iSecure logo
  • pl
  • en
    • Blog

    RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

    Olga Skotnicka
    RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
    Kategorie

    W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych.

    I część cyklu: Rozszerzony obowiązek informacyjny i profilowanie

    II część cyklu: Obowiązek prowadzenia rejestru przetwarzania

    Obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych

    Według przepisów RODO w sytuacji, gdy administrator danych osobowych stwierdzi naruszenie danych osobowych lub wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ma obowiązek bez zbędnej zwłoki zawiadomić osoby, których naruszenia dotyczą. Biorąc pod uwagę tak krótki czas reakcji, firmy i instytucje zdecydowanie powinny przygotować się do tego typu incydentów z wyprzedzeniem.

    Kiedy możemy mówić o wysokim ryzyku naruszenia praw i wolności? To sytuacja, gdy naruszenie prowadzi do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych osób fizycznych. Może to oznaczać np.:

    • utratę kontroli nad własnymi danymi osobowymi,
    • dyskryminację,
    • ograniczenie praw,
    • kradzież lub sfałszowanie tożsamości,
    • oszustwo,
    • stratę finansową,
    • uszczerbek na reputacji,
    • nieuprawnione odwrócenie pseudonimizacji,
    • naruszenie dobrego imienia,
    • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
    • wszelkie inne znaczne szkody gospodarcze lub społeczne.

    Co istotne, to administrator będzie musiał ocenić, czy jest mało prawdopodobne, że dane naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

    Przez naruszenie ochrony danych osobowych rozumiemy naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Nie chodzi wyłącznie o przypadki włamań do systemów informatycznych, ale tak prozaiczne zdarzenia, jak np. zgubienie laptopa czy wysłanie e-maila do niewłaściwej osoby (o ile oczywiście prowadzą do nieuprawnionego dostępu do danych osobowych).

    Istnieją oczywiście wymagania co do tego, jak powinno wyglądać zawiadomienie. I tak głównym celem zawiadomienia jest uświadomienie osobom fizycznym, że ochrona ich danych osobowych została naruszona i poinformowanie ich o krokach, które powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami. Administrator powinien wybrać metodę kontaktu, która zmaksymalizuje szanse właściwego zawiadomienia osoby fizycznej. Przede wszystkim powinno ono zostać napisane prostym i jasnym (zrozumiałym, ojczystym) językiem oraz zawierać opis charakteru naruszenia i jego konsekwencje. Ponadto powinno zawierać opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniom ochrony danych, a także informacje o Inspektorze Ochrony Danych w danej firmie czy instytucji.

    Na szczęście istnieją wyjątki od tych przepisów i w pewnych sytuacjach nie ma obowiązku wysyłania zawiadomienia. Dotyczy to trzech sytuacji.

    1. Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych osobowych, których dotyczy naruszenie. Chodzi o zastosowanie przez Administratora takich środków jak szyfrowanie danych, które sprawia, że zmieniana jest zawartość plików bądź wiadomości w taki sposób, że ich treść jest bezużyteczna dla osoby trzeciej. Może to być także pseudonimizacja danych, czyli użycie liczby zamiast imienia i nazwiska rzeczywistej osoby. Wszystko po to, by nie można ich było przypisać konkretnej osobie, której dane dotyczą bez użycia dodatkowych informacji.
    2. Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, poprzez np. przeprowadzenie oceny skutków tzw. DPIA. Raporty DPIA są ważnymi narzędziami dla odpowiedzialności, jako że pomagają administratorom danych nie tylko być w zgodności z wymaganiami RODO, ale także udowodnić, że odpowiednie środki były przedsięwzięte do zapewnienia zgodności z regulacjami (zobacz też art. 24 Rozporządzenia). Innymi słowy, DPIA jest procesem budowania i demonstrowania zgodności z zapisami RODO.
    3. Naruszenie praw lub wolności osoby, której dane dotyczą wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku administrator musi jednak wydać publiczny komunikat (np. na stronie internetowej) lub zastosować podobny środek, tak aby osoby, których dane wyciekły, zostały poinformowane o naruszeniu „w równie skuteczny sposób”.

    Niezawiadomienie osób, których dane zostały naruszone, zawiadomienie ich zbyt późno lub w niewłaściwy sposób jest zagrożone karą administracyjną w wysokości do 10 mln euro lub 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego.

    Warto  więc opracować i wdrożyć  procedurę postępowania na wypadek wystąpienia incydentu bezpieczeństwa. W procedurze powinny znaleźć się: cel jej wdrożenia, zakres stosowania, opis etapów zarządzania incydentem od jego wykrycia do zamknięcia oraz przypisana pracownikom odpowiedzialność i role związane z reagowaniem na incydenty.

    Procedura może także stanowić element polityki bezpieczeństwa. Dobrze jest zawrzeć w procedurze katalog najczęstszych zagrożeń i incydentów, które mogą prowadzić do naruszenia bezpieczeństwa danych osobowych oraz określić modelowy sposób zachowania pracowników i obowiązek informowania o domniemanych incydentach lub podejrzanych wydarzeniach wyznaczonych osób.

    Obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu

    Oprócz zawiadomienia osoby, której dane osobowe zostały naruszone, konieczne jest również zgłoszenie do organu nadzorczego – bez zbędnej zwłoki lub w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli ten termin zostanie przekroczony należy dodatkowo dołączyć wyjaśnienie tego opóźnienia.

    Administrator może być zwolniony z tego obowiązku, gdy istnieje małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzkiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie musi zawierać następujące informacje:

    • charakter naruszenia
    • dane Inspektora Ochrony Danych
    • konsekwencje naruszenia
    • środki podjęte w celu zaradzenia naruszeniu ochrony danych
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Ochrona danych osobowych w outsourcingu płac
    Michał Sztąberek

    Ochrona danych osobowych w outsourcingu płac

    Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO), a konkretnie jej art. 31 możliwe jest, by administrator danych (np. spółka z o.o.) powierzył przetwarzane przez siebie dane innemu podmiotowi. Takim podmiotem może być biuro rachunkowe, które w ramach swoich obowiązków (wynikających z umowy) będzie zajmowało się – właśnie na zasadzie outsourcingu – obsługą płacową pracowników zleceniodawcy.

    Czytaj więcej
    Wniosek rejestracyjny do GIODO
    Michał Sztąberek

    Wniosek rejestracyjny do GIODO

    Przed nami długi majowy weekend, a to oznacza być może nieco więcej czasu. Dlatego też zapraszam do trochę dłuższej notki poświęconej wnioskom rejestracyjnym do GIODO. Wypełniając nowy wniosek, na początek musimy zdecydować czy rejestrujemy nowy zbiór, w którym przetwarzane są dane zwykłe (zgłoszenie na podstawie art. 40 UODO) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 UODO). Natomiast jeżeli nasze zgłoszenie ma na celu dokonanie aktualizacji istniejącego już zbioru, wówczas zaznaczamy opcję nr 2, gdzie mowa jest o aktualizacji z art. 41 ust. 2 UODO.

    Czytaj więcej
    Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych - wideo
    Michał Sztąberek

    Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych – wideo

    W poprzednim wpisie prezentowaliśmy slajdy z naszego wystąpienia podczas dziesiątej edycji katowickiego Spodka 2.0, tym razem natomiast zapraszamy do zapoznania się z materiałem wideo z tego wydarzenia. Miłego oglądania 🙂

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki