REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

RODO: informowanie o wycieku i innych naruszeniach ochrony danych osobowych

Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
RODO for. shutterstock
RODO for. shutterstock

REKLAMA

REKLAMA

Przed RODO przepisy nie regulowały zasad powiadamiania osób, których dane dotyczą o wycieku (lub innym groźnym zdarzeniu) jej danych. Obecnie jeżeli zostanie naruszona ochrona danych, w wyniku której istnieje duże ryzyko dla praw i wolności osób, których dane dotyczą, to administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO).

Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony ich danych

Informowanie osób, że z ich danymi stało się „coś złego” (to może być nie tylko kradzież, ale także nieuprawniona modyfikacja, nieuprawniony dostęp, niewłaściwe zniszczenie, utrata dostępu do danych), jest jednym z nowych i bardzo, bardzo ważnych obowiązków, wynikających z RODO. Nie oszukujmy się, administrator danych najchętniej ukryłby każde zdarzenie, które mogłoby postawić go w złym świetle. Dotychczas administratorzy nie mieli obowiązku poinformowania osób, których dane dotyczą, nawet gdy mieli 100% pewność, że ktoś może wykorzystać dane do kradzieży tożsamości. Mogli to zrobić, ale nie musieli, co oznacza, że zazwyczaj tego nie robili.

REKLAMA

Polecamy: Serwis Inforlex RODO 3 m-ce + książka RODO dla kadrowych i HR

REKLAMA

Warto zwrócić uwagę, że zawiadomienie organu nadzoru o wycieku danych, nie jest niczym nowym. Podobne obowiązki już dawno były wpisane w przepisy o ochronie informacji niejawnych oraz prawo telekomunikacyjne. Jednakże przed RODO przepisy nie regulowały zasad powiadamiania osób, których dane dotyczą o wycieku (lub innym groźnym zdarzeniu) jej danych. Znanych jest kilka historii (polecam poszperać na stronach serwisu Niebezpiecznik.pl) o tym, jak administrator danych “zawiadamiał” w sposób, który nie wnosił żadnej wiedzy, a jedynie zamieszanie i zdenerwowanie. Co nam po informacji, że ktoś ukradł nam dane, a administratorowi jest przykro z tego powodu?

RODO wprowadza nowe zasady. Jeżeli zostanie naruszona ochrona danych w wyniku, której istnieje duże ryzyko dla praw i wolności, osób które dane dotyczą, wówczas administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO). Jak wspomniałam wcześniej, naruszenie nie dotyczy tylko kradzieży. Naruszeniem będzie zdarzenie, które doprowadzi do utraty, którejkolwiek z fundamentalnych cech danych osobowych, jak integralność, rozliczalność i poufność. Jeżeli za takim zdarzeniem, będzie szło ryzyko dla praw i wolności osoby, której dane dotyczą (np. szantaż tej osoby, kradzież jej danych, niemożliwość skorzystania przez nią z praw przysługujących jej na mocy przepisów prawa, itd), wówczas niezbędne jest zawiadomienie jej, o zaistniałym zdarzeniu.

Ważne: zawiadomienia należy dokonać jak najszybciej. Przede wszystkim dlatego, że tylko szybka reakcja może pozwolić tej osobie zapobiec możliwym skutkom tego zdarzenia, np. zastrzec dane w BIK, wymienić dowód osobisty.

Dalszy ciąg materiału pod wideo

W związku z powyższym administrator powinien wybrać odpowiedni środek komunikacji, który umożliwia jak najszybsze i najskuteczniejsze dotarcie do odbiorców. Jeżeli posiada adresy e-mail powinien wysłać wiadomości elektroniczne (uwaga: należy je wysłać tak, żeby nie dokonać dodatkowego naruszenia, ujawniając odbiorcom nawzajem ich adresy – nie powinni ich widzieć). Można także wysłać smsy, chociaż tutaj ograniczeniem jest długość wiadomości. Bardzo eleganckim i profesjonalnym rozwiązaniem jest zadzwonienie do wszystkich, jednakże wymaga to ogromnego nakładu czasu i pracy. Przy dużej liczbie osób, które należy powiadomić, polecam wysłać do wszystkich wiadomości e-mail oraz wskazać numery telefonu i stronę internetową, na której będzie więcej informacji. Zawiadomienie na stronie internetowej lub w prasie powinno być traktowane jako działanie wspierające, które nie zastępuje bezpośrednich narzędzi zawiadomienia (o ile posiada się bezpośrednie kontakty).

Treść zawiadomienia

Informacja o naruszeniu powinna być napisana prosto i zrozumiale. Jej obowiązkowe elementy to:

  • dane punktu kontaktowego, od którego można uzyskać więcej informacji, w szczególności IOD, jeżeli został wyznaczony;
  • opis możliwych konsekwencji naruszenia dla osoby naruszenia ochrony danych osobowych;
  • opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Osoba, której dane dotyczą zazwyczaj nie ma pojęcia co powinna zrobić, gdy dojdzie do naruszenia. Najistotniejsze dla niej jest wskazanie odpowiedniej procedury działania. Interesują ją informacje o tym, co administrator zrobił, aby takie zdarzenie nie miało miejsca w przyszłości i aby ograniczyć skutki działania. Dobrze zrobione zawiadomienie, to klucz do sukcesu.

Propozycja treści zawiadomienia osób, których danych dotyczą o naruszeniu ochrony ich danych.

Warto podkreślić, że są sytuacje, w których administrator jest zwolniony z obowiązku dokonywania zgłoszenia (art. 34 RODO):

  1. Jeżeli przed naruszeniem, wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  2. Jeżeli po naruszeniu zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą
  3. Jeżeli zawiadomienie wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

REKLAMA

Zwracam uwagę, że wystarczy, aby został spełniony którykolwiek z powyższych warunków, aby dokonanie zawiadomienia nie było konieczne. Pierwszy warunek pokazuje, jak ważne jest domyślne szyfrowanie danych (dysków komputerów, przesyłanych danych, załączników, plików, nośników danych). Nawet jeżeli koszt szyfrowania jest wysoki, może okazać się inwestycją, która zwróci się przy pierwszym naruszeniu i ochroni administratora przed nieprzyjemnymi konsekwencjami zdarzenia (wtedy naprawdę doceni, to że zostało ono wdrożone).

Drugi przypadek dotyczy środków zaradczych, które administrator podjął po wykryciu naruszenia. Na przykład z jego bazy wykradziono hasła użytkowników, ale zdążył on zresetować te hasła zanim ktokolwiek zalogował się na konta, do których hasła wykradziono.

Ostatni przypadek nie powinien być nadużywany, tzn. to rzeczywiście musi być sytuacja, w której administrator nie będzie w stanie powiadomić tych osób lub koszt powiadomienia przekracza jego możliwości. Administrator musi być w stanie rozsądnie uzasadnić spełnienie tej przesłanki.

Na koniec przestroga. Nie warto unikać odpowiedzialności i zamieść temat pod dywan. Jeżeli zdarzenie zostanie upublicznione i o naruszeniu dowie się Urząd Ochrony Danych, to w sytuacji, gdy nie wypełniliśmy swojego obowiązku wobec osób, których dane dotyczą, a tym samym naraziliśmy ich na ryzyko wykorzystania ich danych, kontrolujący może poczuć się w obowiązku wymierzyć surową i odstraszającą dla innych karę finansową.

Polecamy serwis: Prawa konsumenta

Autopromocja

REKLAMA

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Wynagrodzenie minimalne 2023 [quiz]
    certificate
    Jak zdobyć Certyfikat:
    • Czytaj artykuły
    • Rozwiązuj testy
    • Zdobądź certyfikat
    1/15
    Kiedy będą miały miejsce podwyżki minimalnego wynagrodzenia w 2023 roku?
    od 1 stycznia i od 1 lipca
    od 1 stycznia i od 1 czerwca
    od 1 lutego i od 1 lipca
    Następne
    Prawo
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Bon energetyczny to jednorazowe świadczenie. Co jak ktoś będzie miał problemy z prądem za pół roku?

    Znamy pierwsze szczegóły dofinansowania od rządu dla osób, które będą miały kłopoty po podwyżce cen prądu. Nosi nazwę "bon energetyczny". Niestety to jednorazowe świadczenie, a nie stała pomoc dla osób ubogich.

    Nowe regulacje dotyczące cen energii w Polsce

    Minister klimatu i środowiska, Paulina Hennig-Kloska, zapowiedziała w Polsat News, że po świętach pakiet ustaw dotyczących cen energii trafi pod obrady rządu. Obecnie ceny energii, gazu oraz ciepła są zamrożone w ramach wprowadzonych przez poprzedni rząd tarcz antyinflacyjnych; przepisy wygasają w połowie roku.

    Jakie będą emerytury od kwietnia 2024? ZUS skorzysta z nowej tablicy dalszego trwania życia GUS

    Od kwietnia 2024 roku ZUS będzie korzystać z nowej tablicy GUS do obliczania wysokości nowo przyznawanych emerytur. Najnowsza tablica dalszego trwania życia powoduje obliczenie emerytury osoby w wieku 60 lat niższej o 3,7 proc., a osoby w wieku 65 lat – o 4,1 proc. niż na podstawie poprzedniej tablicy.

    Kilka dodatków osłonowych na jeden adres. Jak z tym było w dodatku węglowym?

    Jeszcze przez miesiąc można składać wnioski o dodatek osłonowy. Stałym problemem jest złożenie kilku wniosków z jednego adresu. Częsta sytuacja, gdy w domu na parterze mieszkają teściowie, na piętrze młode małżeństwo z dzieckiem.

    REKLAMA

    Afera Funduszu Sprawiedliwości. Przedstawicielowi Fundacji Profeto usłyszał zarzuty

    W kontekście śledztwa dotyczącego Funduszu Sprawiedliwości, prokuratura postawiła zarzuty przedstawicielowi Fundacji Profeto, organizacji kościelnej działającej od 2014 roku. Zarzuty wynikają z faktu, że fundacja otrzymała ponad 66 milionów złotych, mimo że jej projekt nie spełniał wymogów formalnych ani merytorycznych.

    Byli mundurowi mogą wrócić do policji. Korpus oficerów młodszych bez limitu czasu na decyzję [Nowelizacja ustawy o Policji]

    Rząd ułatwi powrót do służby policjantom, którzy z niej odeszli. Zmieni ustawę o Policji.

    Podwyższenie limitu wydatków komitetów wyborczych w wyborach do PE

    Podwyższenie limitu wydatków komitetów wyborczych w wyborach do Parlamentu Europejskiego zakłada projekt rozporządzenia Ministra Finansów.

    Podwyżka dla nauczycieli WF-u dorabiających po godzinach i w weekendy

    Dodatkową pracę oferuje minister sportu i prowadzony przez niego program "Aktywna szkoła". Program promuje udostępnianie sportowych obiektów szkolnych po godzinach pracy szkoły. 

    REKLAMA

    Szykują się spore zmiany w leczeniu. Resort zdrowia zakasał rękawy

    W środę do konsultacjach publicznych skierowany został projekt nowelizacji rozporządzenia ministra zdrowia w sprawie świadczeń gwarantowanych z zakresu leczenia szpitalnego. Dotyczy on leczenia ostrej fazy udaru niedokrwiennego. Ministerstwo Zdrowia ma zamiar wprowadzić także modyfikacje w obszarze gwarantowanych usług stomatologicznych. Projekt zmian zakłada rozszerzenie listy gwarantowanych usług, między innymi o realizację co najmniej dwóch wizyt adaptacyjnych w trzecim roku życia dla dzieci, które doświadczają lęku dentystycznego.

    Kiedy 13 emerytura 2024 KRUS? Ile będzie wynosić?

    13 emerytura z KRUS wypłacana będzie w kwietniu, w terminach płatności świadczeń emerytalno-rentowych, razem z emeryturą, rentą lub rodzicielskim świadczeniem uzupełniającym. Trzynastka z KRUS wynosi 1 780,96 zł brutto.

    REKLAMA