Temat: art. 33.1 RODO Zgłaszanie naruszenia ochrony danych...

Cześć,
czytam motyw i artykuł i nie jestem do końca pewna, czy dobrze rozumiem.
Jeśli dane wyciekną a były zaszyfrowane (zatem będzie małe prawdopodobieństwo naruszenia praw i wolności) to czy ADO musi informować organ nadzorczy w ciągu 72h czy nie?
Czy musi, tylko nie w ciągu 72h a później?

Pomożecie?

Temat: art. 33.1 RODO Zgłaszanie naruszenia ochrony danych...

Na wstępie. Jeśli pytasz o interpretację jakiś zapisów, to warto je wskazać. Nie wszyscy znają na wyrywki preambułę (ponad 170 akapitów) jak i przepisy.

Twoje pytanie, w zasadzie dotyczy czy ADO może arbitralnie nie zgłaszać GIODO przypadków naruszenia danych osobowych.

Obowiązek informacyjny znalazłem w motywach 85-88 oraz w art. 33 i 34 jak również w art. 83.2.h

Przepisy należy czytać całościowo. Pierwszeństwo ma wykładnia językowa. Dopiero w przypadku wątpliwości - celościowa.

Wykładnia językowa motywu 85 może prowadzić do stwierdzenia, że obowiązek informowania jest powszechny. Co do zasady - bez zbędnej zwłoki, nie później niż 72 godziny. Powyższy termin może zostać przekroczony jeśli ADO jest w stanie wykazać (organowi nadzorczemu) by naruszenie mogło powodować ryzyko (....). Zdanie ostatnie wyjaśnia, co w przypadku przekroczenia terminu 72 godzin należy uczynić.
Przepis art. 33. różnicuje obowiązek powiadomienia GIODO o incydencie w zależności czy jest to ADO, czy podmiot przetwarzający (procesor).
Przepis art.33.2. nie pozostawia wątpliwości, iż procesor ma bezwzględny obowiązek zgłaszać przypadek naruszenia danych osobowych bez zbędnej zwłoki.
Nieco bardziej zawile opisano w art. 33.1. obowiązek ADO. Zapis jest bardziej enigmatyczny niż motyw 85. Zatem warto sięgnąć do do zapisów art. 33.5. - ADO dokumentuje wszelkie naruszenia (w tym o małym prawdopodobieństwie naruszenia praw i wolności) w celu umożliwienia GIODO weryfikacji postępowania zgodnie z art. 33. To jeszcze nie rozwiewa wątpliwości, dlatego czytamy dalej.
Art.83.2.h wskazuje jak traktować (nie)zgłoszenie naruszenia, przy miarkowaniu kary. Pomocniczo patrz art.83.1. (cechy kary pieniężnej: odstraszająca). To kolejny argument za obowiązkiem zgłoszenia każdego naruszenia.
Jeśli jeszcze i to kogoś nie przekona, to sięgając po art. 34 (obowiązek zgłoszenia naruszenia danych osobowych osobie, której te dane dotyczą). W przepisie tym w ust. 3 daje ADO prawo odstępstwa gdy spełniony jest jeden z trzech przypadków.
Zgodnie z zasadą racjonalnego prawodawcy, jeśli w przepisie art. 34 (powiadomienia osób) prawodawca wskazał literalnie wykluczenia, a w przepisie art. 33 nie, to znaczy, że w stosunku do powiadomienia GIODO nie ma wyjątków.

To prowadzi do wniosku: obowiązek istnieje zawsze. Maksymalny termin może zostać przekroczony jeśli ADO będzie potrafił wykazać ....

Na koniec: Przyjęcie odmiennej interpretacji prowadziłoby do obejścia prawa –ADO zawsze mógłby stwierdzić, że według niego, było mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej.

Temat: art. 33.1 RODO Zgłaszanie naruszenia ochrony danych...

Nie zgadzam się z Radkiem w sprawie wykładni art. 33.1.
Przykład solidnie zaszyfrowanych danych był powszechnie podawany na szkoleniach w 2017 r. jako przypadek, gdy jest małe ryzyko naruszenia praw i wolności, zatem będzie tylko obowiązek notyfikacji naruszenia, ale nie obowiązek zgłoszenia organowi nadzorczemu.

Oczywiście ostateczna decyzja należy do ADO, bo to on dostanie po kieszeni, gdy organ nadzorczy nie zgodzi się z jego oceną sytuacji.

Temat: art. 33.1 RODO Zgłaszanie naruszenia ochrony danych...

Paweł G.:
Nie zgadzam się z Radkiem w sprawie wykładni art. 33.1.
Przykład solidnie zaszyfrowanych danych był powszechnie podawany na szkoleniach w 2017 r. jako przypadek, gdy jest małe ryzyko naruszenia praw i wolności, zatem będzie tylko obowiązek notyfikacji naruszenia, ale nie obowiązek zgłoszenia organowi nadzorczemu.

Oczywiście ostateczna decyzja należy do ADO, bo to on dostanie po kieszeni, gdy organ nadzorczy nie zgodzi się z jego oceną sytuacji.

O rany, jak ja przeoczyłem ten wątek?
Na początek, żeby odkopać (złota łopata dla mnie) to porównajcie sobie wersje EN i PL.

Artykuł 33
Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu
Po angielsku (tłumaczenie moje)
Noification of personal data protection brach to the supervisory authority.

Tak wiem, Google translate pokazuje tak jak w GDPR, ale to może za sprawą przycisku "popraw tłumaczenie".Bo jak odwrócicie tłumaczenie to już jest OK ;-)

A formalnie - protection to ochrona. Breach naruszenie. A w języku EN mowa jest o personal data breach.

Article 33
Notification of a personal data breach to the supervisory authority
(Tłumaczenie moje) Zgłaszanie naruszenia ochrony danych do organu nadzorczego

Wiecie, rozumiecie. Zaczyna się rozjazd co zgłaszać. Naruszenie ochrony, czy naruszenie danych?
To tak na razie pokrętnie odpowiadając na zadane pytanie.

Temat: art. 33.1 RODO Zgłaszanie naruszenia ochrony danych...

Na początek uwaga porządkowa - organem do którego zgłaszane są naruszenia jest obecnie PUODO, nie zaś GIODO :)

Co do meritum - biorąc pod uwagę treść art. 33 ust. 1 RODO - nie sposób bronić tezy, że powinny być zgłaszane do PUODO wszystkie naruszenia. Przepis ten wyraźnie wskazuje, że nie należy zgłaszać naruszeń gdy "jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych". Oczywiście tzw. schody zaczynają jak to rozumieć to małe prawdopodobieństwo ...

Osobiście byłbym daleki od prostego przyjęcia: dane zaszyfrowane - automatycznie i zawsze małe prawdopodobieństwo naruszenia praw i wolności.

Zresztą, tak przytomnie z jednej strony stwierdza PUODO :

"Przykład II: Administrator traci bezpiecznie zaszyfrowany pendrive. Klucz szyfrowania pozostaje w posiadaniu administratora i nie jest to jedyna kopia danych osobowych. W takiej sytuacji dane pozostają niedostępne dla złodzieja. Oznacza to małe prawdopodobieństwo, by naruszenie stanowiło zagrożenie dla praw lub wolności osób, których dane dotyczą.

Ale z drugiej strony PUODO dodaje sensownie:
"Do każdej sytuacji należy jednak podchodzić z dużą rozwagą i ostrożnością. Zmiana choćby jednego z kluczowych elementów zdarzenia może bowiem doprowadzić do odmiennych wniosków, np. jeżeli w przypadku opisanym w przykładzie II po czasie okaże się, że naruszono bezpieczeństwo klucza lub, że oprogramowanie narażone jest na ataki, wówczas zmieni się ryzyko naruszenia praw i wolności osób, a w związku z tym może powstać obowiązek zgłoszenia naruszenia Prezesowi UODO. Podobna sytuacja może się zdarzyć, gdy w sytuacji zaistnienia naruszenia, administrator nie będzie dysponował kopią zapasową danych osobowych. W takim przypadku będziemy mieli do czynienia z naruszeniem dostępności, stanowiącym ryzyko dla praw i wolności osób fizycznych i w związku z tym, sytuacja ta będzie wymagała zgłoszenia naruszenia organowi nadzorczemu."

Ponadto odniosę się do tego co napisał Radek:
"Jeśli jeszcze i to kogoś nie przekona, to sięgając po art. 34 (obowiązek zgłoszenia naruszenia danych osobowych osobie, której te dane dotyczą). W przepisie tym w ust. 3 daje ADO prawo odstępstwa gdy spełniony jest jeden z trzech przypadków.
Zgodnie z zasadą racjonalnego prawodawcy, jeśli w przepisie art. 34 (powiadomienia osób) prawodawca wskazał literalnie wykluczenia, a w przepisie art. 33 nie, to znaczy, że w stosunku do powiadomienia GIODO nie ma wyjątków."

Generalnie właśnie nie przekonuje mnie. Co do wyjątków od zgłaszania naruszenia PUODO - to jest wyraźnie określony w art. 33 ust. 1 RODO.
Ogólnie na gruncie art 33 i 34 RODO mamy jakby 3 kategorie naruszeń - co determinuje różne postępowanie:
1) gdy jest mało prawdopodobne naruszenie praw lub wolności [art. 33 ust.1]- ADO nie zgłasza tego do nikogo,
2) gdy jest prawdopodobne naruszenie praw lub wolności [art. 33 ust.1] - ADO zgłasza naruszenie do PUODO,
3) gdy może powodować wysokie ryzyko naruszenia praw lub wolności [art. 34 ust.1]- ADO zgłasza naruszenie do PUODO oraz zawiadamia osobę, której dane dotyczą [jeśli nie zachodzą wyjątki z art. 34 ust.3].

Temat: art. 33.1 RODO Zgłaszanie naruszenia ochrony danych...

Jacek P.:
Na początek uwaga porządkowa - organem do którego zgłaszane są naruszenia jest obecnie PUODO, nie zaś GIODO :)

Jacku, wypowiedzi przedmówcy o GIODO są z kwietnia 2017 r., więc organ nadzorczy jak najbardziej właściwy na tamten czas :).

Temat: art. 33.1 RODO Zgłaszanie naruszenia ochrony danych...

Przemysław D.:

Jacek P.:
Na początek uwaga porządkowa - organem do którego zgłaszane są naruszenia jest obecnie PUODO, nie zaś GIODO :)

Jacku, wypowiedzi przedmówcy o GIODO są z kwietnia 2017 r., więc organ nadzorczy jak najbardziej właściwy na tamten czas :).

No to sorry -pod tym względem ok, ale też chyba nastąpiło tu jakieś "materii pomięszanie" ;)
Temat jest: art. 33.1 RODO Zgłaszanie naruszenia ochrony danych... Takie zgłaszanie przecież może następować gdy zaczęliśmy stosować RODO - czyli wyłącznie od 25 V 2018r. - do PUODO :)

A w 2017r. mieliśmy "starą dobrą" ustawę, w świetle której co do zasady nie było obowiązku zgłaszania naruszeń przez administratora - do ówczesnego organu - GIODO. (Jedyny znany mi wyjątek to zgłaszanie przez operatorów - zgodnie z prawem telekomunikacyjnym)