Kiedy otrzymam odpowiedź na zgłoszenie naruszenia ochrony danych do PUODO?
Odpowiedź jest bardzo prosta: nigdy. Zgłoszenie naruszenia jest czynnością techniczną, na którą Prezes UODO nie ma obowiązku odpowiadać. Jedyną informacją zwrotną może być urzędowe poświadczenie odbioru, jeśli przekazałeś zgłoszenie drogą elektroniczną. Wynika to z faktu, że zgłoszenie naruszenia nie odbywa się w trybie Kodeksu Postępowania Administracyjnego [KPA], tzn. nie powoduje wszczęcia postępowania z urzędu. Jest to bardzo ważne, bo postępowania wiążą się z określonym formalizmem, także w zakresie dotrzymania przez strony postępowania określonych terminów. Szczerze mówiąc – przy aktualnych zasobach i braku automatyzacji procesu analizy naruszeń, konieczność wszczynania postępowań administracyjnych doprowadziłaby do totalnego paraliżu Urzędu Ochrony Danych Osobowych.
Skoro zgłoszenie nie powoduje rozpoczęcia postępowania, to co się z nim dzieje? I skąd dowiem się, że moja sprawa jest zamknięta? Przede wszystkim każde naruszenie jest analizowane pod względem formalnym oraz w zakresie poprawności podjętych przez administratora działań. Jeśli Prezes UODO nie ma wątpliwości lub zastrzeżeń, po prostu rejestruje zgłoszenie i uznaje sprawę za zamkniętą.
Jeżeli jednak naruszenie wymaga uzupełnienia lub wzbudza zainteresowanie urzędników (o tym więcej za chwilę), organ wzywa do złożenia wyjaśnień lub przesyła informacje. Takie działanie jest realizowane w oparciu o uprawnienia organów nadzorczych wynikające z art. 58 ust. ust. 1 lit. a) i e) RODO. W takim wypadku administrator może otrzymać wezwanie do uzupełnienia wniosku, np. mój klient otrzymał wezwanie o opisanie okoliczności naruszenia związane z luką bezpieczeństwa systemu, tzn. jak doszło do tego, że luka nie została załatana na czas. Ponieważ była to podatność typu 0-day, nie było szans na załatanie (łatkę producent wypuścił dwa dni po naruszeniu). Jednak trzeba było się z tego wytłumaczyć organowi. Często też moi klienci po zgłoszeniu naruszenia otrzymują wezwanie do wykazania, że podjęli środki ochrony danych minimalizujące ryzyka związane z naruszeniem, które deklarowali w zgłoszeniu.
Jednak chyba najczęściej PUODO wzywa do ponownego zawiadomienia osoby, której dane dotyczą. Tu przyczyny mogą być różne, chyba najbardziej zaskoczyło mnie stwierdzenie, że klient podał osobie, której dotyczyły naruszenie za mało przykładów możliwych negatywnych skutków (były dwa, a zdaniem organu powinno być co najmniej pięć).
Samo otrzymanie wezwania do złożenia wyjaśnień lub podjęcia określonego działania, nie stanowi postępowania administracyjnego w sprawie naruszenia. Ma to znaczenie dla osób, które dostają w ankietach bezpieczeństwa pytanie, czy wobec nich toczy się takie postępowanie, a oni nie wiedzą co odpowiedzieć. O postępowaniu Prezes UODO musi poinformować strony tego postępowania, zatem dopóki nie dostaniesz powiadomienia, nie wskazujesz w ankietach, że takie postępowanie się toczy.
I jeszcze najważniejsze pytanie: po jakim czasie od zgłoszenia naruszenia otrzymam odpowiedź od Prezesa UODO. Niestety nie ma jednoznacznej odpowiedzi. Być może nigdy. Z mojego subiektywnego naruszenia wynika, że jeśli naruszenie dotyczyło danych, wśród których był PESEL, pismo z uodo przychodziło po 1-3 miesiącach. Klient, który padł ofiarą ataku typu 0-day, otrzymał wezwanie do złożenia wyjaśnień po ponad dwóch latach (tam nie było PESEL-i). W związku z tym należy każde naruszenie skrupulatnie dokumentować, bo po takim czasie może być trudno przypomnieć sobie okoliczności zdarzenia, a tym bardziej to, czy wdrożyliśmy wszystkie środki zaradcze.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
