iSecure logo
Blog

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
Kategorie

W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych.

I część cyklu: Rozszerzony obowiązek informacyjny i profilowanie

II część cyklu: Obowiązek prowadzenia rejestru przetwarzania

Obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych

Według przepisów RODO w sytuacji, gdy administrator danych osobowych stwierdzi naruszenie danych osobowych lub wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ma obowiązek bez zbędnej zwłoki zawiadomić osoby, których naruszenia dotyczą. Biorąc pod uwagę tak krótki czas reakcji, firmy i instytucje zdecydowanie powinny przygotować się do tego typu incydentów z wyprzedzeniem.

Kiedy możemy mówić o wysokim ryzyku naruszenia praw i wolności? To sytuacja, gdy naruszenie prowadzi do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych osób fizycznych. Może to oznaczać np.:

  • utratę kontroli nad własnymi danymi osobowymi,
  • dyskryminację,
  • ograniczenie praw,
  • kradzież lub sfałszowanie tożsamości,
  • oszustwo,
  • stratę finansową,
  • uszczerbek na reputacji,
  • nieuprawnione odwrócenie pseudonimizacji,
  • naruszenie dobrego imienia,
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
  • wszelkie inne znaczne szkody gospodarcze lub społeczne.

Co istotne, to administrator będzie musiał ocenić, czy jest mało prawdopodobne, że dane naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Przez naruszenie ochrony danych osobowych rozumiemy naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Nie chodzi wyłącznie o przypadki włamań do systemów informatycznych, ale tak prozaiczne zdarzenia, jak np. zgubienie laptopa czy wysłanie e-maila do niewłaściwej osoby (o ile oczywiście prowadzą do nieuprawnionego dostępu do danych osobowych).

Istnieją oczywiście wymagania co do tego, jak powinno wyglądać zawiadomienie. I tak głównym celem zawiadomienia jest uświadomienie osobom fizycznym, że ochrona ich danych osobowych została naruszona i poinformowanie ich o krokach, które powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami. Administrator powinien wybrać metodę kontaktu, która zmaksymalizuje szanse właściwego zawiadomienia osoby fizycznej. Przede wszystkim powinno ono zostać napisane prostym i jasnym (zrozumiałym, ojczystym) językiem oraz zawierać opis charakteru naruszenia i jego konsekwencje. Ponadto powinno zawierać opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniom ochrony danych, a także informacje o Inspektorze Ochrony Danych w danej firmie czy instytucji.

Na szczęście istnieją wyjątki od tych przepisów i w pewnych sytuacjach nie ma obowiązku wysyłania zawiadomienia. Dotyczy to trzech sytuacji.

  1. Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych osobowych, których dotyczy naruszenie. Chodzi o zastosowanie przez Administratora takich środków jak szyfrowanie danych, które sprawia, że zmieniana jest zawartość plików bądź wiadomości w taki sposób, że ich treść jest bezużyteczna dla osoby trzeciej. Może to być także pseudonimizacja danych, czyli użycie liczby zamiast imienia i nazwiska rzeczywistej osoby. Wszystko po to, by nie można ich było przypisać konkretnej osobie, której dane dotyczą bez użycia dodatkowych informacji.
  2. Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, poprzez np. przeprowadzenie oceny skutków tzw. DPIA. Raporty DPIA są ważnymi narzędziami dla odpowiedzialności, jako że pomagają administratorom danych nie tylko być w zgodności z wymaganiami RODO, ale także udowodnić, że odpowiednie środki były przedsięwzięte do zapewnienia zgodności z regulacjami (zobacz też art. 24 Rozporządzenia). Innymi słowy, DPIA jest procesem budowania i demonstrowania zgodności z zapisami RODO.
  3. Naruszenie praw lub wolności osoby, której dane dotyczą wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku administrator musi jednak wydać publiczny komunikat (np. na stronie internetowej) lub zastosować podobny środek, tak aby osoby, których dane wyciekły, zostały poinformowane o naruszeniu „w równie skuteczny sposób”.

Niezawiadomienie osób, których dane zostały naruszone, zawiadomienie ich zbyt późno lub w niewłaściwy sposób jest zagrożone karą administracyjną w wysokości do 10 mln euro lub 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego.

Warto  więc opracować i wdrożyć  procedurę postępowania na wypadek wystąpienia incydentu bezpieczeństwa. W procedurze powinny znaleźć się: cel jej wdrożenia, zakres stosowania, opis etapów zarządzania incydentem od jego wykrycia do zamknięcia oraz przypisana pracownikom odpowiedzialność i role związane z reagowaniem na incydenty.

Procedura może także stanowić element polityki bezpieczeństwa. Dobrze jest zawrzeć w procedurze katalog najczęstszych zagrożeń i incydentów, które mogą prowadzić do naruszenia bezpieczeństwa danych osobowych oraz określić modelowy sposób zachowania pracowników i obowiązek informowania o domniemanych incydentach lub podejrzanych wydarzeniach wyznaczonych osób.

Obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu

Oprócz zawiadomienia osoby, której dane osobowe zostały naruszone, konieczne jest również zgłoszenie do organu nadzorczego – bez zbędnej zwłoki lub w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli ten termin zostanie przekroczony należy dodatkowo dołączyć wyjaśnienie tego opóźnienia.

Administrator może być zwolniony z tego obowiązku, gdy istnieje małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzkiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie musi zawierać następujące informacje:

  • charakter naruszenia
  • dane Inspektora Ochrony Danych
  • konsekwencje naruszenia
  • środki podjęte w celu zaradzenia naruszeniu ochrony danych

Podobne wpisy:

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…

W obecnym stanie prawnym przedsiębiorca zobowiązany jest do dopełnienia szeregu obowiązków informacyjnych wynikających z wielu ustaw. W niniejszym wpisie skupię się na ustawie o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny, na ustawie o świadczeniu usług drogą elektroniczną i na ustawie o ochronie danych osobowych.

Jak powinno wyglądać upoważnienie do przetwarzania danych osobowych?

Upoważnienia do przetwarzania danych osobowych to standardowy temat pojawiający się podczas działań podejmowanych w ramach wdrażania przepisów prawa ochrony danych osobowych w organizacji.  Mimo dość ustrukturyzowanej formuły upoważnienia, pojawia się szereg wątpliwości w kontekście obowiązku wydania samego dokumentu czy jego ostatecznej formy. W artykule postaramy się przybliżyć najważniejsze kwestie związane z upoważnieniami i jednocześnie odpowiedzieć […]

Dokumentacja zgodna z RODO

“Proszę o sporządzenie dokumentacji wewnętrznej zgodnej z RODO” – jest to jedno z najczęściej pojawiających się próśb skierowanych przez przedsiębiorców do wewnętrznych inspektorów ochrony danych lub spółek zajmujących się doradztwem z zakresu ochrony danych osobowych. Poza pewnymi dokumentami będącymi nowością na gruncie RODO, np.  rejestrem czynności przetwarzania lub dokumentami istniejącymi od dawna, jako obowiązkowe, a […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki