iSecure logo
Blog

W jaki sposób prawidłowo zawiadomić o naruszeniu podmiot danych?

Zarządzanie incydentami ochrony danych osobowych w organizacji to jedno z większych wyzwań z jakimi mierzą się administratorzy i Inspektorzy Ochrony Danych od momentu funkcjonowania RODO. Obsługa incydentów wymaga podjęciu wielu działań ze strony administratora. W pierwszej kolejności musi być duża świadomość w organizacji takich sytuacji, aby móc szybko i skutecznie zidentyfikować potencjalne naruszenie. Z drugiej strony, już po stwierdzeniu, że do naruszenia doszło, administrator musi podjąć szybkie kroki w celu oceny potencjalnego ryzyka dla praw i wolności osób, których dane zostały naruszone. Administrator za pomocą różnego rodzaju metodologii, m.in. metodologii ENISA, ocenia poziom i skalę naruszeń. Finalna ocena ma bardzo duży wpływ na kolejne kroki administratora przy obsłudze naruszenia.

W przypadku, gdy naruszenie powoduje średnie ryzyko naruszenia praw i wolności, administrator zobowiązany jest do zawiadomienia o incydencie Prezesa Urzędu Ochrony Danych Osobowych w przeciągu 72h od momentu stwierdzenia naruszenia. Jest to bardzo krótki okres, który wymaga od administratora natychmiastowego działania i zarządzenie incydentem. W przypadku, gdy podczas oceny naruszenia, administrator stwierdzi wysokie ryzyko dla praw i wolności podmiotu danych, dodatkowym obowiązkiem będzie zawiadomienie podmiotu danych o naruszeniu jego danych osobowych.

W jaki sposób prawidłowo zawiadomić podmiot danych? O czym należy pamiętać? Na co zwraca uwagę PUODO? O tym poniżej.

Zawiadomienie podmiotu danych

Z doświadczenia pracy w roli Inspektora Ochrony Danych muszę stwierdzić, że podczas korespondencji z PUODO dotyczącą zgłoszonego naruszenia jednym z najczęstszych zastrzeżeń Urzędu jest sposób zawiadomienia podmiotów danych. PUODO zazwyczaj nakazuje ponowne zawiadomienie podmiotu danych wskazując na liczne uchybienia przy pierwszej komunikacji z osobą, której dane zostały naruszone.

Co do zasady zawiadomienie powinno być przekazane bezpośrednio podmiotowi danych. Może to odbywać się za pomocą wiadomości e-mail, SMS, wiadomości listownej. W przypadku, gdy ilość osób, które należy zawiadomić jest bardzo szeroka lub administrator nie posiada bezpośredniego kontaktu do tych osób wskazane jest zawiadamianie za pomocą: banerów na stronach internetowych, reklamy, komunikatu prasowego lub inną formą masowego przekazu. Zgodnie z zalecaniami Grupy Roboczej art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony zgodnie z rozporządzeniem 2016/679 (obecnie Europejska Rada Ochrony Danych) forma i sposób komunikacji wybrany przez administratora powinien gwarantować łatwość i dostępność informacji o zawiadomieniu. Komunikat ten powinien być przekazany w jak najprostszej formie, która dokładnie pozwoli zrozumieć zaistniałe zagrożenie oraz co podmiot danych powinien zrobić, aby zabezpieczyć się przed skutkami naruszenia.

Co istotne, zgodnie z zasadą rozliczalności, administrator musi być w stanie wykazać przed organem nadzorczym, że w przypadku pojawienia się obowiązku zawiadomienia podmiotu danych, obowiązek ten został zrealizowany. Dlatego też ewentualne powiadomienia ustne, mimo, że nie są przez przepisy prawa zabronione, nie są rekomendowane.

Treść zawiadomienia – na co zwracać uwagę?

 Art. 33 ust. 3 RODO wskazuje na elementy, które muszą znaleźć się w każdym zawiadomieniu o naruszeniu ochrony danych osobowych. W pierwszej kolejności wskazany jest tzw. opis charakteru naruszeń. Administrator prostym i jasnym językiem powinien wytłumaczyć podmiotowi danych co tak naprawdę się stało z jego danymi osobowymi. Informacja ta powinna zawierać informację czy doszło do kradzieży danych, czy do ich usunięcia, zgubienia, nieuprawnionego dostępu itd. Administrator powinien, w miarę możliwości, poinformować również o rodzaju i liczbie naruszonych danych.

W dalszej kolejności przepisy obligują do poinformowania o danych kontraktowych inspektora ochrony danych lub innego punktu kontaktowego. Jest to istotne, aby podmiot danych mógł w każdej chwili zgłosić się do administratora z pytaniem o większą ilość informacji dotyczącą naruszenia jego danych osobowych. Administrator powinien wyjaśnić osobie fizycznej wszelkie okoliczności związane z naruszeniem. Dane kontaktowe powinny zawierać imię, nazwisko, adres e-mail lub numer telefonu.

Dwie pozostałe przesłanki z art. 33 ust. 3 to:

  1. Opis możliwych konsekwencji naruszenia,
  2. Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszenia.

Oba przypadki wywołują liczne uwagi ze strony PUODO i są powodem, przez które Urząd nakazuje administratorom ponowne zawiadomienie podmiotów danych. W poradniku dotyczącym obowiązków administratorów związanych z naruszeniami ochrony danych osobowych (https://uodo.gov.pl/pl/134/1029) oraz w pismach kierowanych do administratorów, Urząd zwraca uwaga, że konsekwencje naruszeń muszą być wskazane wprost. Dodatkowo, powinny być opisane jasnym i zrozumiałym dla odbiorców językiem. Należy unikać takich sformułowań jak:  „uszczerbek fizyczny”, „strata finansowa”, „kradzież tożsamości”. Zdaniem PUODO takie sformułowania są niewystarczające. Opis tych konsekwencji musi odzwierciedlać realne ryzyko wynikające z naruszenia. Przykłady takich konsekwencji zdaniem Urzędu są następujące: „osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o Pani/Pana stanie zdrowia, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL” lub „Pani / Pana dane osobowe mogą być wykorzystywane do wzięcia na Pani / Pana dane pożyczki krótkoterminowej”.

Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu / środki minimalizujące negatywne skutki naruszenia

Przy tworzeniu zawiadomienia ww. punkt rodzi liczne problemy dla administratora. Zdarza się dosyć często, że trudno jest wskazać realne środki, które administrator może podjąć, aby zaradzić naruszeniu. Należy jednak kategorycznie unikać sformułowań mówiących o dobrych intencjach administratora, poprawie w przyszłości, podjęciu czynności minimalizujących ryzyko (ale bez wskazania jakie to są czynności). Zdaniem PUODO mają to być opisane konkretne działania podjęte przez administratora po zaistnieniu naruszenia. Jako przykład PUODO podaje takie sformułowanie: „W związku z zaistniałym naruszeniem ochrony danych osobowych dokonaliśmy zmian w zakresie procedury weryfikacji poprawności adresu korespondencyjnego oraz zwróciliśmy się do niewłaściwego odbiorcy o zwrot dokumentacji. Dokonaliśmy także poprawienia Pani danych kontaktowych w celu uniknięcia wystąpienia podobnego zdarzenia w przyszłości. Naruszenie ochrony danych zgłosiliśmy również Prezesowi UODO.”

W przypadku środków minimalizujących negatywne skutki należy wskazać przykłady konkretnych działań, które podmiot danych może podjąć, aby uniknąć tych skutków. Te działania muszą być oczywiście dostosowane do charakteru danego naruszenia. Na przykład w przypadku naruszenia danych osobowych w postaci numeru telefonu i adresu e-mail świetnym przykładem takich środków będzie: ignorowanie wiadomości od nieznanych nadawców, nieklikanie w niezweryfikowane linki otrzymane za pomocą sms lub e-mail, blokowanie nieznanych numerów telefonu.

Tak pokrótce przedstawiają się obowiązki wynikające z konieczności zawiadomienia podmiotów danych o naruszeniu. Przygotowując zawiadomienie pamiętajmy o prostym i jasnym języku, bez używania skomplikowanych fraz. Istotne jest, aby informacja odpowiadała okolicznościom naruszenia. Unikajmy ogólnych sformułowań, używajmy określeń wskazujących na konkretne działania podjęte przez administratora.

Pobierz wpis w wersji pdf

Podobne wpisy:

Omówienie wytycznych CNIL w sprawie stosowania cookiewalls

Wstęp Niniejszy artykuł ma na celu omówienie wytycznych CNIL – Commission Nationale de l’Informatique et des Libertés, poruszających tematykę cookiewalls o charakterze paywalls. Należy zaznaczyć, iż CNIL zaproponował również kryteria oceny, która pozwala na weryfikację czy stosowanie cookiewalls jest dopuszczalne. Cookiewalls Jako cookiewall należy rozumieć taki banner cookie, który wymaga, by użytkownik końcowy odwiedzający stronę, […]

Zanim znajdziemy wykonawcę aplikacji

Brak całościowego spojrzenia na wdrożenie, czyli lewa ręka nie wie co przetwarza prawa

Nigdy za wiele powtarzania, że wdrożenie i utrzymanie zgodności z RODO to nie jednorazowy projekt, tylko ciągły proces. Bezpieczeństwo przetwarzania danych osobowych zazwyczaj dotyczy całokształtu działalności danej organizacji i towarzyszy jej w codziennym działaniu – od sposobu pozyskania danych, przez narzędzia do ich przetwarzania i wykorzystywania, na metodach ich usunięcia kończąc. Z natury rzeczy tak kompleksowe […]

Naruszenie ochrony danych – czym jest i jak sobie z nim poradzić?

Naruszenia ochrony danych osobowych to temat budzący niepokój wśród administratorów danych, inspektorów ochrony danych czy pracowników organizacji. Jak sobie z nimi poradzić, jakie kroki podjąć, czy formalności związane z naruszeniami są skomplikowane? Na te pytania odpowiem krótko w poniższym artykule. Zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki