REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Naruszenie ochrony danych – zgłoszenie. / fot. Shutterstock
Naruszenie ochrony danych – zgłoszenie. / fot. Shutterstock
Shutterstock

REKLAMA

REKLAMA

Do naruszenia ochrony danych dochodzi, gdy są one przetwarzane niezgodnie z RODO, polityką bezpieczeństwa czy polityką ochrony danych osobowych administratora danych. Kto i komu zgłasza naruszenie? Czy każdy taki przypadek należy zgłosić do PUOD? Co powinno zawierać zgłoszenie? Jak je udokumentować? Kto i w jaki sposób zawiadamia osobę, której dane zostały naruszone?
rozwiń >

Naruszenie ochrony danych – z czym to się wiąże?

Dziś zajmiemy się szeroko pojętym tematem naruszenia ochrony danych. Napiszę Wam o tym: kiedy mówimy o naruszeniu ochrony danych, kto komu i w jakim terminie zgłasza naruszenie, co powinno zawierać takie zgłoszenie, jak udokumentować naruszenie, kiedy nie trzeba go zgłaszać no i wreszcie jak zawiadomić osobę, której dane wyciekły.

REKLAMA

REKLAMA

Temat jest naprawdę bardzo ważny, ponieważ pomimo naszych starań jako administratorzy, pracodawców w każdej chwili może u nas dojść do naruszenia danych i co wtedy? Zacznijmy od ustalenia  - kiedy mówimy o naruszeniu ochrony danych.

Kiedy dochodzi do naruszenia danych?

Wszelkiego rodzaju nieprawidłowości (incydenty) związane z ochroną danych osobowych w świetle RODO są traktowane jako naruszenie danych. Chodzi tu więc o wszystkie te sytuacje, w których dane osobowe były przetwarzane w sposób niezgodny z:

  • przepisami prawa powszechnie obowiązującego – RODO oraz ustawa z 10 maja 2018 roku o ochronie danych osobowych;
  • postanowieniami wewnętrznych regulacji administratora danych, np. polityką bezpieczeństwa czy polityką ochrony danych osobowych.

Polecamy: Serwis Inforlex RODO 3 m-ce + książka RODO dla kadrowych i HR

REKLAMA

Stwierdziliśmy, że doszło do naruszenia danych – co dalej ? Kto i komu zgłasza ten fakt?

Dalszy ciąg materiału pod wideo

Kto i komu zgłasza naruszenie?

Zgodnie z art. 33 RODO w przypadku takiego naruszenia ochrony danych osobowych administrator danych osobowych powinien je zgłosić do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Administratorem danych osobowych jest na przykład pracodawca. Należy pamiętać, że RODO nie ustanawia na podmiotach innych niż administrator danych osobowych obowiązku reagowania na incydenty związane z ochroną danych osobowych. Oznacza to w szczególności, że obowiązku zgłoszenia naruszenia do PUODO nie spoczywa na żadnym z pracowników administratora. Powinni oni jednak w razie wykrycia naruszenia niezwłocznie powiadomić o tym kierownictwo, ponieważ zgłoszenia dokonuje organ reprezentujący dany podmiot, np. w przypadku spółki jest to zarząd.

Z kolei gdy podmiot przetwarzający (procesor) stwierdzi naruszenie ochrony danych osobowych, powinien zgłosić je administratorowi. I tutaj bardzo ważna rzecz, którą zawsze podkreślam podczas moich szkoleń – zwróćcie uwagę przy podpisywaniu umów powierzenia przetwarzania danych na czas jaki dajecie procesorowi na powiadomienie was jako administratorów o naruszeniu danych do jakiego ewentualnie doszło u procesora. Biorąc pod uwagę, że wy macie na zgłoszenie do PUODO 72 godziny, rekomenduję zawsze, aby w takiej umowie wpisać maksymalnie 24 godziny od wykrycia naruszenia.

Czy każdy incydent należy zgłosić do PUOD?

RODO przewiduje tylko jeden wyjątek, gdy nie trzeba dokonywać zgłoszenia naruszenia do PUODO: jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Oznacza to, że nie zawsze naruszenie ochrony danych osobowych musi się równać z naruszeniem praw lub wolności osoby fizycznej. Jeżeli jednak istnieje chociażby ryzyko takiego naruszenia praw lub wolności to incydent należy zgłosić.

Pamiętajcie o tym, że takie zawiadomienie może złożyć każdy, nie tylko administrator! Takie zawiadomienie dokonane przez podmiot trzeci może skutkować przeprowadzeniem kontroli przez PUODO u danego administratora. A więc  z tego powodu rezygnacja z dokonania zgłoszenia powinna być gruntownie przemyślana.

Postanowiliśmy zgłosić naruszenie – co powinno zawierać takie zgłoszenie?

Zawartość zgłoszenia

Minimalna obligatoryjna treść zgłoszenia powinna zawierać:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

W zgłoszeniu można zawrzeć także wszelkie inne informacje jakie administrator danych uważa za istotne dla sprawy, w tym pozwalające zminimalizować jego odpowiedzialność za naruszenie. Może się zdarzyć, że już po zgłoszeniu dotrą do was nowe informacje mające wpływ na ocenę PUODO. Wtedy powinniście je przekazać do Urzędu w kolejnej korespondencji.

Zgłoszenia naruszenia dokonuje się poprzez stronę UODO, gdzie należy wypełnić poszczególne pola – zgłoszenie jest bardzo proste i z pewnością jeśli zajdzie taka potrzeba nie sprawi wam problemu.

Należy pamiętać, że nie zawsze organem właściwym do dokonania zgłoszenia będzie polski organ nadzorczy. W przypadku gdy naruszenie dotyczy danych osób z różnych krajów Unii Europejskiej, zgłoszenie powinno zostać dokonane do tzw. wiodącego organu nadzorczego. Może nim być, ale wcale nie musi, polski organ nadzorczy czyli PUODO. Zgłoszenie do organu nadzorczego w innym Państwie członkowskim powinno mieć miejsce w przypadku przetwarzania transgranicznego. Chodzi tu o przypadki, gdy:

  • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
  • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.

Kolejną ważną sprawą jest dokumentowanie naruszeń.

Dokumentowanie naruszeń

RODO wymaga, aby administrator dokumentował wszelkie naruszenia ochrony danych osobowych, w tym:

  • okoliczności naruszenia ochrony danych osobowych,
  • skutki naruszenia,
  • podjęte działania zaradcze.

Jeśli dojdzie do sytuacji, że administrator nie powiadomił PUODO o naruszeniu i taka informacja nie dotarła od osób trzecich to organ nadzorczy nie ma możliwości posiadania wiedzy o danym naruszeniu. Wprowadzenie obowiązku dokumentowania wszystkich naruszeń ( i tych zgłoszonych i tych niezgłoszonych) ma pozwolić na weryfikowanie przestrzegania obowiązku dokonania zgłoszenia naruszenia.

Koresponduje to z bardziej ogólnym obowiązkiem administratora danych osobowych, zwanym zasadą rozliczalności. Zgodnie z nią administrator musi być w stanie wykazać przestrzeganie zasad ochrony danych osobowych.

Administrator powinien prowadzić tzw. rejestr naruszeń, w którym gromadzi informacje pojawiające się w całym procesie związanym z naruszeniem danych osobowych. Chodzi tu o okres od rejestracji zgłoszenia naruszenia, poprzez gromadzenie dokumentacji, aż do stworzenia kompletnego wpisu (rekordu) dotyczącego konkretnego przypadku naruszenia.

I ostania sprawa – zawiadomienie osoby której dane zostały naruszone.

Zawiadomienie osoby, której dane zostały naruszone

Pamiętajcie, że nie organ nadzorczy a właśnie administrator powinien zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może to powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zawiadomienie powinno być dokonane bez zbędnej zwłoki, powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej:

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • możliwe konsekwencje naruszenia ochrony danych osobowych;
  • środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Administrator nie musi jednak dokonywać zawiadomienia osoby, której dane zostały naruszone, jeśli:

  • wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  • zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • zawiadomienie wymagałoby niewspółmiernie dużego wysiłku; w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Pamiętajcie jednak o tym, że może się zdarzyć, iż organ nadzorczy w toku prowadzonego zgłoszenia nakaże wam jako administratorowi powiadomić podmiot, którego dane zostały naruszone.

Co do zasady, jeśli już dojdzie do naruszenia ochrony danych to należy to dobrze przeanalizować i nie bać się powiadamiać o tym PUODO, gdyż takie powiadomienie wcale nie jest jednoznaczne z tym. że ktoś przyjdzie do nas na kontrolę i nałoży na nas mandatNatomiast może się tak stać, jeśli postanowimy sprawę zamieść pod dywan a organ nadzorczy dowie się o naruszeniu od osób trzecich.

Podstawa prawna:

Ustawa z dnia 10 lipca 2015 r. o zmianie ustawy o prokuraturze, ustawy o wykonywaniu mandatu posła i senatora, ustawy o ochronie danych osobowych, ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, ustawy o Rzeczniku Praw Dziecka oraz ustawy – Prawo o ustroju sądów powszechnych (Dziennik Ustaw rok 2015 poz. 1309)

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dziennik Ustaw rok 2018 poz. 1000)

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
20 lat więzienia dla Łukasza Żaka. Zapadł wyrok w sprawie tragedii na Trasie Łazienkowskiej

Sąd Rejonowy dla Warszawy-Śródmieścia skazał Łukasza Żaka na 20 lat więzienia za spowodowanie śmiertelnego wypadku na Trasie Łazienkowskiej. Prokuratura ocenia, że to bezprecedensowy wyrok, możliwy dzięki zaostrzeniu przepisów obowiązujących od przełomu 2023 i 2024 roku.

Krótszy czas pracy sprawdza się dobrze, a pracownicy stawiają na rozwój osobisty

Choć program pilotażowy skróconego czasu pracy jeszcze się nie zakończył, to jednak pracodawcy, którzy wdrożyli to rozwiązanie jeszcze przed jego rozpoczęciem, mają już pierwsze wnioski. Jak się okazuje, rozwiązanie się sprawdza – pracownicy są wydajni i stawiają na rozwój swoich kompetencji.

MON: W 2027 roku kwalifikacji wojskowej będzie podlegać 245000 osób. Obowiązek ten obejmuje także kobiety

Ministerstwo Obrony Narodowej pracuje nad nowym rozporządzeniem w sprawie przeprowadzenia kwalifikacji wojskowej w 2027 roku. Nowe przepisy wyznaczą termin i czas trwania kwalifikacji wojskowej w przyszłym roku. MON określi także roczniki i grupy osób podlegające kwalifikacji.

Zamiast jednego wynajmującego i 3000 zł – 18 wynajmujących i 9000 zł miesięcznie do kieszeni. Sąsiad wynajmie mieszkanie pracownikom zamiast jednej rodzinie

„Są w Polsce miejscowości, są gminy, w których powstały wręcz osiedla zbudowane dokładnie po to, żeby osoby przyjeżdżające spoza kraju wegetowały w tych pomieszczeniach i to są z reguły domy jednorodzinne, albo budynki typu bliźniak, w którym mieszka kilkadziesiąt osób w urągających warunkach” – alarmują samorządy. W sieci natomiast, cały czas regularnie pojawiają się ogłoszenia o treści typu – „Oferuję szeregowiec pod najem pracowniczy – nawet dla 18 osób. Podana cena 9000 zł jest ceną brutto i dotyczy maksymalnego obłożenia – 500 zł/os.” Czy taki sposób użytkowania nieruchomości przez jej właściciela, który oferuje swój dom lub mieszkanie pod najem pracowniczy jest zgodny z prawem i czy w najbliższym czasie – w związku z istniejącym w Polsce problemem w tym zakresie – szykują się jakieś zmiany w przepisach?

REKLAMA

Lootboxy w grach komputerowych – między prawem hazardowym a ochroną konsumentów. Analiza regulacyjna na tle prawa polskiego i Unii Europejskiej

Czy lootboxy to wyłącznie element współczesnych gier komputerowych, czy już mechanizm wymagający interwencji ustawodawcy? Rosnąca popularność mikropłatności oraz losowych nagród sprawia, że granica pomiędzy modelem biznesowym opartym na monetyzacji a rozwiązaniami przypominającymi klasyczne gry hazardowe staje się coraz mniej wyraźna. Jednocześnie unijne i krajowe organy regulacyjne coraz częściej analizują lootboxy nie tylko przez pryzmat prawa hazardowego, lecz także ochrony konsumentów, bezpieczeństwa dzieci oraz uczciwego projektowania usług cyfrowych. W artykule przedstawiono aktualny stan prawny w Polsce i Unii Europejskiej oraz omówiono kierunki przyszłych zmian regulacyjnych dotyczących jednego z najbardziej kontrowersyjnych mechanizmów współczesnego rynku gier.

Bezpieczne otwarte finanse – gdzie DORA spotyka FIDA? UE szykuje nowe przepisy

Dostęp do danych i operacyjna odporność cyfrowa, czyli odporność systemów na awarie i cyberzagrożenia, to dziś jedne z kluczowych aspektów świata finansów. Docelowo mają je regulować przede wszystkim dwa unijne rozporządzenia: FIDA, czyli rozporządzenie w sprawie ram dostępu do danych finansowych (obecnie na etapie prac legislacyjnych), oraz DORA, czyli rozporządzenie 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego. Na pierwszy rzut oka regulują one dwa różne obszary. FIDA ma ułatwić dostęp do danych finansowych, natomiast DORA zapewniać, aby systemy finansowe były bezpieczne i odporne na problemy techniczne oraz cyberataki. W praktyce obie regulacje mają jednak działać razem i wzajemnie się uzupełniać. Jak FIDA i DORA na siebie oddziałują? Czy każdy podmiot objęty FIDA będzie musiał spełniać wymogi DORA? I na co szczególnie powinny zwrócić uwagę podmioty działające w obszarze objętym tymi regulacjami?

Prawnik wkleił do pisma tekst z halucynacjami AI. Sąd to wykrył, a klient przegrał sprawę

NSA wydał postanowienie, w którym po raz pierwszy tak wyraźnie skrytykował zawodowego pełnomocnika za niechlujne użycie sztucznej inteligencji do sporządzenia pisma procesowego. Sąd wykrył w zażaleniu trzy sfabrykowane przez AI orzeczenia i postawił pytanie o etykę takiego działania. Sprawa dotyczyła podatku VAT, ale jej skutki mogą odczuć wszyscy prawnicy w Polsce. Sąd pyta: czy prawnikowi należą się pieniądze za pismo, które stworzyło AI, a on nawet nie sprawdził tekstu?

Kredyty frankowe. Sąd Najwyższy uwzględnił skargę Rzecznika Finansowego

Sąd Najwyższy uwzględnił skargę nadzwyczajną Rzecznika Finansowego w sprawie kredytu frankowego i uchylił niekorzystny dla konsumentów wyrok sądu pierwszej instancji. Sprawa została przekazana do ponownego rozpoznania – poinformował w środę Rzecznik Finansowy.

REKLAMA

MS: Chcemy zmienić sposób myślenia o sprawach rodzinnych [WYWIAD]

Alimenty podstawowe, nowe przepisy dotyczące pieczy współdzielonej, brak orzekania o winie w sprawach rozwodowych - to niektóre z elementów reformy, proponowanej przez Ministerstwo Sprawiedliwości. O szczegółach pakietu „Prawo do dzieciństwa” opowiadają eksperci resortu: Dorota Łopalewska (sędzia rodzinna i dyrektor Departamentu Spraw Rodzinnych i Nieletnich - DSRiN), Małgorzata Wojciechowska (biegła psycholog i ekspertka z DSRiN) oraz Mateusz Korzeniowski (kurator sądowy, Zastępca Dyrektora DSRiN).

Testament, akt poświadczenia dziedziczenia i inne sprawy związane ze spadkiem u notariusza – będzie drożej nawet o 400 proc.

Po przeszło 20 latach z inicjatywy Ministra Sprawiedliwości zostały przygotowane zmiany do rozporządzenia w sprawie maksymalnej taksy notarialnej. Modyfikacje mają dotyczyć między innymi opłat związanych z testamentami oraz innymi czynnościami dotyczącymi spraw spadkowych.

Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA