iSecure logo
  • pl
  • en
    • Blog

    RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

    Olga Skotnicka
    RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
    Kategorie

    W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych.

    I część cyklu: Rozszerzony obowiązek informacyjny i profilowanie

    II część cyklu: Obowiązek prowadzenia rejestru przetwarzania

    Obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych

    Według przepisów RODO w sytuacji, gdy administrator danych osobowych stwierdzi naruszenie danych osobowych lub wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ma obowiązek bez zbędnej zwłoki zawiadomić osoby, których naruszenia dotyczą. Biorąc pod uwagę tak krótki czas reakcji, firmy i instytucje zdecydowanie powinny przygotować się do tego typu incydentów z wyprzedzeniem.

    Kiedy możemy mówić o wysokim ryzyku naruszenia praw i wolności? To sytuacja, gdy naruszenie prowadzi do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych osób fizycznych. Może to oznaczać np.:

    • utratę kontroli nad własnymi danymi osobowymi,
    • dyskryminację,
    • ograniczenie praw,
    • kradzież lub sfałszowanie tożsamości,
    • oszustwo,
    • stratę finansową,
    • uszczerbek na reputacji,
    • nieuprawnione odwrócenie pseudonimizacji,
    • naruszenie dobrego imienia,
    • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
    • wszelkie inne znaczne szkody gospodarcze lub społeczne.

    Co istotne, to administrator będzie musiał ocenić, czy jest mało prawdopodobne, że dane naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

    Przez naruszenie ochrony danych osobowych rozumiemy naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Nie chodzi wyłącznie o przypadki włamań do systemów informatycznych, ale tak prozaiczne zdarzenia, jak np. zgubienie laptopa czy wysłanie e-maila do niewłaściwej osoby (o ile oczywiście prowadzą do nieuprawnionego dostępu do danych osobowych).

    Istnieją oczywiście wymagania co do tego, jak powinno wyglądać zawiadomienie. I tak głównym celem zawiadomienia jest uświadomienie osobom fizycznym, że ochrona ich danych osobowych została naruszona i poinformowanie ich o krokach, które powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami. Administrator powinien wybrać metodę kontaktu, która zmaksymalizuje szanse właściwego zawiadomienia osoby fizycznej. Przede wszystkim powinno ono zostać napisane prostym i jasnym (zrozumiałym, ojczystym) językiem oraz zawierać opis charakteru naruszenia i jego konsekwencje. Ponadto powinno zawierać opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniom ochrony danych, a także informacje o Inspektorze Ochrony Danych w danej firmie czy instytucji.

    Na szczęście istnieją wyjątki od tych przepisów i w pewnych sytuacjach nie ma obowiązku wysyłania zawiadomienia. Dotyczy to trzech sytuacji.

    1. Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych osobowych, których dotyczy naruszenie. Chodzi o zastosowanie przez Administratora takich środków jak szyfrowanie danych, które sprawia, że zmieniana jest zawartość plików bądź wiadomości w taki sposób, że ich treść jest bezużyteczna dla osoby trzeciej. Może to być także pseudonimizacja danych, czyli użycie liczby zamiast imienia i nazwiska rzeczywistej osoby. Wszystko po to, by nie można ich było przypisać konkretnej osobie, której dane dotyczą bez użycia dodatkowych informacji.
    2. Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, poprzez np. przeprowadzenie oceny skutków tzw. DPIA. Raporty DPIA są ważnymi narzędziami dla odpowiedzialności, jako że pomagają administratorom danych nie tylko być w zgodności z wymaganiami RODO, ale także udowodnić, że odpowiednie środki były przedsięwzięte do zapewnienia zgodności z regulacjami (zobacz też art. 24 Rozporządzenia). Innymi słowy, DPIA jest procesem budowania i demonstrowania zgodności z zapisami RODO.
    3. Naruszenie praw lub wolności osoby, której dane dotyczą wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku administrator musi jednak wydać publiczny komunikat (np. na stronie internetowej) lub zastosować podobny środek, tak aby osoby, których dane wyciekły, zostały poinformowane o naruszeniu „w równie skuteczny sposób”.

    Niezawiadomienie osób, których dane zostały naruszone, zawiadomienie ich zbyt późno lub w niewłaściwy sposób jest zagrożone karą administracyjną w wysokości do 10 mln euro lub 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego.

    Warto  więc opracować i wdrożyć  procedurę postępowania na wypadek wystąpienia incydentu bezpieczeństwa. W procedurze powinny znaleźć się: cel jej wdrożenia, zakres stosowania, opis etapów zarządzania incydentem od jego wykrycia do zamknięcia oraz przypisana pracownikom odpowiedzialność i role związane z reagowaniem na incydenty.

    Procedura może także stanowić element polityki bezpieczeństwa. Dobrze jest zawrzeć w procedurze katalog najczęstszych zagrożeń i incydentów, które mogą prowadzić do naruszenia bezpieczeństwa danych osobowych oraz określić modelowy sposób zachowania pracowników i obowiązek informowania o domniemanych incydentach lub podejrzanych wydarzeniach wyznaczonych osób.

    Obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu

    Oprócz zawiadomienia osoby, której dane osobowe zostały naruszone, konieczne jest również zgłoszenie do organu nadzorczego – bez zbędnej zwłoki lub w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli ten termin zostanie przekroczony należy dodatkowo dołączyć wyjaśnienie tego opóźnienia.

    Administrator może być zwolniony z tego obowiązku, gdy istnieje małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzkiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie musi zawierać następujące informacje:

    • charakter naruszenia
    • dane Inspektora Ochrony Danych
    • konsekwencje naruszenia
    • środki podjęte w celu zaradzenia naruszeniu ochrony danych
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Karolina Żebrowska

    Wizerunek pracownika – kiedy pracodawca może go wykorzystać?

    Czy wyobrażacie sobie dobrze prosperującą firmę, która nie posiada własnej strony internetowej? Lub takiej, która nie prowadzi aktywnych działań w mediach społecznościowych? Wydarzenia ostatnich lat uświadomiły nam jeszcze mocniej jak ważną wizytówką przedsiębiorcy jest jego strona www. Okazuje się, że w dobie coraz częstszych spotkań online, braku nawiązywania kontaktów biznesowych „face to face”, bardzo istotne […]

    Czytaj więcej
    Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych - wideo
    Olga Skotnicka

    Dobry moment, czyli co w trawie piszczy… Dokumentacja RODO w Twojej organizacji

    Pewnie każdy z Was po niemal roku obowiązywania RODO, zastanawia się nad prawidłowością wdrożenia dokumentacji w swojej organizacji. Oczywiście łatwiej mają podmioty posiadające Inspektora Ochrony Danych (IOD), który skutecznie nadzoruje wdrożenie wcześniej zarekomendowanych dokumentów, tj. procedur, polityk, wytycznych, zgód czy obowiązków informacyjnych. Znacznie trudniej radzą sobie podmioty działające bez IOD, tym bardziej że RODO nie zawiera […]

    Czytaj więcej
    Olga Skotnicka

    Rejestr naruszeń a kontrola Prezesa Urzędu Ochrony Danych Osobowych

    Od ponad czterech lat, kiedy obowiązuje ogólne rozporządzenie o ochronie danych, wiele mówi się o naruszeniach ochrony danych osobowych. Zarówno na blogu iSecure jak i innych portalach, znaleźć można nałożone na administratorów danych szczególne obowiązki związane z dokonaniem zgłoszenia naruszeń ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych, a także wymogu prowadzenia dokumentacji naruszeń. Pisaliśmy o […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki