RODO: naruszenie zasad przetwarzania danych osobowych trzeba zgłaszać

Należy oddzielić obowiązki administratora danych osobowych dotyczące zgłoszenia incydentu i zawiadomienia o nim od odpowiedzialności za sam incydent.

Na gruncie RODO wszyscy administratorzy danych osobowych mają obowiązek zgłaszania przypadków naruszania ochrony danych osobowych właściwemu organowi. Zgłoszenie nie musi zostać wysłane, gdy jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. Niemniej w sytuacji, gdy administrator nie może tak zakwalifikować zaistniałego incydentu, powinien w ciągu 72 godzin zgłosić zdarzenie. W Polsce organem właściwym jest Prezes Urzędu Ochrony Danych Osobowych.

PONIŻEJ DALSZA CZĘŚĆ ARTYKUŁU

Trzeba także pamiętać, że z naruszeniem może wiązać się obowiązek zawiadomienia o incydencie osób, których dane osobowe zostały nim objęte. Taki obowiązek aktualizuje się, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności tych osób. Zawiadomienie powinno być zrealizowane bez zbędnej zwłoki.

OBOWIĄZKI ADMINISTRATORA

Realizacja opisanych obowiązków nie należy do najłatwiejszych. Czasem powstaje nawet pytanie, kto powinien incydent zgłosić. Odpowiedź wydaje się być trudniejsza, gdy incydent dotyka systemów informatycznych całej grupy przedsiębiorstw – tzn. systemów, serwerów, stacji roboczych, które służą do obsługi wszystkich spółek z grupy.

Należy podkreślić, że opisane obowiązki spoczywają na każdym administratorze danych osobowych.

Administrator to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Zatem administrator samodzielnie lub wspólnie z innymi podmiotami decyduje, dlaczego i w jaki sposób przetwarzane są dane osobowe.

Administrator może podejmować decyzje o przetwarzaniu danych samodzielnie. Może być też tak, że w ramach całego lub części procesu przetwarzania danych osobowych decyzje te podejmowane są łącznie z innym podmiotem. W takim przypadku mamy do czynienia ze współadministrowaniem.

Rola danego podmiotu w procesie przetwarzania nie wynika z ustaleń umownych, lecz z  właściwości konkretnego procesu. Umownie nie można stać się (przestać być) administratorem, jeżeli określony status nie wynika z okoliczności przetwarzania.

Administratorem danych osobowych nie jest tzw. procesor. Status procesora ma podmiot, który przetwarza dane osobowe w celach i w sposób determinowany przez inny podmiot, czyli administratora danych. Cele i sposoby przetwarzania danych są procesorowi niejako narzucane umową.

Należy oddzielić obowiązki administratora dotyczące zgłoszenia incydentu i zawiadomienia o nim od odpowiedzialności za sam incydent. RODO przewiduje taką odpowiedzialność, niezależnie od odpowiedzialności samego administratora.

PRZETWARZANIE W GRUPIE

Zgodnie z RODO grupa przedsiębiorstw to przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane. Należy podkreślić, że sam fakt bycia członkiem grupy przedsiębiorstw nie pozbawia kontrolowanej spółki statusu administratora. Spółka należąca do grupy przedsiębiorstw jest administratorem danych osobowych, jeżeli samodzielnie lub wspólnie z innymi spółkami (z grupy lub spoza grupy) decyduje o celach i sposobach przetwarzania.

W grupie przedsiębiorstw mogą występować różne relacje w zakresie przetwarzania danych osobowych lub transferu tych danych pomiędzy spółkami. Współadministrowanie nie musi być regułą, choć w wielu przypadkach jest nieuniknione.

Określone dane osobowe mogą być przetwarzane wyłącznie przez jedną spółkę; inne spółki z grupy są wówczas pozbawione dostępu do określonego zbioru danych. Taki przypadek może wystąpić nawet, jeżeli spółka ta jest ściśle powiązana z inną spółką lub jest przez nią kontrolowana. Mowa tu np. o sytuacji przetwarzania danych osobowych przez komisję socjalną w ramach przyznawania świadczeń z zakładowego funduszu świadczeń socjalnych dla pracownika w związku z trudną sytuacją rodzinną. W takiej sytuacji obowiązki zgłoszenia ewentualnego incydentu obciążają spółkę będącą samodzielnym administratorem.

Może być też tak, że spółka korzysta ze wsparcia innej spółki z grupy np. w zakresie IT. Możemy wtedy dostrzec relacje polegające na powierzeniu danych do przetwarzania. Jak podkreślono wyżej, spółka, której dane są powierzane, nie staje się administratorem danych. Zgłoszenie incydentu obciąża wtedy administratora, który powierzył dane procesorowi. Niemniej jeżeli incydent był związany z działaniami procesora, procesor powinien być wskazany w zgłoszeniu.

Spółka działająca w ramach grupy może także udostępniać dane osobowe innej spółce z grupy, jednak nie w ramach wspólnych celów przetwarzania, lecz na cele odmienne. Dla takiego udostępnienia należy oczywiście ustalić podstawę legalizującą przetwarzanie.

RODO ułatwia przekazywanie danych osobowych w ramach grupy przedsiębiorstw. W motywie 48 znajduje się przepis stanowiący, że administratorzy, którzy są częścią grupy, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych. Przytoczone unormowanie odnosi się m.in. do przetwarzania danych osobowych klientów lub pracowników. Zgłoszenie incydentu dotyczy wtedy każdego z administratorów.

WSPÓLNY RAPORT

Przypadkiem często występującym w grupie przedsiębiorstw jest sytuacja współadministrowania danymi osobowymi. Współadministratorzy to ciągle administratorzy danych. Obowiązek związany ze zgłoszeniem incydentu obciąża każdego z nich.

Niemniej, na gruncie art. 26 ust. 1 RODO, współadministratorzy mogą ustalić, że w zakresie obowiązków związanych z raportowaniem incydentów odpowiedzialność spoczywa na jednym z nim. Kłopot w tym, że nie ma jasnych regulacji, które przesądzałyby, czy takie ustalenia są wiążące dla organu. Ponadto pojawiają się również głosy w doktrynie, że podział obowiązków współadministratorów nie może być całkowicie dowolny. Jeżeli okoliczności faktyczne wskazują na istotne zaangażowanie w dany proces jednego ze współadministratorów, nie może on całości obowiązków związanych z tym procesem przerzucić na innego współadministratora.

W konkretnych okolicznościach bezpieczniejsze może być zgłoszenie incydentu przez wszystkich współadministratorów.

INCYDENT GRUPOWY

Zdarzają się incydenty, które dotykają systemów informatycznych całej grupy. Zainfekowane są wtedy serwery różnych spółek. Pojawić się może pytanie, czy obowiązek zgłoszenia incydentu oraz podjęcia dalszych działań dotyczy wyłącznie centrali, tj. przedsiębiorstwa sprawującego kontrolę?

Należy z całą stanowczością odpowiedzieć, że nie. Jeżeli spółka kontrolowana jest administratorem danych, zgłoszenie incydentu oraz dalsze działania naprawcze obciążają również tę spółkę.

Pozostawanie w grupie przedsiębiorstw ma wpływ na obowiązki poszczególnych przedsiębiorstw w kilku kontekstach. Chodzi, po pierwsze, o możliwość ustanowienia wspólnego inspektora ochrony danych. Po drugie, w ramach grupy można ustanowić tzw. wiążące reguły korporacyjne, które umożliwiają legalny transfer danych poza EOG. Ponadto w grupie ułatwiony jest transfer danych pomiędzy spółkami na podstawie prawnie uzasadnionego interesu dotyczącego wewnętrznych celów administracyjnych.

Pozostawanie w grupie przedsiębiorstw nie zwalnia polskiej spółki z kapitałem zagranicznym z obowiązku zgłaszania, czy szerzej – reakcji na incydenty związane z ochroną danych osobowych, w stosunku do których spółka ta jest administratorem.

Należy też zauważyć, że – nawet przy współadministrowaniu danymi – perspektywa lokalna ma znaczenie dla oceny skutków incydentu w zakresie potencjalnego naruszenia interesów lub praw osób fizycznych. Jest to istotne w przypadku oceny, czy incydent w ogóle powinien być zgłoszony oraz czy o incydencie powinny być powiadomione osoby, których dane dotyczą.

SZYMON SZURGACZ RADCA PRAWNY SENDERO KANIA, LUBASZKA, MICHALSKI I WSPÓLNICY SP.K.

Polska spółka z kapitałem zagranicznym jest zazwyczaj w dużym stopniu uzależniona – finansowo czy w zakresie podejmowania kluczowych decyzji – od swoich właścicieli. Najczęściej właścicielem jest inna spółka lub spółki z grupy. Ta zależność nie pozbawia jednak polskiej spółki statusu administratora danych, jeżeli spółka samodzielnie lub wspólnie z innymi podmiotami decyduje o celach i sposobach przetwarzania danych osobowych. Gdy pojawia się incydent związany z ochroną danych, który dotyka całej grupy, nie wystarczy reakcja spółki kontrolującej pozostałe spółki w grupie. Polska spółka powinna wypełnić swoje obowiązki związane ze zgłoszeniem incydentu, powiadomieniem osób, których dane dotyczą, oraz przedsięwziąć właściwe środki zaradcze na przyszłość.

Artykuł został opublikowany w internetowym i papierowym wydaniu dziennika ,,Rzeczpospolita”

Czytaj także: Monitorowanie i egzekwowanie stosowania przepisów RODO