Incydenty godzące w bezpieczeństwo danych osobowych

16 września 2015 r. dr. Wojeciech Wiewiórowski – obecnie Zastępca Europejskiego Inspektora Ochrony Danych Osobowych wygłosił wystąpienie – incydenty godzące w bezpieczeństwo danych osobowych.Wojeciech Wiewiórowski Zagadnienia związane z ochroną danych osobowych i naruszeniami bezpieczeństwa ochrony danych osobowych związane są z aktualnymi pracami legislacyjnymi instytucji unijnych. Od 2012 r. trwają prace nad nowymi ramami prawnymi ochrony danych osobowych w Unii Europejskiej. Chodzi głównie o tzw. ogólne rozporządzenie. Ma ono zastąpić 28 lokalnych ustaw o ochronie danych osobowych. Regulować ono będzie, co jest pewnym novum w polskich regulacjach prawnych, naruszenia zasad ochrony danych osobowych i kwestię incydentów naruszenia ochrony danych osobowych.

Europejskie rozporządzenie jak na razie jest w fazie tzw. trilogu. Trilog polega na tym, że wcześniej uchwalony tekst przez Parlament Europejski, Radę oraz pierwotny tekst Komisji trafiają pod obrady. Efektem prac jest stworzenie ostatecznego tekstu aktu prawnego. Proces ten powinien trwać do końca 2015 r. Rozporządzenie powinno pojawić się na początku 2016 r. Będzie ono całkowicie stosowalne w okresie 2 lat.

Aktualnie trwają prace nad art. 31 i 32 rozporządzenia. Przepisy te dotyczą naruszenia zasad ochrony danych osobowych. Wypracowany model to rozwiązanie podobne jak te stosowane w USA i krajach anglosaskich.

Co rozumiemy pod pojęciem naruszenia danych osobowych? Zgodnie z literalnym brzmieniem rozporządzenia za naruszenie danych osobowych rozumiemy

(…) takie incydenty bezpieczeństwa, które prowadzą do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych.

Definicja ta jest zbieżna z definicją zawartą w przepisach Prawa telekomunikacyjnego. Unijne rozporządzenie wprowadza obowiązek zgłaszania do organu nadzorczego (GIODO) lub innego równorzędnego organu na szczeblu unijnym wszystkich sytuacji, w których dochodzi do naruszenia, które może skutkować ryzykiem dla praw i wolności osób indywidualnych.

Nowe rozporządzenie unijne nakłada obowiązek na wszystkich (w tym osoby zobowiązane do zachowania tajemnicy zawodowej). W ocenie GIODO jest to dobre rozwiązanie. Pozwoli ono na uniknięcie w przyszłości wycieku danych z kancelarii prawniczych czy gabinetów lekarskich.

Co powinno zawierać takie zawiadomienie?

  1. opis charakteru takiego naruszenia (incydenty godzące w bezpieczeństwo danych osobowych);
  2. dane kontaktowe osoby odpowiedzialnej za utrzymanie zasad bezpieczeństwa;
  3. informacje o środkach, które mają zapobiegać w przyszłości tego typu problemom;
  4. informacje o działaniach, które zostały podjęte przez administratorów danych, aby zlikwidować problem, który się pojawił.

Kolejna kwestia, na którą zwrócił uwagę dr Wojciech Wiewiórowski dotyczy terminu zgłoszenia naruszenia. Według Prawa telekomunikacyjnego to zaledwie 24 godziny od wystąpienia takiego incydentu bądź też stwierdzenia przed administratora danych osobowych, że takie zdarzenie miało miejsce. W przypadku rozporządzenia unijnego trwają dyskusje nad tym czy mają to być 24 godziny czy 72 godziny. Rozważany jest także wariant, by określić ten termin poprzez wykorzystanie klauzuli generalnej i określenie go słowem „niezwłocznie”. Według dr Wiewiórowskiego będzie to najpewniej 72 godzinny termin.

Warto dodać, że w przypadku naruszenia ochrony danych osobowych administrator danych podlega zarówno odpowiedzialności administracyjnej jak i karnej.

Podsumowując. Nowe rozporządzenie unijne nakłada obowiązki zarówno na administratorów danych, (którzy decydują o celach i środkach przetwarzania danych) jak i przetwarzających. Outsourcerzy także zobowiązani są do niezwłocznego poinformowania administratora danych o tym, że doszło do naruszenia ochrony danych osobowych. Administrator danych będzie zobowiązany do zgłoszenia incydentu w ciągu 72 godzin do organu nadzorczego.

Dzień otwarty GIODO – dane osobowe w służbie zdrowia

Jeden z kolejnych artykułów zamierzałem poświęcić tematowi przetwarzania / ochrony danych osobowych przy okazji prowadzenia badań klinicznych. Istotny jest tutaj projekt regulacji europejskiej, która będzie dotyczyła ww. kwestia oraz opinia Europejskiego Inspektora Ochrony Danych. GIODO również zainteresowało się tematem ochrony danych osobowych przy badaniach klinicznych i szerzej, ochrony danych osobowych w służbie zdrowia. Zapraszam wszystkich zainteresowanych 28 stycznia 2013 r. do siedziby Centralnej Biblioteki Rolniczej przy ul. Krakowskie Przedmieście 66 w Warszawie na Europejski Dzień Ochrony Danych Osobowych. Co prawda rejestracja została już zakończona, ale zapewne tak jak zawsze znajdzie się miejsce dla gości.