Gdzie znajdę przystępnie podane, różnorodne informacje prawne?

Centrum prasowe DZP.

Krytyczne 72 godziny

16.03.2021

Autorzy:
Michał Kluska
Aleksandra Zomerska

Przewidziany w przepisach RODO wymóg zgłoszenia naruszenia ochrony danych osobowych w ciągu 72 godzin od jego stwierdzenia pokazuje tym samym dobitnie, że są takie obszary działania przedsiębiorstwa (administratora), które nie tylko potrzebują „uszytych na miarę” procedur, szkoleń, inwestycji w infrastrukturę, ale także efektywnego dialogu pomiędzy działem IT a inspektorem ochrony danych, czy też prawnikami wyspecjalizowanymi w doradztwie z zakresu ochrony danych osobowych.

Bezpośrednią inspiracją do napisania tego artykułu jest doświadczenie autorów w obszarze obsługi niemalże kilkuset naruszeń ochrony danych osobowych w okresie ostatnich 3 lat, a także głośne decyzje Prezesa Urzędu Ochrony Danych Osobowych nakładające administracyjne kary pieniężne na przedsiębiorstwa, które nie wdrożyły odpowiednich zabezpieczeń systemów informatycznych lub spóźniły się z reakcją na naruszenie ochrony danych osobowych.

Kluczem jest informacja

Wiedza oraz doświadczenie w zakresie obsługi incydentów bezpieczeństwa danych osobowych pracowników lub doradcy prawnego administratora, decydują o tym, czy konkretne zdarzenie zostanie prawidłowo zakwalifikowane jako naruszenie ochrony danych osobowych w rozumieniu przepisów RODO. Przyznać przy tym trzeba, że jest do zadanie niezwykle trudne. Oceniając konkretne zdarzenie nie można bowiem polegać na swojej subiektywnej opinii, lecz dla przyjętej kwalifikacji należy znaleźć uzasadnienie w przepisach prawa oraz praktyce Prezesa UODO. Pozostawiając na boku samą definicję naruszenia ochrony danych osobowych, a skupiając się jedynie na aspekcie praktycznym omawianego zagadnienia, zwracamy uwagę, że prawidłowa identyfikacja i reakcja na naruszenie ochrony danych osobowych jest dopiero możliwa, gdy incydent zostanie administratorowi zgłoszony. Twierdzenie banalne, ale jakże istotne z perspektywy zachowania krytycznego terminu 72 godzin na zgłoszenie naruszenia. Z rozmów z działami IT dowiadujemy się, że pracownicy tych działów nie sygnalizują o podejrzeniu naruszenia ochrony danych osobowych, ponieważ w pierwszej kolejności z aptekarską dokładnością ustalają szczegóły zdarzenia, potem natomiast informują o nim inspektora ochrony danych albo inną osobę wyznaczoną ds. danych osobowych, czy też sytuacji kryzysowych. Jest to podejście błędne, ponieważ prowadzi do przekroczenia terminu krytycznych 72 godzin, a jak wiadomo terminy w urzędach to rzecz święta. Reakcja na podejrzenie naruszenia ochrony danych osobowych powinna być odmienna. Oznacza to, że specjaliści z zakresu danych osobowych (np. inspektor ochrony danych, wyspecjalizowani doradcy prawni) powinni zostać włączeni w ocenę zdarzenia (potencjalnego naruszenia ochrony danych osobowych) od razu po jego zidentyfikowaniu. Innymi słowy, przepływ informacji pomiędzy światem IT a światem doradców prawnych powinien nastąpić natychmiastowo.

Dalszą część artykułu Michała Kluski, Counsela, oraz Aleksandry Zomerskiej, Associate, z zespołu ochrony danych osobowych, przeczytają Państwo na stronie itwiz.pl.

Bądź na bieżąco z DZP