Poradnik dotyczący naruszeń ochrony danych osobowych: stare czy nowe podejście UODO?
Nowa wersja poradnika „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” spotkała się z ogromnym zainteresowaniem. Aktualizacja stała się okazją do ożywienia dyskusji wokół omawianych w tekście zagadnień.
Wersja 2.0
W ubiegłym miesiącu Prezes UODO opublikował zaktualizowaną wersję poradnika „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”. Odświeżony materiał opracowano we współpracy ze Społecznym Zespołem Ekspertów przy Prezesie UODO. Uwzględniono w nim uwagi zgłoszone w ramach konsultacji społecznych oraz doświadczenia gromadzone w ciągu ponad 6 lat obowiązywania RODO. Nowa wersja poradnika powstała z myślą o szerokim gronie odbiorców. Jego celem było przekazanie podstawowej wiedzy o naruszeniach ochrony danych osobowych także tym osobom, które z przepisami RODO zetknęły się po raz pierwszy. Dlatego podczas pracy nad tekstem szczególnie zadbano, aby został on przygotowany zgodnie z zasadami prostego języka. Przypomnijmy, że pierwszy materiał na ten temat ukazał się w czerwcu 2019 r. O jego znaczeniu oraz powodach zmian pisaliśmy już w „Biuletynie UODO”.
Czy Prezes UODO zmienił podejście?
Aktualizacja poradnika wywołała ogromne zainteresowanie. Ostatnie tygodnie obfitowały w analizy, komentarze oraz ożywione dyskusje na temat naruszeń ochrony danych osobowych i związanych z nimi obowiązków. Reakcje te potwierdziły, że otwarty dialog w tym obszarze jest potrzebny. W przestrzeni publicznej pojawiły się głosy wskazujące na zaostrzenie stanowiska Prezesa UODO m.in. w sprawie rozumienia naruszeń ochrony danych osobowych, wymogu ich zgłaszania czy też roli inspektora ochrony danych przy ich obsłudze. Na przestrzeni lat z pewnością ewoluował sposób, w jaki organ nadzorczy komunikuje swoje oczekiwania czy też formułuje wskazówki dotyczące prawidłowego stosowania przepisów RODO. W rzeczywistości aktualizacja poradnika nie przyniosła jednak żadnych fundamentalnych zmian w podejściu Prezesa UODO do poruszonych w nim kwestii.
Definicja naruszenia ochrony danych osobowych
Jednym z szeroko komentowanych tematów jest sposób, w jaki poradnik odnosi się do pojęcia „naruszenia ochrony danych osobowych”. Zaznaczmy, że materiał nie zastępuje przepisów RODO ani wytycznych EROD. Przeciwnie, jego celem jest przybliżenie źródeł prawa i oficjalnych stanowisk tym administratorom, którzy nie dysponują profesjonalnym wsparciem prawnym, a także wskazanie im kierunków postępowania na wypadek zagrożeń. Zagadnienia podjęte w poradniku zostały jednocześnie przedstawione w szerszym kontekście, uwzględniającym cele omawianych regulacji oraz misję Prezesa UODO, w tym przede wszystkim – skuteczną ochronę osób, których dane dotyczą. Z tej perspektywy wyczulanie administratorów na konieczność zachowania czujności i reagowania na potencjalne zakłócenia bezpieczeństwa danych osobowych na odpowiednio wczesnym etapie jest szczególnie uzasadnione.
Wyjątki od obowiązku notyfikacji
Jedną z ogólnych zasad dotyczących naruszeń ochrony danych osobowych jest konieczność zgłaszania ich organowi nadzorczemu. Wyjątki w tym zakresie zostały omówione w poradniku, jednak spotkały się z pewnymi obawami dotyczącymi potencjalnej „zmiany podejścia”. Pragniemy podkreślić, że stanowisko Prezesa UODO w tej sprawie również pozostaje niezmienne i w podobnym brzmieniu wyrażone zostało już w pierwotnym tekście z 2019 r. Na przestrzeni lat organ nadzorczy skutecznie powoływał się na nie w ramach licznych decyzji administracyjnych, a także precyzował je na łamach „Biuletynu UODO”. Jego słuszność potwierdzona została w orzecznictwie i praktyce innych organów europejskich. Motywacją dla wprowadzonych zmian było zaś m.in. dostosowanie treści poradnika do nowych wytycznych EROD (np. 01/2021, 9/2022) oraz standardów prostego języka. Zgłoszeniu nadal podlegają więc naruszenia ochrony danych osobowych generujące ryzyko dla praw lub wolności osób fizycznych. Zwolnienie z obowiązku następuje wyłącznie w sytuacji, gdy ryzyko takie prawdopodobnie nie wystąpi („brak ryzyka”).
Rola inspektora ochrony danych
Choć znaczenie inspektora ochrony danych to temat wykraczający poza tematykę poradnika, jego rola w obsłudze naruszeń ochrony danych osobowych jest szczególnie istotna. Zagadnienie to było wielokrotnie podejmowane w ramach licznych wystąpień przedstawicieli organu nadzorczego, w tym także w „Biuletynie UODO” (czy też szerzej w niedawnym wydaniu specjalnym). Wskazówki zaprezentowane w materiale stanowią naturalną konsekwencję stanowiska wyrażanego przez Prezesa UODO w ostatnich latach. Również i w tym obszarze tekst nie wprowadził zatem zmian w podejściu organu. Jego istotą jest poszanowanie uregulowanego prawem statusu inspektorów oraz dbałość o przejrzysty i właściwy podział ról.
Świadomość administratorów
Ogromne zainteresowanie i wysoka aktywność w dyskusjach toczących się wokół poradnika to niezwykle pozytywny sygnał świadczący o rosnącej świadomości administratorów i inspektorów ochrony danych na temat bezpieczeństwa przetwarzania oraz prawidłowego stosowania RODO. Cieszymy się, że opublikowany przez Prezesa UODO materiał stał się impulsem do wymiany poglądów, wspólnego poszerzenia wiedzy oraz wyrażenia obaw i wątpliwości dotyczących interpretacji przepisów. Liczymy na to, że poradnik okaże się dla Państwa przydatny, a nadchodzące wydarzenia przyczynią się do dalszego budowania otwartej komunikacji i przede wszystkim – sprawnego systemu ochrony danych osobowych.
fot. Okładka poradnika Obowiązki administratorów związane
z naruszeniami ochrony danych osobowych. Wersja 2.0
