72 godziny na zgłoszenie naruszenia ochrony danych osobowych pracownika to termin instrukcyjny
Pracodawca pismem z 2 lutego 2024 r. poinformował mnie o naruszeniu ochrony moich danych osobowych. 29 stycznia 2024 r. zawiadomienie o tym zdarzeniu zostało przekazane przez pracodawcę organowi nadzorczemu, tj. prezesowi Urzędu Ochrony Danych Osobowych. Tymczasem wiem, że informację o możliwości wystąpienia ww. naruszenia pracodawca otrzymał już 2 stycznia 2024 r. Czy działania pracodawcy były zgodne z terminami wskazanymi w RODO?
Odpowiadając na pytanie, należy przede wszystkim rozpocząć od analizy art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Zgodnie z nim w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Ponadto administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Według Grupy Roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ustanowionej w art. 29 dyrektywy 95/46/WE (Grupa Robocza art. 29), administrator „stwierdza” naruszenie, kiedy ma wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych (vide: Wytyczne dotyczące zgłaszania naruszeń ochrony danych na mocy rozporządzenia 2016/679 (WP 250)).
Stwierdzenie naruszenia następuje w etapie wstępnym postępowania notyfikacyjnego, w trakcie którego dochodzi do wykrycia nieprawidłowości mających charakter odstępstwa od reguł przetwarzania wynikających z RODO. Następnie w etapie tym następuje zbadanie nieprawidłowości i ich ocena pod kątem potencjalnej realizacji przesłanek wskazanych w art. 4 pkt 12 RODO. Gdy potwierdzono naruszenie, kolejnym etapem jest zbadanie, czy występuje określony w RODO skutek, czyli przypadkowe lub niezgodne z prawem zniszczenie, utrata, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych. Potwierdzenie zaistnienia kwalifikowanego skutku naruszenia bezpieczeństwa należy uznać za moment, w którym rozpoczyna bieg 72-godzinny termin na zgłoszenie naruszenia organowi nadzorczemu. Ponadto z uwagi na użyte w przepisie sformułowanie „bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin” należy przyjąć, że termin ten ma charakter jedynie instrukcyjny, co potwierdza zapis, że do: „(…) zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”. Termin ten nie ma zatem charakteru bezwzględnego (vide: Komentarz: „Ogólne rozporządzenie o ochronie danych osobowych”, pod redakcją Marleny Sakowskiej-Baryły, Krótkie Komentarze Becka).
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.