Czy każdy Administrator ma 72 godziny na zgłoszenie naruszenia i dlaczego nie każdy

Wprawdzie RODO wskazuje termin 72h (dokładnie – bez zbędnej zwłoki), ale niektóre branże mają bardziej restrykcyjne przepisy. Przykładem jest działalność przedsiębiorców telekomunikacyjnych (dalej PT).

Prawo telekomunikacyjne

Art. 174a. 1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013.

Rozporządzenie 611/2013

Dostawca powiadamia właściwy organ krajowy o przypadku naruszenia danych osobowych nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne.

Nie dość, że PT ma 24 godziny (z wyjątkami), to jeszcze musi zgłaszać KAŻDE naruszenie, a nie tylko te, które wiąże się z wysokim ryzykiem. Mamy tutaj co najmniej dwie podstawowe wątpliwości:

• Czy 24-godzinny tryb dotyczy tylko naruszeń danych związanych ze świadczeniem usług telekomunikacyjnych (np. danych podlegających retencji)?
• Czy to oznacza, że PT, który wykrył naruszenie w czynnościach związanych z zatrudnieniem, jest zmuszony 3× szybciej zgłaszać naruszenie w porównaniu do np. biura rachunkowego?

Dodatkowo rodzą się pytania:

• Czy personel odpowiedzialny za 'obsługę naruszeń' powinien być dostępny 24/7? Jeśli nie – czy można uznać termin 24h za niewykonalny?
• Czy podmioty przetwarzające dla PT powinny mieć absurdalnie skrócone terminy zgłąszania naruszeń Administratorowi w umowach powierzenia?
• Czy w ogóle jest możliwe rzetelne wykonanie tego obowiązku (przyjęcie, analiza, opracowanie, przygotowanie zgłoszenia) w tak krótkim czasie?

Zachęcamy do zapoznania się z ww. przepisami w szczegółach 😉