Czy każdy Administrator ma 72 godziny na zgłoszenie naruszenia i dlaczego nie każdy
naruszenia

Czy każdy Administrator ma 72 godziny na zgłoszenie naruszenia i dlaczego nie każdy

By 17 października 202330 listopada, 2023No Comments

Wprawdzie RODO wskazuje termin 72h (dokładnie – bez zbędnej zwłoki), ale niektóre branże mają bardziej restrykcyjne przepisy. Przykładem jest działalność przedsiębiorców telekomunikacyjnych (dalej PT).

Dlaczego?

Prawo telekomunikacyjne:

Art. 174a. 1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej „rozporządzeniem 611/2013”.

Rozporządzenie 611/2013:

Artykuł 2
Powiadomienie właściwego organu krajowego
1. Dostawca powiadamia właściwy organ krajowy o wszystkich przypadkach naruszenia danych osobowych.
2. Dostawca powiadamia właściwy organ krajowy o przypadku naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne.

Nie dość, że PT ma 24 godziny (z wyjątkami), to jeszcze musi zgłaszać KAŻDE naruszenie, a nie tylko te, które wiąże się z wysokim ryzykiem. Mamy tutaj co najmniej dwie podstawowe wątpliwości:

  1. Czy 24-godzinny tryb dotyczy tylko naruszeń danych związanych ze świadczeniem usług telekomunikacyjnych (np. danych podlegających retencji)?
  2. Czy to oznacza, że PT który wykrył naruszenie w czynnościach związanych zatrudnieniem (a przecież każdy pracodawca kogoś zatrudnia) jest zmuszony 3 x szybciej zgłaszać naruszenie w porównaniu do np. biura rachunkowego?

Dodatkowo rodzą się pytania:

  1. Czy to znaczy, że personel odpowiedzialny za 'obsługę naruszeń’ powinien być dostępny 24/7? a jeśli nie będzie to czy można uznać termin 24h za niewykonalny?
  2. Czy podmioty przetwarzające dla PT powinny mieć absurdalnie skrócone terminy zgłaszania naruszeń Administratorowi w umowach powierzenia?
  3. Czy w ogóle jest możliwe rzetelne wykonanie tego obowiązku (przyjęcie, analiza, opracowanie, przygotowanie zgłoszenia) w tak krótkim czasie?

Zachęcamy do zapoznania się z w/w przepisami w szczegółach 😉