Autor: Kancelaria CMS
Autor: Zespół CMS w składzie: Tomasz Koryzma, Damian Karwala, Adriana Zdanowicz – Leśniak, Agnieszka Górecka, Dominika Tyc, Magdalena Zajęcka, Agnieszka Czopska, Weronika Piwowarska.
Poradnik „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” (wersja 1.0, czerwiec 2019 r.)
Temat uwagi
Naruszenia transgraniczne
Obecne stanowisko UODO
Brak uwzględniania w odpowiednim zakresie specyfiki związanej z naruszeniami transgranicznymi (zarówno w Poradniku oraz w praktyce Urzędu)
Propozycja zmian
Specyfika związana z naruszeniami transgranicznymi wymaga pełniejszego uwzględnienia zarówno w treści Poradnika, jak również w praktyce Urzędu
Uwagi dodatkowe
Aktualna wersja Poradnika odnosi się (str. 7) do zagadnienia związanego z naruszeniami transgranicznymi, tzn. sytuacjami, gdy naruszenie dotyczy danych osób (podmiotów danych) z różnych krajów. Jednakże zagadnienie to zostało uwzględnione w sposób skrótowy (ograniczony zasadniczo do odesłania do odpowiednich wytycznych EROD), a co istotniejsze – nie wydaje się, aby było ono w odpowiedni sposób respektowane w praktyce Urzędu.
Zagadnienie to pojawia się m.in. w związku z coraz powszechniejszymi atakami hackerskimi (w szczególności atakami typu ransomware), które dotykają zasobów centralnych (systemów IT, baz danych) współdzielonych przez spółki/podmioty z grupy kapitałowej w celu przetwarzania danych pracowniczych lub innego rodzaju danych (np. o klientach, kontrahentach). Z doświadczeń praktycznych wynika, że w praktyce zagranicznych organów nadzorczych tego rodzaju sytuacje kwalifikowane są (co do zasady) jako naruszenia transgraniczne, które wymagają zgłoszenia wyłącznie do (jednego) wiodącego organu nadzorczego.
Tymczasem praktyka Urzędu wskazuje na konieczność dodatkowego „lokalnego” zgłoszenia (tj. do Prezesa UODO, niezależnie od zgłoszenia do wiodącego organu nadzorczego), w szczególności, gdy naruszenie dotyczy polskich pracowników (przy czym – jak rozumiemy, bazując w tym zakresie również na doświadczeniach praktycznych – argumentem dla takiego podejścia miałoby być przede wszystkim obywatelstwo podmiotów danych).
Przedmiotowa kwestia i podejście Urzędu do tzw. naruszeń transgranicznych wymaga dodatkowej analizy, z uwzględnieniem wytycznych EROD oraz praktyki pozostałych krajowych organów nadzorczych.
Temat uwagi
Ataki typu ransomware oraz inne zaawansowane ataki hackerskie
Obecne stanowisko UODO
Brak uwzględniania w Poradniku w odpowiednim zakresie specyfiki związanej z atakami typu ransomware oraz innymi zaawansowanymi atakami hackerskimi (np. w kontekście ich identyfikacji, zgłaszania w związku z nimi naruszeń do Prezesa UODO oraz dalszego ich wyjaśniania, zarówno wewnętrznie oraz z udziałem Urzędu)
Propozycja zmian
Uzupełnienie Poradnika z uwzględnieniem specyfiki określonych typów ataków hackerskich, w szczególności tych najbardziej zaawansowanych, w tym m.in. z uwzględnieniem ich przebiegu oraz (często) międzynarodowego ich charakteru
Uwagi dodatkowe
Aktualna wersja Poradnika odnosi się (str. 20-22) do zagadnienia związanego z atakami typu ransomware, co należy docenić, jednak w naszej ocenie wskazać można na liczne dodatkowe zagadnienia wynikające ze specyfiki tego rodzaju (oraz podobnych, zaawansowanych) ataków, w kontekście ich identyfikacji, przebiegu ich wyjaśniania oraz zgłaszania do Prezesa UODO związanych z nimi naruszeń ochrony danych osobowych.
W tym kontekście rekomendujemy poddanie dodatkowej analizie oraz uwzględnienie zarówno w treści Poradnika, jak również w praktyce Urzędu m.in. następujących zagadnień:
- możliwie precyzyjne wskazanie z jakim momentem wiedza na temat naruszenia pozwala administratorowi na przyjęcie, że jest ona wystarczająca, aby dokonać zgłoszenia (w tym również jako tzw. zgłoszenia wstępnego) – biorąc pod uwagę specyfikę tego rodzaju zaawansowanych (niejednokrotnie niezwykle skomplikowanych pod względem informatycznym oraz operacyjnym) ataków, których nawet wstępna analiza trwać może wiele dni (do tego zaś czasu może nie być wiadome czy w ogóle doszło do naruszenia, jaki jest jego zakres oraz skutki, w tym w szczególności czy obejmuje ono jakiekolwiek dane osobowe, a jeśli tak – to jakie);
- uwzględnienie przez Urząd faktu związanego z okresem czasu, jaki często mija od momentu faktycznego ataku do daty jego wykrycia (w praktyce jest to średnio ok. 200 dni, a w przypadku przedsiębiorców, którzy nie korzystają z analitycznych rozwiązań IT, wspomagających wykrywanie incydentów, opartych o sztuczną inteligencję – nawet ok. 300 dni) oraz od momentu jego wykrycia do przywrócenia zainfekowanych usług / systemów (co praktyce zajmuje średnio co najmniej 75 dni) – na co wskazują opracowania branżowe, m.in. publikowany co roku raport IBM („Cost of a Data Breach Report”; źródło: https://www.ibm.com/reports/data-breach);
- zmiana praktyki Urzędu, wyznaczającego z reguły bardzo krótki, 7-dniowy termin na przekazanie przez administratora dodatkowych wyjaśnień dotyczących tego rodzaju naruszeń – biorąc pod uwagę specyfikę tego rodzaju zaawansowanych naruszeń (ataków), w szczególności w kontekście działalności prowadzonej przez podmioty międzynarodowe lub np. udział zewnętrznych podmiotów przetwarzających (np. dostawcy usług chmurowych).
Temat uwagi
Termin na dokonanie zgłoszenia naruszenia (w przypadku zaangażowania podmiotu przetwarzającego)
Obecne stanowisko UODO
Aktualnie praktyka krajowa wskazuje na restrykcyjne podejście do liczenia terminu na dokonanie zgłoszenia naruszenia, w przypadku zaangażowania podmiotu przetwarzającego (tj. termin dla administratora liczony jest od momentu dowiedzenia się o naruszeniu przez podmiot przetwarzający)
Propozycja zmian
Zmiana podejścia w tym zakresie w celu zapewnienia zgodności z wytycznymi EROD
Uwagi dodatkowe
Proponowane (nowe) podejście będzie zgodne z wytycznymi EROD (por m.in. pkt 44 Wytycznych 9/2022).
Uregulowanie tej kwestii w Poradniku pozwoli na utrwalenie się praktyki, zgodnie z którą termin dla dokonania zgłoszenia naruszenia przez administratora liczony jest od momentu dowiedzenia się o naruszeniu przez tegoż administratora (w tym gdy źródłem tej wiedzy jest podmiot przetwarzający), nie zaś od momentu dowiedzenia się o naruszeniu przez podmiot przetwarzający.
Temat uwagi
Wymogi formalne (sposób / kanał zgłaszania naruszeń)
Obecne stanowisko UODO
Aktualnie zarówno Poradnik, jak również praktyka Urzędu, pozwala na zgłaszanie naruszeń z wykorzystaniem kilku kanałów komunikacji, w tym kanałów elektronicznych
Propozycja zmian
Dopuszczalność zgłaszania naruszeń z wykorzystaniem komunikacji mailowej (tj. bez wykorzystania ePUAP)
Uwagi dodatkowe
Doceniając funkcjonowanie w praktyce stosunkowo szerokiego katalogu dostępnych środków (kanałów) komunikacji (str. 8 Poradnika), pragniemy jednocześnie zasygnalizować trudności na jakie napotykają międzynarodowe podmioty prowadzące działalność w Polsce, które nie dysponują np. ePUAP lub podobnymi rozwiązaniami (np. podpisem elektronicznym respektowanym w Polsce).
W takiej sytuacji w praktyce pozostaje niejednokrotnie opcja zgłoszenia naruszenia drogą pocztową (pocztą tradycyjną), co pomimo, iż w pełni dopuszczalne, to jednak z oczywistych względów utrudnia oraz wydłuża komunikację z Urzędem.
Dlatego też wydaje się, iż dla realizacji zasadniczych celów leżących u podstaw wprowadzonego w RODO obowiązku notyfikacji naruszeń (jak również uwzględniając, że komunikacja mailowa jest obecnie jedną z głównych form kontaktu w realiach międzynarodowych) nie ma przeciwskazań dla wprowadzenia dodatkowego kanału dla zgłaszania naruszeń, tj. z wykorzystaniem komunikacji mailowej, na wyznaczony w tym celu adres mailowy. Nie wydaje się również, aby rozwiązanie takie generowało jakieś szczególne ryzyka po stronie Urzędu (zakładając odpowiednią konfigurację skrzynki pocztowej).
Temat uwagi
Zakończenie „postępowań zgłoszeniowych”
Obecne stanowisko UODO
Brak odniesienia się w Poradniku do kwestii zw. z zakończeniem „postępowań zgłoszeniowych”, co generuje niepewność po stronie administratorów, w szczególności w związku z atakami typu ransomware oraz innymi zaawansowanymi atakami hackerskimi
Propozycja zmian
Wprowadzenie w Poradniku (oraz w praktyce Urzędu) określonego mechanizmu (kryteriów) pozwalających na uznanie, iż „postępowanie zgłoszeniowe” zostało zakończone lub co najmniej, że Urząd traktuje wszelkie poruszone kwestie za wyjaśnione
Uwagi dodatkowe
Praktyka związana z obsługą oraz ze zgłaszaniem naruszeń w postaci ataków typu ransomware (oraz innych zaawansowanych ataków) pokazuje, iż istotny poziom niepewność po stronie administratorów danych powodowany jest brakiem odniesienia się w Poradniku (oraz w praktyce Urzędu) do kwestii zw. z zakończeniem „postępowań zgłoszeniowych”.
„Postępowania” te (niemające formalnie charakteru postępowań administracyjnych, stąd użyty cudzysłów), w aktualnym stanie prawnym oraz w praktyce Urzędu mają niejednokrotnie charakter postępowań „wieczystych”, bez odpowiednich kryteriów pozwalających na uznanie, że można uznać je za zakończone (tj. w szczególności wystarczająco wyjaśnione przez Urząd).
Z oczywistych względów generuje to istotną niepewność po stronie administratorów, w szczególności prowadzących działalność w skali międzynarodowej, którzy te same zgłoszenia traktują jako „zamknięte” w innych jurysdykcjach (np. w przypadku ataków hackerskich, gdy dochodzi do rozbicia grupy hackerskiej oraz przejęcia przez odpowiednie służby nośników danych, itd.).
Wprowadzenie w Poradniku (oraz w praktyce Urzędu) określonego mechanizmu (kryteriów) pozwalających na uznanie, iż „postępowanie zgłoszeniowe” zostało zakończone lub co najmniej, że Urząd traktuje wszelkie poruszone kwestie za wyjaśnione.
Temat uwagi
Większa pomoc ze strony Urzędu w zarządzaniu i przeciwdziałaniu naruszeniom
Obecne stanowisko UODO
Aktualne brzmienie Poradnika, a w szczególności praktyka Urzędu, uwzględnia jedynie w ograniczonym zakresie wsparcie na rzecz administratorów dotkniętych naruszeniami, w szczególności tymi bardziej zaawansowanymi
Propozycja zmian
Uwzględnienie w większym zakresie wsparcia na rzecz administratorów (podmiotów przetwarzających) dotkniętych naruszeniami, w szczególności tymi bardziej zaawansowanymi
Uwagi dodatkowe
Aktualna praktyka Urzędu – zgodna co prawda w tym zakresie z wytycznymi EROD – uwzględnia w stosunkowo ograniczonym zakresie wsparcie na rzecz administratorów dotkniętych naruszeniami. Wsparcie to ogranicza się de facto do rekomendacji Urzędu odnośnie konieczności zawiadomienia podmiotów danych o naruszeniu (w oparciu o art. 34 RODO) oraz do kierowania do podmiotu zgłaszającego licznych pytań, w tym również pytań dotyczących nie samego naruszenia, lecz np. podejmowanych wcześniej przez administratora działań.
W tym kontekście pragniemy zwrócić uwagę na istotną zmianę w podejściu do regulacji przedmiotowych zagadnień w prawnie unijnym, w szczególności wynikającą z Dyrektywy NIS2. Zgodnie z regulacją NIS2 organ właściwy, do którego kierowane są zgłoszenia incydentów bezpieczeństwa (które w praktyce obejmować mogą naruszenia ochrony danych osobowych), „odpowiada podmiotowi zgłaszającemu, w tym przekazuje mu wstępne informacje zwrotne na temat poważnego incydentu oraz, na wniosek podmiotu, wytyczne lub porady operacyjne dotyczące wdrożenia możliwych środków ograniczających ryzyko” (art. 24 ust. 5 Dyrektywy NIS2).
W naszej ocenie powyższe tendencje regulacyjne powinny stanowić asumpt dla Urzędu dla wprowadzenia w większym zakresie swoistego „mechanizmu pomocowego”, zapewniającemu administratorom – w szczególności tym średnim oraz małym – wsparcie w trakcie przeciwdziałania naruszeniom, z którymi muszą sobie oni radzić. Wydaje się, iż mechanizm taki będzie zgodny również z intencjami twórców RODO, biorąc w szczególności pod uwagę wprowadzony w RODO bardzo krótki czas na zgłaszanie naruszeń, co pozwala Urzędowi na stosunkowo szybką reakcję i udzielenie stosownej pomocy.
Temat uwagi
Rola IOD w procesie obsługi i zgłaszania naruszeń
Obecne stanowisko UODO
Brak niezbędnych informacji w aktualnej wersji Poradnika na temat roli IOD w tym zakresie
Propozycja zmian
Aktualizacja Poradnika o wytyczne dotyczące roli IOD w procesie zgłaszania naruszeń
Uwagi dodatkowe
W świetle najnowszych wypowiedzi PUODO oraz trwającej aktualnie w środowisku dyskusji dotyczącej niezależności inspektorów ochrony danych (IOD) pojawiają się wątpliwości zw. z rolą IOD w procesie obsługi oraz zgłaszania naruszeń ochrony danych.
Podstawowym postulatem zgłaszanym w tym zakresie jest ten, zgodnie z którym IOD nie powinien przejmować na siebie obowiązków administratora. Zgodnie bowiem z art. 33 ust. 1 RODO to administrator (a nie IOD) ma obowiązek zgłaszania naruszeń organowi nadzorczemu, a na podstawie ust. 5 to administrator dokumentuje naruszenia. Niemniej, powyższe nie eliminuje istotnej roli jaką IOD faktycznie pełnią na każdym etapie procesu obsługi i zgłaszania naruszeń w organizacjach. Widoczne jest to w szczególności na etapie identyfikacji incydentu (jako potencjalnego naruszenia w rozumieniu RODO), doradztwie przy analizie ryzyka, wstępnej redakcji formularza zgłoszenia, czy późniejszej roli IOD jako punktu kontaktowego dla UODO.
Poradnik w zaktualizowanej wersji powinien zatem przesądzić, iż to, że administrator decyduje, a IOD jedynie wspiera, monitoruje i doradza nie powinno osłabiać roli Inspektora w procesie obsługi i zgłaszania naruszeń, co jednak nie powinno wpływać na poziom niezależności Inspektora wymaganego przepisami RODO. Obecne pojawiające się próby rozumienia wymogu niezależności Inspektorów mogą bowiem doprowadzić do zwiększenia ich obaw i nawet rezygnacji z uczestnictwa w tym procesie. Odsunięcie zaś IOD od procesu mogłoby odbyć się ze szkodą dla organizacji, która bez rekomendacji doświadczonego IOD’a nie będzie w stanie poprawnie realizować wymogów w tym zakresie.
Niezależnie od polskich źródeł i aktualnej praktyki, powyższe potwierdzają również Wytyczne EROD 09/2022 dotyczące zgłaszania naruszeń, które nie tylko zalecają, aby IOD był niezwłocznie informowany o wystąpieniu naruszenia w organizacji, ale także promują jego aktywne zaangażowanie w cały proces obsługi naruszeń.
Dlatego też, rekomendujemy uzupełnienie nowej wersji Poradnika o wytyczne dotyczące roli Inspektorów Ochrony Danych w procesie obsługi i zgłaszania naruszeń w oparciu o powyższe uwagi.