Začetek teka roka za obveščanje o kršitvah varstva osebnih podatkov po GDPR
By Urban Kryštufek
Skladno s 33. členom GDPR mora upravljavec osebnih podatkov (t.j. tisti, ki določa namene in sredstva obdelave, npr. banka, zavarovalnica, spletna trgovina, spletna platforma,….) najkasneje v roku 72 ur po seznanitvi s kršitvijo varstva osebnih podatkov o tem obvestiti Informacijskega pooblaščenca. Kadar zadevno obvestilo Informacijskemu pooblaščencu ni podano v 72 urah, je potrebno priložiti navedbo razlogov za zamudo.
Ker je predmetni rok za obveščanje o kršitvah varstva osebnih podatkov glede na izkušnje iz prakse relativno kratek, sta bili Bavarskemu nadzornemu organu za varstvo podatkov (Bayerisches Landesamt für Datenschutzaufsicht, v nadaljevanju: BayLDA) postavljeni naslednji praktični vprašanji:
- Kako zagotoviti, da bo obvestilo nadzornemu organu o kršitvah varstva osebnih podatkov izvedeno tudi če se zgodi ob praznikih in vikendih ? Kdaj začne v tem primeru teči rok za obveščanje ?
- Glede na značilnosti pogodbene obdelave tvorita pogodbeni obdelovalec (t.j. tisti, ki obdeluje osebne podatke po navodilih upravljavca, npr. ponudnik oblačnih storitev) in upravljavec enotno organizacijsko / odgovornostno enoto (pogodbeni obdelovalec se namreč skladno z GDPR ne šteje za tretjega, glej 10. odstavek 4. člena GDPR). Ali torej glede na prej navedeno koncepcijo rok za obveščanje o kršitvah začne teči že pri pogodbenem obdelovalcu (če do kršitve pride v njegovi organizacijski sferi) in mora upravljavec potem obvestiti nadzorni organ v preostalem roku (npr. če je pogodbeni obdelovalec o kršitvi obvestil upravljavca v 12 urah po seznanitvi s kršitvijo, ali ima potem upravljavec še preostalih 60 ur časa, da o tem uradno obvesti nadzorni organ ? Če temu ni tako, ali se lahko razlaga beseda „nemudoma‟ na način, da ima pogodbeni obdelovalec tudi sam 72 ur časa, da o kršitvi obvesti upravljavca ?
Glede prvega vprašanja je BayLDA odgovoril, da rok za obveščanje začne teči tudi v primeru praznikov in delovnih dni (če upravljavec o kršitvi o tem takrat izve), saj lahko upravljavec v roku 72 ur obvesti nadzorni organ tudi na delovni dan, ki sledi po dela prostem dnevu. Upravljavci morajo zato sprejeti ustrezne ukrepe, da lahko tudi v najhujših primerih (worst case scenario) izvedejo ustrezne korake, ki minimizirajo nastalo škodo in omogočijo izpolnjevanje zakonskih obveznosti.
Glede drugega vprašanja je BayLDA odgovoril, da začne rok 72 ur teči v trenutku, ko se upravljavec seznani s kršitvijo, t.j. časovni trenutek ko je bil upravljavec o tem obveščen s strani pogodbenega obdelovalca. Rok v katerem mora pogodbeni obdelovalec o kršitvi obvestiti upravljavca pa mora biti čim krajši, tudi krajši od roka 72 ur. Kako široko se bo razlaga beseda „nemudoma″ pa se bo pokazalo v okviru harmonizacije EU varstva osebnih podatkov. Verjetno bo tem svojo sodbo podal tudi novoustanovljeni Odbor za varstvo osebnih podatkov (naslednik WP29).
Če želite pridobiti nadaljnje koristne informacije v zvezi s področjem prava varstva osebnih podatkov, prosim kontaktirajte našo ekipo info@itlaw.si">info@itlaw.si.