Poradnik Przedsiębiorcy

Zgłoszenie o naruszeniach i organ nadzorczy - ochrona danych osobowych

Organ nadzorczy to przynajmniej jeden organ publiczny chroniący prawa osób w związku z przetwarzaniem danych osobowych. Aktualnie organem sprawującym nadzór nad ochroną danych osobowych jest GIODO. Organów nadzorczych może być więcej niż jeden w państwie. Również zgłoszenie o naruszeniach podlega organom nadzorczym.

Organ ten ma działać niezależnie. Nie będzie mógł podejmować działalności gospodarczej. Powołanie będzie odbywało się w przejrzystej procedurze, aby wybrany był neutralny. Kandydować na ten urząd może osoba posiadająca odpowiednie umiejętności, kwalifikacje w dziedzinie ochrony danych osobowych oraz doświadczenie. Zasady ustanowienia organu nadzorczego określa wprost rozporządzenie RODO. Tzw. wiodący organ nadzorczy będzie wspierał organy powołane w większej liczbie. Celem ich powołania będzie skuteczna współpraca państw członkowskich, a to ma przyczynić się bezpośrednio do zwiększenia bezpieczeństwa ochrony danych osobowych na terenie UE.

Organy nadzorcze w każdym państwie UE będą miały takie same zadania i uprawnienia.

Uwaga!

Do 25 maja 2018 roku Polska będzie musiała zawiadomić organy UE o przyjętych zmianach w prawie oraz - tak jak każde państwo członkowskie - ustanowić organ nadzorczy.

Kompetencje organu nadzorczego

Do przykładowych kompetencji organu nadzorczego w związku z ochroną przetwarzania danych przez przedsiębiorcę będą należeć:

  • prowadzenie postępowań wyjaśniających
  • prowadzenie postępowań naprawczych
  • współpraca z innymi organami nadzoru państw członkowskich
  • nakładanie kar
  • udzielanie zezwoleń (w tym na klauzule umowne) i zaleceń
  • przyjmowanie standardowych klauzul
  • prowadzenie wykazów oceny skutków naruszeń
  • zachęcanie do sporządzania kodeksów postępowania
  • zachęcanie do ustanawiania mechanizmów certyfikacji
  • publikowanie kryteriów akredytacji kodeksów postępowań
  • zatwierdzanie wiążących reguł korporacyjnych
  • branie udziału w pracach Europejskiej Rady Ochrony Danych
  • prowadzenie wewnętrznych rejestrów naruszeń
  • doradztwo
  • udzielanie uprzednich konsultacji
  • monitorowanie przestrzegania wdrożonego kodeksu postępowań
  • doradztwo
  • zgłoszenie o naruszeniach organom wymiaru sprawiedliwości
  • wprowadzenie czasowego lub definitywnego ograniczenia przetwarzania danych
  • egzekwowanie przepisów rozporządzenia unijnego o ochronie danych osobowych
  • upowszechnianie wiedzy w społeczeństwie
  • przyjmowanie skarg
  • udostępnianie rejestrów od administratorów i podmiotu przetwarzającego dane.


Państwa członkowskie (władze) będą mogły określić dodatkowe kompetencje organu nadzorczego, zgodne z prawem UE i prawem wewnętrznym (krajowym), niesprzecznym z rozporządzeniem. Nie powinni jednak wykraczać poza pewne ramy proceduralne. Będzie wymagane od państw członkowskich stanie na straży przestrzegania niniejszego rozporządzenia. Po powyższych kompetencjach można wnioskować o nowych obowiązkach i odpowiedzialności przedsiębiorcy będącego podmiotem przetwarzającym dane w swojej firmie względem państwa i UE. Do obowiązków przedsiębiorców będzie należeć stosowanie dobrych praktyk, minimalizowanie powstawania incydentów na danych osobowych, tworzenie dokumentacji z czynności z danymi osobowymi, tworzenie wykazów powierzeń, przygotowywanie zestawień zbiorów, informowanie osób, których przetwarzane dane dotyczą, zawieranie umów powierzenia przetwarzania danych osobowych, rozsądny marketing, pseudonimowanie i szyfrowanie danych oraz właściwe ich zabezpieczenie, jeśli są w formie papierowej.

Organ nadzorczy będzie egzekwował i stosował przepisy RODO. Dlatego ważne, aby dobrze przygotować się na nadchodzące zmiany.

Obowiązki związane z przetwarzaniem danych osobowych

Przedsiębiorcy, tworząc ocenę skutków dla ochrony danych, która to będzie ich nowym obowiązkiem, będą zobligowani również do konsultacji jej wyniku z organem nadzorczym, szczególnie kiedy nie posiadają w swoim przedsiębiorstwie właściwych technicznych możliwości bezpieczeństwa danych. Ponadto konsultacje z organem nadzorczym powinny być pomocą dla administratorów danych osobowych, np. przy przygotowywaniu aktu w postaci kodeksu postępowania, który w rozporządzeniu RODO jest zalecany każdemu przedsiębiorstwu przetwarzającemu dane osobowe.

Ocena ryzyka przetwarzania danych osobowych

Bezpieczeństwo przetwarzania danych powinno odbywać się z uwzględnieniem aktualnego stanu wiedzy technicznej. Stopień bezpieczeństwa powinien być właściwy dla skali ryzyka w przetwarzaniu danych osobowych.

Bezpieczeństwo przetwarzania danych osobowych może być zagwarantowane poprzez:

  • pseudonimizację - czyli szyfrowanie danych osbowych

  • stałe zapewnienie poufności, integralności i odporności systemów przetwarzających dane

  • możliwość szybkiego przywrócenia dostępu do danych w razie incydentów

  • regularne testowanie i ocenianie środków technicznych zapewniających bezpieczeństwo.

W związku z powyższym tak istotne jest zapewnienie odpowiedniego zaplecza technicznego i osób o właściwych kompetencjach w swoim przedsiębiorstwie. Koniecznym wydaje się szkolenie dla wszystkich pracowników, nawet tych niebezpośrednio przetwarzających dane osobowe w firmie.

Przykład 1.

Jeśli pracownicy biura rachunkowego drukują dokumenty zawierające dane osobowe klientów firmy, nie powinni oni pozostawiać ich w drukarce przez dłuższy czas, ponieważ mogłoby to spowodować dostęp do danych osobowych przez osoby niepowołane.

Bardzo ważna jest ocena ryzyka związanego z przetwarzaniem danych osobowych. Będzie mogła podlegać konsultacji z opisanym wyżej organem nadzorczym, który egzekwuje prawo, dlatego warto przygotować się na współpracę i wystrzegać się:

  • przypadkowego i niezgodnego z prawem zniszczenia danych osobowych

  • utraty danych osobowych

  • modyfikacji danych z własnej inicjatywy

  • nieuprawnionego ujawnienia innej osobie danych osobowych

  • nieuprawnionego dostępu innych osób do danych

  • niewłaściwego przechowywania danych osobowych.

Wypracowanie postępowania względem danych osobowych może okazać się pomocne. Rozporządzenie proponuje stworzenie właściwych kodeksów postępowania i mechanizmów działań, obligując tym samym organy nadzorcze do ich kontroli.

Zgłoszenie o naruszeniach ochrony danych osobowych

Kluczem jednak do właściwego przetwarzania danych jest obowiązek zgłoszenia wszelkich naruszeń. Będzie dotyczył zarówno administratorów, jak i osoby przetwarzające dane, nawet jeśli nie wywołały żadnych negatywnych skutków dla osoby, której dane dotyczą.

W razie naruszenia ochrony danych osobowych fakt ten będzie podlegał zgłoszeniu organowi nadzorczemu.  Nie będzie natomiast wymagał zgłoszenia, jeśli ryzyko naruszenia praw i wolności jest mało prawdopodobne.

Jeżeli jednak ryzyko jest znaczne, będzie należało je zgłosić w ciągu 72 godzin organowi nadzorczemu, a po upływie tego okresu będzie wymagane również dołączenie stosownych wyjaśnień i przyczyn opóźnienia zgłoszenia. Ma to charakter dowodowy, dokumentacja pozwoli organowi nadzorczemu rozstrzygnąć, czy zostały zrealizowane zasady bezpieczeństwa danych osobowych i czy stosowne będzie nałożenie kary - a kary będą znaczne!

Zgłoszenie organowi nadzorczemu o naruszeniu powinno zawierać:

  • opis naruszenia, kategorie i liczbę osób, których dane dotyczą

  • dane inspektora ochrony danych.

Kolejnym etapem jest zawiadomienie osób, których dane dotyczą, o wystąpieniu takiego naruszenia.  Zawiadamia się je, gdy ryzyko naruszenia praw i wolności osób fizycznych jest wysokie. Dokonuje tego administrator danych osobowych. Zawiadomienie o incydencie osoby, której dane dotyczą, musi zawierać te same elementy jak w przypadku, gdy zgłaszane jest to organowi nadzorczemu ale z pominięciem opisu charakteru naruszenia i wykazywania innych, pozostałych osób, których naruszenie dotyczy.

Nie występuje konieczność zawiadamiania osoby, gdy:

  • administrator wcześniej zastosował środki szyfrujące dane  (pseudonimizacja),

  • wyeliminował prawdopodobieństwo wysokiego ryzyka naruszenia (dokonał oceny),

  • uczyniłby niewspółmierny wysiłek dla poinformowania z osobna każdej osoby, której dotyczyłoby naruszenie (wówczas wydaje publiczny komunikat).