iSecure logo
  • pl
  • en
    • Blog

    RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

    Olga Skotnicka
    RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
    Kategorie

    W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych.

    I część cyklu: Rozszerzony obowiązek informacyjny i profilowanie

    II część cyklu: Obowiązek prowadzenia rejestru przetwarzania

    Obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych

    Według przepisów RODO w sytuacji, gdy administrator danych osobowych stwierdzi naruszenie danych osobowych lub wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ma obowiązek bez zbędnej zwłoki zawiadomić osoby, których naruszenia dotyczą. Biorąc pod uwagę tak krótki czas reakcji, firmy i instytucje zdecydowanie powinny przygotować się do tego typu incydentów z wyprzedzeniem.

    Kiedy możemy mówić o wysokim ryzyku naruszenia praw i wolności? To sytuacja, gdy naruszenie prowadzi do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych osób fizycznych. Może to oznaczać np.:

    • utratę kontroli nad własnymi danymi osobowymi,
    • dyskryminację,
    • ograniczenie praw,
    • kradzież lub sfałszowanie tożsamości,
    • oszustwo,
    • stratę finansową,
    • uszczerbek na reputacji,
    • nieuprawnione odwrócenie pseudonimizacji,
    • naruszenie dobrego imienia,
    • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
    • wszelkie inne znaczne szkody gospodarcze lub społeczne.

    Co istotne, to administrator będzie musiał ocenić, czy jest mało prawdopodobne, że dane naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

    Przez naruszenie ochrony danych osobowych rozumiemy naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Nie chodzi wyłącznie o przypadki włamań do systemów informatycznych, ale tak prozaiczne zdarzenia, jak np. zgubienie laptopa czy wysłanie e-maila do niewłaściwej osoby (o ile oczywiście prowadzą do nieuprawnionego dostępu do danych osobowych).

    Istnieją oczywiście wymagania co do tego, jak powinno wyglądać zawiadomienie. I tak głównym celem zawiadomienia jest uświadomienie osobom fizycznym, że ochrona ich danych osobowych została naruszona i poinformowanie ich o krokach, które powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami. Administrator powinien wybrać metodę kontaktu, która zmaksymalizuje szanse właściwego zawiadomienia osoby fizycznej. Przede wszystkim powinno ono zostać napisane prostym i jasnym (zrozumiałym, ojczystym) językiem oraz zawierać opis charakteru naruszenia i jego konsekwencje. Ponadto powinno zawierać opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniom ochrony danych, a także informacje o Inspektorze Ochrony Danych w danej firmie czy instytucji.

    Na szczęście istnieją wyjątki od tych przepisów i w pewnych sytuacjach nie ma obowiązku wysyłania zawiadomienia. Dotyczy to trzech sytuacji.

    1. Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych osobowych, których dotyczy naruszenie. Chodzi o zastosowanie przez Administratora takich środków jak szyfrowanie danych, które sprawia, że zmieniana jest zawartość plików bądź wiadomości w taki sposób, że ich treść jest bezużyteczna dla osoby trzeciej. Może to być także pseudonimizacja danych, czyli użycie liczby zamiast imienia i nazwiska rzeczywistej osoby. Wszystko po to, by nie można ich było przypisać konkretnej osobie, której dane dotyczą bez użycia dodatkowych informacji.
    2. Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, poprzez np. przeprowadzenie oceny skutków tzw. DPIA. Raporty DPIA są ważnymi narzędziami dla odpowiedzialności, jako że pomagają administratorom danych nie tylko być w zgodności z wymaganiami RODO, ale także udowodnić, że odpowiednie środki były przedsięwzięte do zapewnienia zgodności z regulacjami (zobacz też art. 24 Rozporządzenia). Innymi słowy, DPIA jest procesem budowania i demonstrowania zgodności z zapisami RODO.
    3. Naruszenie praw lub wolności osoby, której dane dotyczą wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku administrator musi jednak wydać publiczny komunikat (np. na stronie internetowej) lub zastosować podobny środek, tak aby osoby, których dane wyciekły, zostały poinformowane o naruszeniu „w równie skuteczny sposób”.

    Niezawiadomienie osób, których dane zostały naruszone, zawiadomienie ich zbyt późno lub w niewłaściwy sposób jest zagrożone karą administracyjną w wysokości do 10 mln euro lub 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego.

    Warto  więc opracować i wdrożyć  procedurę postępowania na wypadek wystąpienia incydentu bezpieczeństwa. W procedurze powinny znaleźć się: cel jej wdrożenia, zakres stosowania, opis etapów zarządzania incydentem od jego wykrycia do zamknięcia oraz przypisana pracownikom odpowiedzialność i role związane z reagowaniem na incydenty.

    Procedura może także stanowić element polityki bezpieczeństwa. Dobrze jest zawrzeć w procedurze katalog najczęstszych zagrożeń i incydentów, które mogą prowadzić do naruszenia bezpieczeństwa danych osobowych oraz określić modelowy sposób zachowania pracowników i obowiązek informowania o domniemanych incydentach lub podejrzanych wydarzeniach wyznaczonych osób.

    Obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu

    Oprócz zawiadomienia osoby, której dane osobowe zostały naruszone, konieczne jest również zgłoszenie do organu nadzorczego – bez zbędnej zwłoki lub w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli ten termin zostanie przekroczony należy dodatkowo dołączyć wyjaśnienie tego opóźnienia.

    Administrator może być zwolniony z tego obowiązku, gdy istnieje małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzkiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie musi zawierać następujące informacje:

    • charakter naruszenia
    • dane Inspektora Ochrony Danych
    • konsekwencje naruszenia
    • środki podjęte w celu zaradzenia naruszeniu ochrony danych
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Agnieszka Dominiak

    Retencja w rekrutacji, czyli o usuwaniu danych kandydatów do pracy

    W grudniowym wpisie Katarzyna Ułasiuk-Delamare opracowała obszerne podsumowanie zagadnień związanych z ochroną danych osobowych w procesach rekrutacyjnych. Dzisiaj rozszerzę wątek, któremu poświęcony został ostatni akapit tego opracowania, mianowicie: usuwanie danych osobowych w procesach rekrutacyjnych. Obowiązek ograniczonego przetwarzania danych osobowych wynika wprost z przepisów RODO, tj. artykułu 5 oraz motywu 39, których fragmenty brzmią jak poniżej: […]

    Czytaj więcej
    Przetwarzanie danych służbowych
    Przemysław Siarka

    DPIA w organizacji

    Jednym z częstych uchybień, które mają miejsce podczas wdrażania RODO, jest błędna ocena co do braku przesłanek do przeprowadzenia oceny skutków dla ochrony danych (Data Protection Impact Assessment, DPIA). Często może być wynikiem przeświadczenia, że skoro niejedna analiza procesu została zrobiona przed wdrożeniem RODO (np. podczas audytu), to już nic więcej nie trzeba oceniać. Natomiast […]

    Czytaj więcej
    Maciej Łukaszewicz

    Zbycie / pozyskanie przedsiębiorstwa a obowiązki wynikające z RODO

    Wstęp Zbycie przedsiębiorstwa lub jego części jest powszechną formą transakcji handlowej obejmującą przeniesienie własności przedsiębiorstwa wraz z jego aktywami z jednego podmiotu na drugim. Sam proces sprzedaży przedsiębiorstwa jest skomplikowanym, wielowątkowym procesem prawnym. Niemniej, w niniejszym artykule postaramy się odpowiedzieć na pytanie, w jaki sposób podczas transakcji zbycia przedsiębiorstwa zadbać o przetwarzanie danych osobowych zgodnie […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki