Dyrektywa NIS2 [1] to jedno z głośniejszych haseł w ostatnim czasie. To już (raczej) powszechnie znany fakt, iż konieczność implementacji dyrektywy NIS2 w ramach przepisów krajowych, wiąże się ze znaczącym rozszerzeniem kręgu podmiotów, które będą zobowiązane do wdrożenia obowiązków wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa [2]. Na ustawę, dzięki której regulacje z dyrektywy NIS2 zostaną wprowadzone do naszego porządku prawnego, jeszcze musimy poczekać. Na stan obecny, na podstawie najświeższego projektu ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa [3], możemy wyłącznie przewidywać, jak będzie klarował się przyszły stan prawny. Jako, iż na finalny kształt przepisów musimy poczekać, uwagi wymaga […]
Czy wstępne (niekompletne) zgłoszenie naruszenia ochrony danych do PUODO jest możliwe?
28 maja 2024 | Lidia Mucha
Stwierdzenie naruszenia ochrony danych osobowych i wiążące się z nim konsekwencje to nie lada orzech do zgryzienia dla każdej organizacji, w szczególności, gdy z analizy zaistniałego zdarzenia wynika konieczność dokonania jego zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. Niejednokrotnie zdarza się także, iż administrator danych nie posiada wiedzy o wszystkich okolicznościach, które wymagają notyfikacji do organu nadzorczego. W takiej sytuacji, rozwiązaniem jest dokonanie tzw. wstępnego zgłoszenia.
Jakie korzyści daje zgłoszenie wstępne?
Możliwość dokonania zgłoszenia wstępnego przewiduje już samo RODO. Zostało ono przewidziane w art. 33 ust. 4 rozporządzenia unijnego ws. ochrony danych osobowych, na wypadek gdy administrator nie dysponuje wszystkimi informacjami potrzebnymi do dokonania zgłoszenia kompletnego. Co istotne, zgłoszenie wstępne powinno zostać dokonane w terminie określonym w RODO – tj. niezwłocznie, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Pozostałe informacje powinny być przesyłane sukcesywnie, bez zbędnej zwłoki, w ramach zgłoszenia uzupełniającego. Dopuszczalność takiego rozwiązania została potwierdzona przez Prezesa Urzędu Ochrony Danych Osobowych w poradniku „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” [1]. Co prawda, organ nadzorczy ogłosił niedawno, iż poradnik ulegnie aktualizacji, niemniej raczej wątpliwe, iż w tym zakresie stanowisko organu ulegnie zmianie [2].
Podkreślenia wymaga, iż możliwość dokonania zgłoszenia wstępnego nie powinna być wykorzystywana w niewłaściwy sposób, w szczególności w celu zamierzonego opóźnienia podania niekorzystnych dla administratora informacji. Praktyka organu pokazuje, iż okoliczność taka w szybki i łatwy sposób jest przez niego weryfikowana i (słusznie) oceniana negatywnie. Dlatego też, rekomendowane jest transparentne przekazanie wszelkich istotnych i wymaganych informacji w czasie, gdy jest to możliwe, oczywiście mieszcząc się w ramach czasowych nakreślonych przez RODO. Zasygnalizowania wymaga bowiem okoliczność tego, iż przepisy RODO przewidują możliwość nałożenia na administratora danych administracyjnej kary pieniężnej nie tylko za sam fakt naruszenia ochrony danych, ale także w sytuacji niezachowania terminu realizacji obowiązku notyfikacyjnego czy za brak współpracy z organem nadzorczym.
Cyberataki, a zgłoszenie naruszenia do PUODO
O ile przypadkowy, wewnętrzny incydent z zakresu bezpieczeństwa danych osobowych, co do zasady, jest niegroźny, tak zamierzone ataki cyberprzestępców stanowią poważne zagrożenie. Jednym z najczęściej stosowanych cyberataków jest phishing, czyli – w modelowym (klasycznym) ujęciu podszywanie się pod podmioty zaufane w celu pozyskania danych z wykorzystaniem poczty elektronicznej lub stron internetowych. Według raportu CERT POLSKA za 2023r., organizacja ta otrzymała w ubiegłym roku łącznie 95 696 zgłoszeń phishingu w polskich sieciach. Ta liczba zatrważa, tym bardziej z uwagi na to, iż dotyczy ona pshigingu w tradycyjnym ujęciu, i nie oddaje skali innych ataków które kwalifikują się pod tę kategorię cyberataku, na przykład podszywania się pod dostawców faktur w celu dystrybucji złośliwego oprogramowania [3]. Nie ulega wątpliwości, iż cyberataki stawiają sobie najczęściej za cel uzyskanie dostępu do danych istotnych dla organizacji, w tym informacji stanowiących dane osobowe. Tym samym, niejednokrotnie będą one wpisywały się w definicję naruszenia ochrony danych osobowych, które będzie podlegało obowiązkowi jego notyfikacji do PUODO. Tego typu zdarzenia najczęściej są złożone i zebranie wszystkich potrzebnych informacji do dokonania pełnego zgłoszenia może być wyjątkowo utrudnione lub niemożliwe w tak ograniczonym czasie, jakie określa RODO. W takim przypadku zasadne jest wówczas dokonanie zgłoszenia wstępnego, dzięki któremu administrator ma możliwość zachowania terminów wymaganych przez RODO dla obowiązku zgłoszenia naruszenia.
[1] „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” – poradnik z 2019r. wersja 1.0
[2] zgodnie z komunikatem opublikowanym na stronie UODO: https://uodo.gov.pl/pl/138/3098, ostatni dostęp: 28 maja 2024r. g. 22:07
[3] raport CERT POLSKA za 2023r., opublikowany 17 kwietnia 2024r., dostępny pod adresem: https://www.nask.pl/pl/raporty/raporty/5381,RAPORT-CERT-2023.html, ostatni dostęp: 28 maja 2024r. g. 22:07
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.