminie 24 godzin od pozyskania przez administratora danych informacji o uchybieniu. Wielu Czytelników pyta również, czy fakt powołania administratora bezpieczeństwa informacji, wpływa w jakikolwiek sposób na opisany powyżej obowiązek. Wyjaśniamy, czy rzeczywiście w przypadku powstania incydentu administrator danych jest zobowiązany do niezwłocznego powiadomienia GIODO o zdarzeniu.

Ustawa o ochronie danych osobowych a zgłaszanie incydentów do GIODO

Ustawa o ochronie danych osobowych nie nakłada na administratorów danych jakiegokolwiek obowiązku informowania organu kontroli (GIODO) o zidentyfikowanych uchybieniach we własnej działalności. Żadnej zmiany w tym zakresie nie wprowadziła również nowelizacja tejże ustawy która weszła w życie 1 stycznia 2015 r. Powołanie ABI (bądź jego brak) nic w tym zakresie nie zmienia. Z obowiązkiem informowania GIODO o incydencie związanym z przetwarzaniem danych osobowych, nie należy utożsamiać obowiązku przeprowadzenia sprawdzenia zgodności przetwarzania danych osobowych na żądanie GIODO, o którym mowa w art. 19b ustawy o ochronie danych osobowych. Generalny Inspektor może bowiem zwrócić się do ABI o przeprowadzenie sprawdzenia, określając jego zakres oraz termin w którym powinno zostać zakończone. Taka decyzja jest podejmowana przez organ z urzędu i w żaden sposób nie może stanowić podstawy do stawiania tezy o obowiązku informowania przez administratora danych (ewentualnie przez ABI, jeśli jest powołany) GIODO incydentach w procesie przetwarzania danych osobowych.

Jak rodzi się plotka?

Trudno wskazać jednoznacznie dlaczego, ponad rok od nowelizacji ustawy o ochronie danych osobowych z 1 stycznia 2015 r., informacje o rzekomym obowiązku informowania GIODO, regularnie pojawią się w trakcie różnego rodzaju dyskusji. Przypuszczam, że może to być efekt niewłaściwego przeniesienia regulacji odnoszących się do prawa telekomunikacyjnego na płaszczyznę ochrony danych osobowych. Ustawa prawo telekomunikacyjne, w zgodzie z normami zawartymi w Rozporządzeniu Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych oraz w Dyrektywie 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (art. 2 Rozporządzenia), nakłada na dostawców publicznie dostępnych usług telekomunikacyjnych obowiązek poinformowania organu kontroli (GIODO) o każdym przypadku naruszenia danych osobowych w terminie maksymalnie 24 godzin od momentu wykrycia uchybienia. GIODO wyjaśnia, co należy rozumieć pod pojęciem „naruszenia danych osobowych”; zdaniem organu będzie to każde przypadkowe lub bezprawne zniszczenie, utrata, zmiana, nieuprawnione ujawnienie lub dostęp do danych osobowych, przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych (źródło  http://www.giodo.gov.pl/1520190/).

Zatem „legendarny” obowiązek informowania GIODO o naruszeniu zasad przetwarzania danych osobowych nie jest to obowiązkiem powszechnym. Odnosi się on wyłącznie do przedsiębiorców telekomunikacyjnych i wynika z przepisów regulujących obszar prawa telekomunikacyjnego.

Jak reagować na incydenty przy przetwarzaniu danych?

Brak powszechnego obowiązku informowania GIODO o zidentyfikowanych przypadkach naruszenia zasad przetwarzania danych osobowych nie oznacza, że administrator danych lub ABI mogą lekceważyć zaistniałe incydenty. Należy pamiętać, że każde naruszenie może skutkować odpowiedzialnością karną, a po wejściu w życie rozporządzenia ogólnego nałożeniem przez regulatora kary finansowej (więcej na temat wielkiej nowelizacji przepisów dotyczących ochrony danych osobowych znaleźć można pod adresem https://e-ochronadanych.pl/habemus-gdpr/). Dodatkowo każdy przypadek naruszenia bezpieczeństwa danych osobowych (np. wyciek) to olbrzymi cios wizerunkowy dla przedsiębiorstwa. Zatem, w razie zaistnienia incydentu, osoby odpowiedzialne (zwłaszcza ABI) powinny podjąć niezwłocznie wszelkie działania, zmierzające nie tylko do usunięcia skutków uchybienia, ale również wdrożenia planu naprawczego, aby w przyszłości uniknąć podobnych wypadków. Ustawodawca wyposażył w tym celu ABI w możliwość przeprowadzenia sprawdzenia doraźnego, przeprowadzanego właśnie na wypadek wystąpienia naruszeń. W celu budowania wysokich standardów przetwarzania danych osobowych, ABI powinni pamiętać (i korzystać) z możliwości przeprowadzenia kontroli wewnętrznej.

About Marcin Cwener 11 Articles
Prawnik, Administrator Bezpieczeństwa Informacji. Absolwent Wydziału Prawa i Administracji Uniwersytetu Szczecińskiego oraz studiów podyplomowych na kierunku „Zarządzanie Bezpieczeństwem Informacji” w Szkole Głównej Handlowej w Warszawie. W latach 2012-2013 pracownik Departamentu Orzecznictwa, Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych, gdzie zajmował się prowadzeniem postępowań administracyjnych w zakresie skarg na nieprawidłowości w procesie przetwarzania danych osobowych. Doświadczony audytor i szkoleniowiec. Autor licznych artykułów z zakresu ochrony danych osobowych. Do jego szczególnych zainteresowań należy kwestia powiązań ustawy o ochronie danych osobowych z prawem bankowym oraz prawem pracy. Jego prywatną pasją jest prawo karne oraz rodzinne.