REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Konsument i umowy » Prawa konsumenta » Konsument w sieci » RODO: informowanie o wycieku i innych naruszeniach ochrony danych osobowych

RODO: informowanie o wycieku i innych naruszeniach ochrony danych osobowych

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
28 listopada 2018, 08:24
Sylwia Czub-Kiełczewska
Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
RODO for. shutterstock
RODO for. shutterstock

REKLAMA

REKLAMA

Przed RODO przepisy nie regulowały zasad powiadamiania osób, których dane dotyczą o wycieku (lub innym groźnym zdarzeniu) jej danych. Obecnie jeżeli zostanie naruszona ochrona danych, w wyniku której istnieje duże ryzyko dla praw i wolności osób, których dane dotyczą, to administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO).

Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony ich danych

Informowanie osób, że z ich danymi stało się „coś złego” (to może być nie tylko kradzież, ale także nieuprawniona modyfikacja, nieuprawniony dostęp, niewłaściwe zniszczenie, utrata dostępu do danych), jest jednym z nowych i bardzo, bardzo ważnych obowiązków, wynikających z RODO. Nie oszukujmy się, administrator danych najchętniej ukryłby każde zdarzenie, które mogłoby postawić go w złym świetle. Dotychczas administratorzy nie mieli obowiązku poinformowania osób, których dane dotyczą, nawet gdy mieli 100% pewność, że ktoś może wykorzystać dane do kradzieży tożsamości. Mogli to zrobić, ale nie musieli, co oznacza, że zazwyczaj tego nie robili.

REKLAMA

Polecamy: Serwis Inforlex RODO 3 m-ce + książka RODO dla kadrowych i HR

REKLAMA

Warto zwrócić uwagę, że zawiadomienie organu nadzoru o wycieku danych, nie jest niczym nowym. Podobne obowiązki już dawno były wpisane w przepisy o ochronie informacji niejawnych oraz prawo telekomunikacyjne. Jednakże przed RODO przepisy nie regulowały zasad powiadamiania osób, których dane dotyczą o wycieku (lub innym groźnym zdarzeniu) jej danych. Znanych jest kilka historii (polecam poszperać na stronach serwisu Niebezpiecznik.pl) o tym, jak administrator danych “zawiadamiał” w sposób, który nie wnosił żadnej wiedzy, a jedynie zamieszanie i zdenerwowanie. Co nam po informacji, że ktoś ukradł nam dane, a administratorowi jest przykro z tego powodu?

RODO wprowadza nowe zasady. Jeżeli zostanie naruszona ochrona danych w wyniku, której istnieje duże ryzyko dla praw i wolności, osób które dane dotyczą, wówczas administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO). Jak wspomniałam wcześniej, naruszenie nie dotyczy tylko kradzieży. Naruszeniem będzie zdarzenie, które doprowadzi do utraty, którejkolwiek z fundamentalnych cech danych osobowych, jak integralność, rozliczalność i poufność. Jeżeli za takim zdarzeniem, będzie szło ryzyko dla praw i wolności osoby, której dane dotyczą (np. szantaż tej osoby, kradzież jej danych, niemożliwość skorzystania przez nią z praw przysługujących jej na mocy przepisów prawa, itd), wówczas niezbędne jest zawiadomienie jej, o zaistniałym zdarzeniu.

Zobacz również:

Ważne: zawiadomienia należy dokonać jak najszybciej. Przede wszystkim dlatego, że tylko szybka reakcja może pozwolić tej osobie zapobiec możliwym skutkom tego zdarzenia, np. zastrzec dane w BIK, wymienić dowód osobisty.

Dalszy ciąg materiału pod wideo

W związku z powyższym administrator powinien wybrać odpowiedni środek komunikacji, który umożliwia jak najszybsze i najskuteczniejsze dotarcie do odbiorców. Jeżeli posiada adresy e-mail powinien wysłać wiadomości elektroniczne (uwaga: należy je wysłać tak, żeby nie dokonać dodatkowego naruszenia, ujawniając odbiorcom nawzajem ich adresy – nie powinni ich widzieć). Można także wysłać smsy, chociaż tutaj ograniczeniem jest długość wiadomości. Bardzo eleganckim i profesjonalnym rozwiązaniem jest zadzwonienie do wszystkich, jednakże wymaga to ogromnego nakładu czasu i pracy. Przy dużej liczbie osób, które należy powiadomić, polecam wysłać do wszystkich wiadomości e-mail oraz wskazać numery telefonu i stronę internetową, na której będzie więcej informacji. Zawiadomienie na stronie internetowej lub w prasie powinno być traktowane jako działanie wspierające, które nie zastępuje bezpośrednich narzędzi zawiadomienia (o ile posiada się bezpośrednie kontakty).

Treść zawiadomienia

Informacja o naruszeniu powinna być napisana prosto i zrozumiale. Jej obowiązkowe elementy to:

  • dane punktu kontaktowego, od którego można uzyskać więcej informacji, w szczególności IOD, jeżeli został wyznaczony;
  • opis możliwych konsekwencji naruszenia dla osoby naruszenia ochrony danych osobowych;
  • opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Osoba, której dane dotyczą zazwyczaj nie ma pojęcia co powinna zrobić, gdy dojdzie do naruszenia. Najistotniejsze dla niej jest wskazanie odpowiedniej procedury działania. Interesują ją informacje o tym, co administrator zrobił, aby takie zdarzenie nie miało miejsca w przyszłości i aby ograniczyć skutki działania. Dobrze zrobione zawiadomienie, to klucz do sukcesu.

Propozycja treści zawiadomienia osób, których danych dotyczą o naruszeniu ochrony ich danych.

Warto podkreślić, że są sytuacje, w których administrator jest zwolniony z obowiązku dokonywania zgłoszenia (art. 34 RODO):

  1. Jeżeli przed naruszeniem, wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  2. Jeżeli po naruszeniu zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą
  3. Jeżeli zawiadomienie wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

REKLAMA

Zwracam uwagę, że wystarczy, aby został spełniony którykolwiek z powyższych warunków, aby dokonanie zawiadomienia nie było konieczne. Pierwszy warunek pokazuje, jak ważne jest domyślne szyfrowanie danych (dysków komputerów, przesyłanych danych, załączników, plików, nośników danych). Nawet jeżeli koszt szyfrowania jest wysoki, może okazać się inwestycją, która zwróci się przy pierwszym naruszeniu i ochroni administratora przed nieprzyjemnymi konsekwencjami zdarzenia (wtedy naprawdę doceni, to że zostało ono wdrożone).

Drugi przypadek dotyczy środków zaradczych, które administrator podjął po wykryciu naruszenia. Na przykład z jego bazy wykradziono hasła użytkowników, ale zdążył on zresetować te hasła zanim ktokolwiek zalogował się na konta, do których hasła wykradziono.

Ostatni przypadek nie powinien być nadużywany, tzn. to rzeczywiście musi być sytuacja, w której administrator nie będzie w stanie powiadomić tych osób lub koszt powiadomienia przekracza jego możliwości. Administrator musi być w stanie rozsądnie uzasadnić spełnienie tej przesłanki.

Na koniec przestroga. Nie warto unikać odpowiedzialności i zamieść temat pod dywan. Jeżeli zdarzenie zostanie upublicznione i o naruszeniu dowie się Urząd Ochrony Danych, to w sytuacji, gdy nie wypełniliśmy swojego obowiązku wobec osób, których dane dotyczą, a tym samym naraziliśmy ich na ryzyko wykorzystania ich danych, kontrolujący może poczuć się w obowiązku wymierzyć surową i odstraszającą dla innych karę finansową.

Polecamy serwis: Prawa konsumenta

Powiązane
Kancelarie prawne celem ataków hakerskich - jak się bronić?
Kancelarie prawne celem ataków hakerskich - jak się bronić?
Facebook ponownie zweryfikuje usunięte lub zablokowane konta
Facebook ponownie zweryfikuje usunięte lub zablokowane konta
Prawo do usunięcia danych osobowych według RODO
Prawo do usunięcia danych osobowych według RODO
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Zapalenie papierosa lub e-papierosa (również takiego, który nie zawiera nikotyny) nad jeziorem uszczupli portfel o nawet 5 tys. zł lub skończy się aresztem. Niewiele osób jest świadomych tego zakazu!
15 sie 2025

Zgodnie z ustawą o ochronie zdrowia przed następstwami używania tytoniu i wyrobów tytoniowych – każdy ma prawo do życia w środowisku wolnym od dymu tytoniowego, pary z papierosów elektronicznych i substancji uwalnianych za pomocą nowatorskich wyrobów tytoniowych. Realizacja powyższego prawa (i jednocześnie ochrona zdrowia osób niepalących) odbywa się poprzez wprowadzanie zakazów palenia w przestrzeni publicznej. Wynikają one nie tylko z ww. ustawy o ochronie zdrowia, ale również z ustaw szczególnych. Choć niektórzy mogą być tym faktem mocno zaskoczeni – 5 tys. zł grzywny, a nawet aresztem, może skończyć się zapalenie papierosa lub e-papierosa (również takiego, który nie zawiera nikotyny) na plaży nad jeziorem.
Polska z największym wzrostem bezrobocia w UE. Freelancing jako alternatywa dla etatu?
15 sie 2025

Stopa bezrobocia wśród osób poniżej 25 roku życia w Polsce wzrosła w ciągu roku o 27,4% – to najwyższy wzrost spośród wszystkich krajów Unii Europejskiej. Mimo że wskaźnik 13,5% nadal pozostaje poniżej średniej UE, eksperci alarmują, że młodym Polakom coraz trudniej znaleźć pierwszą pracę. Platforma Freelancehunt zwraca uwagę, że w obecnych warunkach freelancing może być nie tylko tymczasowym wyborem, lecz także realną opcją na start kariery zawodowej.
RPO: "Wykorzystanie osób z niepełnosprawnościami, by w ich imieniu dochodzić świadczeń pielęgnacyjnych z pobraniem prowizji. Wygrany proces z udziałem RPO"
14 sie 2025

Sprawa dotyczy mechanizmu, w którym spółka z o.o. oferowała osobom z niepełnosprawnościami lub ich opiekunom "pomoc" w uzyskaniu świadczenia pielęgnacyjnego. W zamian za prowadzenie spraw w postępowaniu administracyjnym i sądowoadministracyjnym, firma zastrzegała sobie wynagrodzenie w wysokości aż trzykrotności miesięcznego świadczenia. Czy takie praktyki były legalne? Okazuje się, że w sprawie kluczowa jest zasada: nemo plus iuris.
Dopłaty dla rolników a susza, gradobicia i inne zdarzenia pogodowe. MRiRW i ARiMR wyjaśniają zasady
14 sie 2025

Utratą plonów, ale też brakiem niektórych dopłat martwią się rolnicy poszkodowani przez podtopienia, gradobicia, ulewne deszcze czy suszę. Dlatego Ministerstwo Rolnictwa i Rozwoju Wsi uspokaja i przypomina: zdarzenia pogodowe nie muszą oznaczać utraty prawa do płatności bezpośrednich ani kar za niewypełnienie zobowiązań.

REKLAMA

ZUS: Niższe limity dorabiania dla wcześniejszych emerytów i rencistów od 1 września 2025 r. Spadło przeciętne wynagrodzenie
14 sie 2025

Od 1 września 2025 r. pracujący wcześniejsi emeryci i renciści będą mogli dorobić mniej niż dotychczas. Powodem jest spadek przeciętnego miesięcznego wynagrodzenia, na podstawie którego ustala się kwoty graniczne przychodów.
Kredyty frankowe. Walka o narrację w sprawie TSUE Lubreczlik
14 sie 2025

W mitologii greckiej przedstawiana jest postać Prokrustesa, który rozciągał lub obcinał nogi swoim gościom, tak aby dopasować ich do długości swojego łoża. Kiedy więc czytam opinie prawników sektora bankowego na temat ich autorskiej interpretacji wyroku wydanego przez TSUE w sprawie Lubreczlik, to nie mogę się oprzeć nieodpartemu wrażeniu, że mamy tu przykład iście uwspółcześnionego „prokrustowego łoża” – tj. kreowania takiej narracji, która nie odpowiada zastanej rzeczywistości prawnej.
„Ochrona polskiej wsi” – Prezydent Nawrocki podpisuje, wieś komentuje
14 sie 2025

„Ochrona polskiej wsi” – Prezydent Nawrocki podpisuje projekt ustawy a wieś komentuje. Projekt ustawy ma na celu wzmocnienie ochrony rodzimego rolnictwa i wprowadzenie istotnych zmian w dwóch kluczowych aktach prawnych, które mają bezpośredni wpływ na funkcjonowanie gospodarstw rolnych i obrót ziemią rolną. Inicjatywa Prezydenta Nawrockiego spotkała się z mieszanymi reakcjami. Dla jednych to długo oczekiwany gest wsparcia, dla innych – kolejna deklaracja bez pokrycia. Jedno jest pewne: polska wieś znów znalazła się w centrum debaty publicznej. Jednak czy Sejm i Senat uchwalą ustawę w takiej wersji?
Urlop dla poratowania zdrowia – jak uzyskać. Kiedy dyrektor szkoły może odwołać nauczyciela z tego urlopu?
14 sie 2025

Tematykę udzielania nauczycielowi urlopu dla poratowania zdrowia wyjaśniła ekspertka Państwowej Inspekcji Pracy Marta Żelazowska. Wskazała również, na podstawie jakich przesłanek dyrektor szkoły może zakwestionować prawo do urlopu zdrowotnego lub odwołać nauczyciela z urlopu już udzielonego.

REKLAMA

Oszustwo "na świadczenie wspierające". ZUS ostrzega: nie płać za złożenie wniosku, nie podpisuj dokumentu bez przeczytania!
14 sie 2025

Zakład Ubezpieczeń Społecznych ostrzega: osoby z niepełnosprawnością nie muszą płacić kancelariom prawnym ani pośrednikom, aby otrzymać świadczenie wspierające. Wniosek można złożyć wyłącznie w formie elektronicznej – samodzielnie lub z bezpłatną pomocą pracowników ZUS, zarówno w placówkach, jak i przez infolinię.
Nowe przepisy o badaniach technicznych od września 2025. Wyższe opłaty, zdjęcia pojazdu i surowsze kryteria
14 sie 2025

Od września 2025 roku kierowców czeka rewolucja w przeglądach technicznych. Stawki wzrosną, pojawi się obowiązkowa dokumentacja fotograficzna, a kryteria oceny stanu pojazdu będą surowsze niż dotąd. Sprawdź, jak przygotować auto, aby uniknąć mandatu i dodatkowych kosztów oraz co dokładnie zmieni się w procedurze badania.

REKLAMA