Jedną z konsekwencji wejścia w życie z dniem 25 maja 2018 r. rozporządzenia Parlamentu Europejskiego i Rady 2016/679 tzw. RODO będzie wprowadzenie – nieznanego dotychczas polskim przepisom – obowiązku zgłaszania naruszeń w zakresie danych osobowych do nowego organu – Prezesa Urzędu Ochrony Danych Osobowych.
Obowiązek administartora
Obowiązek zgłaszania naruszeń bezpieczeństwa w zakresie danych osobowych obciąża administratora lub wyznaczonego przez niego inspektora ochrony danych osobowych. Będzie on dotyczył co do zasady wszystkich administratorów danych osobowych, w tym również indywidualnych i grupowych praktyk lekarskich oraz podmiotów leczniczych, niezależnie od ich wielkości.
Naruszenie bezpieczeństwa
RODO definiuje naruszenie bezpieczeństwa jako zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodykowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Przykładowo można wskazać na nieuprawniony dostęp do programu służącego do prowadzenia dokumentacji medycznej, zagubienie papierowej dokumentacji medycznej pacjenta, przekazanie dokumentacji medycznej osobie nieuprawnionej, uszkodzenie serwera służącego do przechowywania danych osobowych, zniszczenie dokumentacji medycznej przed upływem wymaganego przepisami okresu jej przechowywania, wyciek danych w wyniku ataku hakerskiego.
Tylko 72 godziny
Zgłoszenie powinno zostać zrealizowane w terminie maksymalnie 72 godzin po stwierdzeniu naruszenia. Jeżeli termin ten nie może zostać zachowany, podmiot zgłaszający będzie musiał każdorazowo wyjaśnić przyczynę opóźnienia. Nie każde naruszenie będzie podlega zgłoszeniu – nie będzie ono dotyczyć sytuacji, w których mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Tytułem przykładu można tutaj wymienić zaszyfrowanie lub uszkodzenie dysku przez szkodliwe oprogramowanie, które jednak w związku z regularnym tworzeniem kopii zapasowych nie skutkowało utraceniem jakichkolwiek danych. Z uwagi na mało precyzyjny miernik zastosowany na gruncie RODO („mało prawdopodobne”), to na administratorze spoczywać będzie każdorazowo obowiązek wykazania owej przesłanki. Zasadą powinno być zatem zgłaszanie wszelkich naruszeń w zakresie bezpieczeństwa danych osobowych, a jedynie wyjątkowo zaniechanie owego zgłoszenia.
Treść i forma zgłoszenia
Zgodnie z art. 33 RODO zgłoszenie zawierać będzie co najmniej: opis charakteru naruszenia, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innej osoby kontaktowej; opis możliwych konsekwencji naruszenia; opis środków zastosowanych lub proponowanych przez administratora w celu zminimalizowania jego ewentualnych negatywnych skutków. Na gruncie projektu ustawy o ochronie danych osobowych proponuje się, aby zgłoszenia te były realizowane wyłącznie w formie elektronicznej z użyciem podpisu elektronicznego (ePUAP lub podpis kwalifikowany). Przed 25 maja 2018 r. konieczne będzie zatem uzyskanie niezbędnych podpisów elektronicznych przez administratorów i inspektorów.
Dokumentacja naruszeń
Administrator będzie zobowiązany do prowadzenia dokumentacji wszelkich naruszeń ochrony danych osobowych – nawet tych niepodlegających zgłoszeniu do Prezesa Urzędu Ochrony Danych Osobowych. Owa dokumentacja będzie również przedmiotem kontroli ze strony Urzędu. Powinna ona zawierać m.in. okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze.
Adw. Damian Konieczny Biuro Prawne OIL w Gdańsku