72 godziny na zgłoszenie naruszenia ochrony danych pracownika to termin instrukcyjny

Pracodawca pismem z 2 lutego 2024 r. poinformował mnie o naruszeniu ochrony moich danych osobowych. 29 stycznia 2024 r. zawiadomienie o tym zdarzeniu zostało przekazane przez pracodawcę organowi nadzorczemu, tj. prezesowi Urzędu Ochrony Danych Osobowych. Tymczasem wiem, że informację o możliwości wystąpienia ww. naruszenia pracodawca otrzymał już 2 stycznia 2024 r. Czy działania pracodawcy były zgodne z terminami wskazanymi w RODO?

Odpowiadając na pytanie, należy przede wszystkim rozpocząć od analizy art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Zgodnie z nim w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Ponadto administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Według Grupy Roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ustanowionej w art. 29 dyrektywy 95/46/WE (Grupa Robocza art. 29), administrator „stwierdza” naruszenie, kiedy ma wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych (vide: Wytyczne dotyczące zgłaszania naruszeń ochrony danych na mocy rozporządzenia 2016/679 (WP 250)).

Stwierdzenie naruszenia następuje w etapie wstępnym postępowania notyfikacyjnego, w trakcie którego dochodzi do wykrycia nieprawidłowości mających charakter odstępstwa od reguł przetwarzania wynikających z RODO. Następnie w etapie tym następuje zbadanie nieprawidłowości i ich ocena pod kątem potencjalnej realizacji przesłanek wskazanych w art. 4 pkt 12 RODO. Gdy potwierdzono naruszenie, kolejnym etapem jest zbadanie, czy występuje określony w RODO skutek, czyli przypadkowe lub niezgodne z prawem zniszczenie, utrata, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych. Potwierdzenie zaistnienia kwalifikowanego skutku naruszenia bezpieczeństwa należy uznać za moment, w którym rozpoczyna bieg 72-godzinny termin na zgłoszenie naruszenia organowi nadzorczemu. Ponadto z uwagi na użyte w przepisie sformułowanie „bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin” należy przyjąć, że termin ten ma charakter jedynie instrukcyjny, co potwierdza zapis, że do: „(…) zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”. Termin ten nie ma zatem charakteru bezwzględnego (vide: Komentarz: „Ogólne rozporządzenie o ochronie danych osobowych”, pod redakcją Marleny Sakowskiej-Baryły, Krótkie Komentarze Becka).

Natomiast w zakresie obowiązujących administratora terminów co do wypełnienia obowiązku z art. 34 ust. 1 RODO należy wskazać, że zgodnie z tym unormowaniem, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator zawiadamia osobę, której dane dotyczą, o naruszeniu bez zbędnej zwłoki. Przy czym należy zauważyć, że komentowany przepis posługuje się w tym zakresie pojęciem nieostrym i nie wyznacza bardziej precyzyjnego terminu. Zgodnie z wyjaśnieniami organu nadzoru, tj. prezesa UODO, oznacza to, że administrator powinien zrealizować ten obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy. Przywołać w tym kontekście należy również motyw 87 preambuły do RODO, gdzie jak wskazano, to, czy zawiadomienia dokonano bez zbędnej zwłoki, ustala się z uwzględnieniem w szczególności charakteru, wagi naruszenia, jego konsekwencji, czy też – jak wskazano w motywie 86 RODO – późniejsze poinformowanie osoby o naruszeniu będzie znajdowało uzasadnienie w konieczności podjęcia i wdrożenia przez administratora działań naprawczych i zaradczych przeciwko takim samym lub podobnym naruszeniom.

Reasumując, należy uznać, że administrator jest zobowiązany wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw i wolności również osobę, której dane dotyczą. Administrator powinien zrealizować ten obowiązek możliwie najszybciej. Natomiast w świetle powyższych wyjaśnień w każdym stanie faktycznym, to, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalać z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. ©℗