Temat: art. 33.1 RODO Zgłaszanie naruszenia ochrony danych...
art. 33.1 RODO Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu.
Na wstępie. Jeśli pytasz o interpretację jakiś zapisów, to warto je wskazać. Nie wszyscy znają na wyrywki preambułę (ponad 170 akapitów) jak i przepisy.
Twoje pytanie, w zasadzie dotyczy czy ADO może arbitralnie nie zgłaszać GIODO przypadków naruszenia danych osobowych.
Obowiązek informacyjny znalazłem w motywach 85-88 oraz w art. 33 i 34 jak również w art. 83.2.h
Przepisy należy czytać całościowo. Pierwszeństwo ma wykładnia językowa. Dopiero w przypadku wątpliwości - celościowa.
Wykładnia językowa motywu 85 może prowadzić do stwierdzenia, że obowiązek informowania jest powszechny. Co do zasady - bez zbędnej zwłoki, nie później niż 72 godziny. Powyższy termin może zostać przekroczony jeśli ADO jest w stanie wykazać (organowi nadzorczemu) by naruszenie mogło powodować ryzyko (....). Zdanie ostatnie wyjaśnia, co w przypadku przekroczenia terminu 72 godzin należy uczynić.
Przepis art. 33. różnicuje obowiązek powiadomienia GIODO o incydencie w zależności czy jest to ADO, czy podmiot przetwarzający (procesor).
Przepis art.33.2. nie pozostawia wątpliwości, iż procesor ma bezwzględny obowiązek zgłaszać przypadek naruszenia danych osobowych bez zbędnej zwłoki.
Nieco bardziej zawile opisano w art. 33.1. obowiązek ADO. Zapis jest bardziej enigmatyczny niż motyw 85. Zatem warto sięgnąć do do zapisów art. 33.5. - ADO dokumentuje wszelkie naruszenia (w tym o małym prawdopodobieństwie naruszenia praw i wolności) w celu umożliwienia GIODO weryfikacji postępowania zgodnie z art. 33. To jeszcze nie rozwiewa wątpliwości, dlatego czytamy dalej.
Art.83.2.h wskazuje jak traktować (nie)zgłoszenie naruszenia, przy miarkowaniu kary. Pomocniczo patrz art.83.1. (cechy kary pieniężnej: odstraszająca). To kolejny argument za obowiązkiem zgłoszenia każdego naruszenia.
Jeśli jeszcze i to kogoś nie przekona, to sięgając po art. 34 (obowiązek zgłoszenia naruszenia danych osobowych osobie, której te dane dotyczą). W przepisie tym w ust. 3 daje ADO prawo odstępstwa gdy spełniony jest jeden z trzech przypadków.
Zgodnie z zasadą racjonalnego prawodawcy, jeśli w przepisie art. 34 (powiadomienia osób) prawodawca wskazał literalnie wykluczenia, a w przepisie art. 33 nie, to znaczy, że w stosunku do powiadomienia GIODO nie ma wyjątków.
To prowadzi do wniosku: obowiązek istnieje zawsze. Maksymalny termin może zostać przekroczony jeśli ADO będzie potrafił wykazać ....
Na koniec: Przyjęcie odmiennej interpretacji prowadziłoby do obejścia prawa –ADO zawsze mógłby stwierdzić, że według niego, było mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej.
Radosław Zieliński
ABI, MWiK Sp. z o.o.
пропозиції роботи
