MP nr 16 - Cyberbezpieczeństwo

Zgłaszanie naruszeń ochrony danych osobowych na gruncie Ogólnego Rozporządzenia o Ochronie Danych w kontekście zbycia przedsiębiorstwa lub udziałów w przedsiębiorstwie

W poprzednim numerze Monitora Prawnego informowaliśmy o prawdopodobnym wycieku danych osobowych, do którego doszło u znanego operatora pocztowego (link). W uzupełnieniu tej informacji, pragniemy rozwinąć wątek obowiązku zgłaszania naruszeń ochrony danych osobowych, który zacznie obowiązywać wraz
z rozpoczęciem stosowania Ogólnego Rozporządzenia o Ochronie Danych („RODO”), tj. od dnia 25 maja 2018 r.

W dniu 8 września 2017 r. CNBC poinformowała o wycieku danych z Equifax, który objął swoim zasięgiem dane osobowe 143 milionów konsumentów z USA, czyli niemalże połowę obywateli tego kraju. Co istotne,
w przypadku wycieku danych z Equifax powtórzył się znany już scenariusz, w którym administrator danych zwleka z podaniem informacji o naruszeniu ochrony danych z uwagi na przeprowadzaną transakcję, dążąc tym samym do uniknięcia zmniejszenia wartości jej przedmiotu. Jak bowiem informują liczne media internetowe, wkrótce po wykryciu wycieku danych, a przed podaniem informacji o tym zdarzeniu, doszło do sprzedaży udziałów w Equifax. Podobna sytuacja miała także miejsce w przypadku największego w historii wycieku danych, do którego doszło w 2014 roku, kiedy to z Yahoo wyciekły dane osobowe miliarda użytkowników. Wówczas informacja o wycieku została przekazana przez administratora danych dopiero dwa lata później, po sfinalizowaniu transakcji nabycia Yahoo przez Verizon.

Zaistnienie podobnych sytuacji na gruncie RODO będzie znacznie mniej prawdopodobne. Należy bowiem zauważyć, iż zgodnie z art. 33 RODO administratorzy danych będą zobowiązani do zgłaszania naruszeń organowi nadzorczemu, informując go o wszystkich istotnych okolicznościach incydentu. Dzięki tej regulacji przyszły nabywca przedsiębiorstwa lub jego udziałów będzie miał potencjalną możliwość zwrócenia się do organu nadzorczego z wnioskiem o udostępnienie informacji publicznej w zakresie naruszeń ochrony danych zgłoszonych przez danego administratora, co umożliwi mu lepszą ocenę wartości przedmiotu transakcji. O tym, jak będzie wyglądał tryb uzyskiwania tych informacji od organu nadzorczego, zadecyduje przyszła praktyka urzędu.

Link do materiału źródłowego https://www.cnbc.com/2017/09/07/credit-reporting-firm-equifax-says-cybersecurity-incident-could-potentially-affect-143-million-us-consumers.html

Autor publikacji: Paweł Gruszecki (Partner, Szef Praktyki Nowych Technologii i Telekomunikacji), Justyna Zygmunt (Prawnik, Praktyka Nowych Technologii i Telekomunikacji)
Nazwa Kancelarii: Kochański Zięba & Partners sp. k.