Kategorie

Naruszenie ochrony danych – zgłoszenie

Gabriela Rychły
Inspektor Ochrony Danych (IOD), Auditor Wewnętrznego Systemu Zarządzania Jakością i Bezpieczeństwa Informacji, mediator sądowy i pozasądowy
Naruszenie ochrony danych – zgłoszenie. / fot. Shutterstock
ShutterStock
Do naruszenia ochrony danych dochodzi, gdy są one przetwarzane niezgodnie z RODO, polityką bezpieczeństwa czy polityką ochrony danych osobowych administratora danych. Kto i komu zgłasza naruszenie? Czy każdy taki przypadek należy zgłosić do PUOD? Co powinno zawierać zgłoszenie? Jak je udokumentować? Kto i w jaki sposób zawiadamia osobę, której dane zostały naruszone?

Naruszenie ochrony danych – z czym to się wiąże?

Dziś zajmiemy się szeroko pojętym tematem naruszenia ochrony danych. Napiszę Wam o tym: kiedy mówimy o naruszeniu ochrony danych, kto komu i w jakim terminie zgłasza naruszenie, co powinno zawierać takie zgłoszenie, jak udokumentować naruszenie, kiedy nie trzeba go zgłaszać no i wreszcie jak zawiadomić osobę, której dane wyciekły.

Temat jest naprawdę bardzo ważny, ponieważ pomimo naszych starań jako administratorzy, pracodawców w każdej chwili może u nas dojść do naruszenia danych i co wtedy? Zacznijmy od ustalenia  - kiedy mówimy o naruszeniu ochrony danych.

Kiedy dochodzi do naruszenia danych?

Wszelkiego rodzaju nieprawidłowości (incydenty) związane z ochroną danych osobowych w świetle RODO są traktowane jako naruszenie danych. Chodzi tu więc o wszystkie te sytuacje, w których dane osobowe były przetwarzane w sposób niezgodny z:

  • przepisami prawa powszechnie obowiązującego – RODO oraz ustawa z 10 maja 2018 roku o ochronie danych osobowych;
  • postanowieniami wewnętrznych regulacji administratora danych, np. polityką bezpieczeństwa czy polityką ochrony danych osobowych.

Polecamy: Serwis Inforlex RODO 3 m-ce + książka RODO dla kadrowych i HR

Stwierdziliśmy, że doszło do naruszenia danych – co dalej ? Kto i komu zgłasza ten fakt?

Kto i komu zgłasza naruszenie?

Zgodnie z art. 33 RODO w przypadku takiego naruszenia ochrony danych osobowych administrator danych osobowych powinien je zgłosić do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Reklama

Administratorem danych osobowych jest na przykład pracodawca. Należy pamiętać, że RODO nie ustanawia na podmiotach innych niż administrator danych osobowych obowiązku reagowania na incydenty związane z ochroną danych osobowych. Oznacza to w szczególności, że obowiązku zgłoszenia naruszenia do PUODO nie spoczywa na żadnym z pracowników administratora. Powinni oni jednak w razie wykrycia naruszenia niezwłocznie powiadomić o tym kierownictwo, ponieważ zgłoszenia dokonuje organ reprezentujący dany podmiot, np. w przypadku spółki jest to zarząd.

Z kolei gdy podmiot przetwarzający (procesor) stwierdzi naruszenie ochrony danych osobowych, powinien zgłosić je administratorowi. I tutaj bardzo ważna rzecz, którą zawsze podkreślam podczas moich szkoleń – zwróćcie uwagę przy podpisywaniu umów powierzenia przetwarzania danych na czas jaki dajecie procesorowi na powiadomienie was jako administratorów o naruszeniu danych do jakiego ewentualnie doszło u procesora. Biorąc pod uwagę, że wy macie na zgłoszenie do PUODO 72 godziny, rekomenduję zawsze, aby w takiej umowie wpisać maksymalnie 24 godziny od wykrycia naruszenia.

Czy każdy incydent należy zgłosić do PUOD?

RODO przewiduje tylko jeden wyjątek, gdy nie trzeba dokonywać zgłoszenia naruszenia do PUODO: jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Oznacza to, że nie zawsze naruszenie ochrony danych osobowych musi się równać z naruszeniem praw lub wolności osoby fizycznej. Jeżeli jednak istnieje chociażby ryzyko takiego naruszenia praw lub wolności to incydent należy zgłosić.

Pamiętajcie o tym, że takie zawiadomienie może złożyć każdy, nie tylko administrator! Takie zawiadomienie dokonane przez podmiot trzeci może skutkować przeprowadzeniem kontroli przez PUODO u danego administratora. A więc  z tego powodu rezygnacja z dokonania zgłoszenia powinna być gruntownie przemyślana.

Postanowiliśmy zgłosić naruszenie – co powinno zawierać takie zgłoszenie?

Zawartość zgłoszenia

Minimalna obligatoryjna treść zgłoszenia powinna zawierać:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Reklama

W zgłoszeniu można zawrzeć także wszelkie inne informacje jakie administrator danych uważa za istotne dla sprawy, w tym pozwalające zminimalizować jego odpowiedzialność za naruszenie. Może się zdarzyć, że już po zgłoszeniu dotrą do was nowe informacje mające wpływ na ocenę PUODO. Wtedy powinniście je przekazać do Urzędu w kolejnej korespondencji.

Zgłoszenia naruszenia dokonuje się poprzez stronę UODO, gdzie należy wypełnić poszczególne pola – zgłoszenie jest bardzo proste i z pewnością jeśli zajdzie taka potrzeba nie sprawi wam problemu.

Należy pamiętać, że nie zawsze organem właściwym do dokonania zgłoszenia będzie polski organ nadzorczy. W przypadku gdy naruszenie dotyczy danych osób z różnych krajów Unii Europejskiej, zgłoszenie powinno zostać dokonane do tzw. wiodącego organu nadzorczego. Może nim być, ale wcale nie musi, polski organ nadzorczy czyli PUODO. Zgłoszenie do organu nadzorczego w innym Państwie członkowskim powinno mieć miejsce w przypadku przetwarzania transgranicznego. Chodzi tu o przypadki, gdy:

  • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
  • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.

Kolejną ważną sprawą jest dokumentowanie naruszeń.

Dokumentowanie naruszeń

RODO wymaga, aby administrator dokumentował wszelkie naruszenia ochrony danych osobowych, w tym:

  • okoliczności naruszenia ochrony danych osobowych,
  • skutki naruszenia,
  • podjęte działania zaradcze.

Jeśli dojdzie do sytuacji, że administrator nie powiadomił PUODO o naruszeniu i taka informacja nie dotarła od osób trzecich to organ nadzorczy nie ma możliwości posiadania wiedzy o danym naruszeniu. Wprowadzenie obowiązku dokumentowania wszystkich naruszeń ( i tych zgłoszonych i tych niezgłoszonych) ma pozwolić na weryfikowanie przestrzegania obowiązku dokonania zgłoszenia naruszenia.

Koresponduje to z bardziej ogólnym obowiązkiem administratora danych osobowych, zwanym zasadą rozliczalności. Zgodnie z nią administrator musi być w stanie wykazać przestrzeganie zasad ochrony danych osobowych.

Administrator powinien prowadzić tzw. rejestr naruszeń, w którym gromadzi informacje pojawiające się w całym procesie związanym z naruszeniem danych osobowych. Chodzi tu o okres od rejestracji zgłoszenia naruszenia, poprzez gromadzenie dokumentacji, aż do stworzenia kompletnego wpisu (rekordu) dotyczącego konkretnego przypadku naruszenia.

I ostania sprawa – zawiadomienie osoby której dane zostały naruszone.

Zawiadomienie osoby, której dane zostały naruszone

Pamiętajcie, że nie organ nadzorczy a właśnie administrator powinien zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może to powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zawiadomienie powinno być dokonane bez zbędnej zwłoki, powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej:

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • możliwe konsekwencje naruszenia ochrony danych osobowych;
  • środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Administrator nie musi jednak dokonywać zawiadomienia osoby, której dane zostały naruszone, jeśli:

  • wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  • zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • zawiadomienie wymagałoby niewspółmiernie dużego wysiłku; w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Pamiętajcie jednak o tym, że może się zdarzyć, iż organ nadzorczy w toku prowadzonego zgłoszenia nakaże wam jako administratorowi powiadomić podmiot, którego dane zostały naruszone.

Co do zasady, jeśli już dojdzie do naruszenia ochrony danych to należy to dobrze przeanalizować i nie bać się powiadamiać o tym PUODO, gdyż takie powiadomienie wcale nie jest jednoznaczne z tym. że ktoś przyjdzie do nas na kontrolę i nałoży na nas mandatNatomiast może się tak stać, jeśli postanowimy sprawę zamieść pod dywan a organ nadzorczy dowie się o naruszeniu od osób trzecich.

Podstawa prawna:

Ustawa z dnia 10 lipca 2015 r. o zmianie ustawy o prokuraturze, ustawy o wykonywaniu mandatu posła i senatora, ustawy o ochronie danych osobowych, ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, ustawy o Rzeczniku Praw Dziecka oraz ustawy – Prawo o ustroju sądów powszechnych (Dziennik Ustaw rok 2015 poz. 1309)

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dziennik Ustaw rok 2018 poz. 1000)

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Prawo
    1 sty 2000
    19 cze 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Pobieranie torrentów - wyrok TSUE

    Trybunał Sprawiedliwości Unii Europejskiej orzekł, iż dostawca internetu może systematycznie rejestrować adresy IP użytkowników oraz udostępniać ich nazwy i adresy pocztowe podmiotowi praw własności intelektualnej lub osobie trzeciej, zajmującej się windykacją tych praw.

    TSUE o dochodzeniu sprawiedliwości przed polskim sądem za zwrot "polskie obozy"

    Były więzień Auschwitz nie może dochodzić sprawiedliwości przed polskim sądem za zwrot "polskie obozy". Tak uznał Trybunał Sprawiedliwości Unii Europejskiej.

    Pokazy dla seniorów – propozycje zmian

    Pokazy, często kierowane do seniorów, mogą być źródłem nieuczciwych praktyk przedsiębiorców. UOKiK przygotował propozycje zmian w przepisach.

    Zniesławienie – jak można dochodzić odpowiedzialności sprawcy?

    Zniesławienie to przestępstwo, a jego ofiara może dochodzić odpowiedzialności sprawcy w postępowaniu karnym. W jaki sposób?

    SN o kwalifikacji danego związku chemicznego w sprawie o narkotyki

    Zdaniem Sądu Najwyższego o tym jak kwalifikować dany związek chemiczny w sprawie o narkotyki decyduje sąd orzekający.

    Wakacje 2021 - prawa pasażerów

    W wakacje 2021 r. ruch pasażerski będzie zależał od sytuacji epidemiologicznej. O jakich prawach powinni pamiętać pasażerowie?

    Dobry start 2021 – wniosek

    Wniosek o świadczenie dobry start w 2021 r. rodzice złożą według zmienionych zasad. Od kiedy będą przyjmowane wnioski?

    PESEL w spisie powszechnym - UODO wystąpił do GUS

    Prezes UODO wystąpił do GUS w sprawie wątpliwości dotyczących procesu pozyskiwania numeru PESEL od osób dokonujących tzw. samospisu internetowego.

    Termin wdrożenia e-doręczeń przesunięty?

    Przesunięcie terminu wdrożenia e-doręczeń zakłada nowelizacja uchwalona przez Sejm. Kiedy mają wejść w życie nowe przepisy?

    Emerytura dla zwierząt służących w służbach mundurowych

    Rząd przyjął projekt ustawy regulującej status zwierząt w służbach mundurowych. Projekt zmienia w tym zakresie m.in. ustawę o Policji oraz szereg innych aktów prawnych.

    Świadczenia dla niepełnosprawnych w 2021 r.

    Świadczenia dla osób niepełnosprawnych w 2021 r. obejmują m.in. renty, zasiłki pielęgnacyjne czy świadczenia dla osób niesamodzielnych.

    NIK o dzierżawie gruntów rolnych w parkach narodowych

    Niezgodny z prawem wybór dzierżawców, naruszanie zasad równego dostępu do udziału w przetargu oraz jawności i jednolitości postępowania, a także niezapewnienie najkorzystniejszego wyniku przetargu – takie nieprawidłowości w gospodarowaniu gruntami rolnymi Skarbu Państwa stwierdziła NIK w sześciu na siedem skontrolowanych parków narodowych.

    Nabór wniosków o wsparcie na zalesianie do 02.08.2021 r.

    Do 02.08.2021 r. odbywać się będzie nabór wniosków o przyznanie wsparcia na zalesienie w ramach Programu Rozwoju Obszarów Wiejskich na lata 2014-2020. Beneficjentem w zakresie kosztów założenia uprawy leśnej mogą być nie tylko rolnicy, ale również jednostki samorządu terytorialnego i jednostki organizacyjne gmin, powiatów oraz województw.

    Ryczałt na dojazdy dla funkcjonariusza Służby Więziennej

    Co do zasady świadczenia otrzymywane przez funkcjonariuszy Służby Więziennej stanowią dla nich przychód ze stosunku służbowego. Nie oznacza to jednak, że zawsze będą one podlegały opodatkowaniu podatkiem dochodowym od osób fizycznych.

    Reforma przepisów o nieletnich - zmiany w izolacji sprawców najcięższych przestępstw

    W resorcie sprawiedliwości przygotowano projekt ustawy o wspieraniu i resocjalizacji nieletnich. Ma on skutecznie zniechęcić ich do łamania prawa. Nowe przepisy powinny też zapewnić odpowiednie środki reakcji, gdy nieletni popełnią wykroczenie, przestępstwo lub są mocno zdemoralizowani.

    RIO: wójt może zatrudnić komendanta gminnego ochrony przeciwpożarowej

    Wójt może zatrudnić komendanta gminnego ochrony przeciwpożarowej, w tym także na tym stanowisku może zatrudnić komendanta gminnego związku ochotniczych straży pożarnych – podkreśliła Regionalna Izba Obrachunkowa w Białymstoku.

    Projekt Ustawy o Ochotniczej Straży Pożarnej – informacje, wyjaśnienia

    W ostatnim czasie opublikowano treść projektu Ustawy o Ochotniczej Straży Pożarnej. Rozpoczęły się również konsultacje społeczne, w których udział bezpośrednio bierze kadra kierownicza Ministerstwa Spraw Wewnętrznych i Administracji oraz Państwowej Straży Pożarnej.

    Test sprawności fizycznej policjantów 2021 r.

    Zgodnie z zapisami ustawy o Policji policjant jest obowiązany utrzymywać sprawność fizyczną zapewniającą wykonywanie przez niego zadań służbowych. Co roku policjanci przystępują do testów sprawności fizycznej, których zaliczenie jest wymagane. Każdego funkcjonariusza Policji obowiązuje minimalny poziom sprawności motorycznej, gwarantujący efektywność podejmowanych działań. Testy nie dotyczą osób ubiegających się o przyjęcie do służby w Policji, ale policjantów w czynnej służbie, a więc tych osób, które w procesie rekrutacji oraz w późniejszych latach służby wykazały się wymaganą sprawnością fizyczną.

    Nowe definicje w ustawie Prawo o ruchu drogowym

    20 maja oraz 1 czerwca 2021 r. weszły w życie dwie nowelizacje ustawy z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym. Zmiany zawarte w tych przepisach w istotny sposób wpłyną na bezpieczeństwo w ruchu drogowym.

    56 mln złotych z Programu Infrastruktura i Środowisko trafi do jednostek policji w całym kraju

    Prawie 500 sztuk motocykli trafi do jednostek policji w całym kraju. Zakupy będą realizowane z pieniędzy unijnych.

    W konsultacjach projekt zmian odnoszący się do sądów wojskowych

    Zmiany w organizacji kolegiów sądów wojskowych, analogiczne do wprowadzonych w lutym zeszłego roku w sądach powszechnych oraz związane z nimi nowe zasady opiniowania kandydatów na sędziów wojskowych - przewiduje projekt resortu sprawiedliwości, nad którym w maju trwają konsultacje.

    Wydawanie pozwoleń na broń prywatną żołnierzom zawodowym

    Posiadanie broni palnej lub amunicji do niej bez wymaganego pozwolenia jest przestępstwem zagrożonym karą pozbawienia wolności od 6 miesięcy do lat 8. Z kolei posiadanie bez wymaganej rejestracji broni pneumatycznej lub bez pozwolenia miotacza gazu obezwładniającego (z wyłączeniem ręcznego) lub narzędzia albo urządzenia, którego używanie może zagrażać życiu lub zdrowiu, jest wykroczeniem. Jak wygląda procedura wydawania żołnierzom zawodowym pozwolenia na broń? Kiedy pozwolenie nie jest potrzebne?

    Zmiany w funduszach na nagrody i zapomogi żołnierzy niezawodowych już od 24.06.2021

    Od 24.06.2021 Minister Obrony Narodowej będzie mógł z własnej inicjatywy przekazać do dyspozycji dowódcy jednostki wojskowej środki funduszu pozostające w jego dyspozycji z przeznaczeniem na nagrody dla żołnierzy niezawodowych pełniących służbę wojskową w podległych temu dowódcy jednostkach wojskowych.

    Skutki doręczenia aktu inwestorowi posiadającemu pełnomocnika

    Organ administracji publicznej może wzywać osoby do udziału w podejmowanych czynnościach i do złożenia wyjaśnień lub zeznań osobiście, przez pełnomocnika, na piśmie lub w formie dokumentu elektronicznego, jeżeli jest to niezbędne dla rozstrzygnięcia sprawy lub dla wykonywania czynności urzędowych.

    Renty dożywotnie z rosnącym zainteresowaniem seniorów

    Renty dożywotnie cieszą się coraz większym zainteresowaniem seniorów. Rośnie również liczna sporów sądowych związanych z umowami renty lub dożywocia.