REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

RODO: informowanie o wycieku i innych naruszeniach ochrony danych osobowych

Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
RODO for. shutterstock
RODO for. shutterstock

REKLAMA

REKLAMA

Przed RODO przepisy nie regulowały zasad powiadamiania osób, których dane dotyczą o wycieku (lub innym groźnym zdarzeniu) jej danych. Obecnie jeżeli zostanie naruszona ochrona danych, w wyniku której istnieje duże ryzyko dla praw i wolności osób, których dane dotyczą, to administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO).

Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony ich danych

Informowanie osób, że z ich danymi stało się „coś złego” (to może być nie tylko kradzież, ale także nieuprawniona modyfikacja, nieuprawniony dostęp, niewłaściwe zniszczenie, utrata dostępu do danych), jest jednym z nowych i bardzo, bardzo ważnych obowiązków, wynikających z RODO. Nie oszukujmy się, administrator danych najchętniej ukryłby każde zdarzenie, które mogłoby postawić go w złym świetle. Dotychczas administratorzy nie mieli obowiązku poinformowania osób, których dane dotyczą, nawet gdy mieli 100% pewność, że ktoś może wykorzystać dane do kradzieży tożsamości. Mogli to zrobić, ale nie musieli, co oznacza, że zazwyczaj tego nie robili.

REKLAMA

Polecamy: Serwis Inforlex RODO 3 m-ce + książka RODO dla kadrowych i HR

REKLAMA

Warto zwrócić uwagę, że zawiadomienie organu nadzoru o wycieku danych, nie jest niczym nowym. Podobne obowiązki już dawno były wpisane w przepisy o ochronie informacji niejawnych oraz prawo telekomunikacyjne. Jednakże przed RODO przepisy nie regulowały zasad powiadamiania osób, których dane dotyczą o wycieku (lub innym groźnym zdarzeniu) jej danych. Znanych jest kilka historii (polecam poszperać na stronach serwisu Niebezpiecznik.pl) o tym, jak administrator danych “zawiadamiał” w sposób, który nie wnosił żadnej wiedzy, a jedynie zamieszanie i zdenerwowanie. Co nam po informacji, że ktoś ukradł nam dane, a administratorowi jest przykro z tego powodu?

RODO wprowadza nowe zasady. Jeżeli zostanie naruszona ochrona danych w wyniku, której istnieje duże ryzyko dla praw i wolności, osób które dane dotyczą, wówczas administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO). Jak wspomniałam wcześniej, naruszenie nie dotyczy tylko kradzieży. Naruszeniem będzie zdarzenie, które doprowadzi do utraty, którejkolwiek z fundamentalnych cech danych osobowych, jak integralność, rozliczalność i poufność. Jeżeli za takim zdarzeniem, będzie szło ryzyko dla praw i wolności osoby, której dane dotyczą (np. szantaż tej osoby, kradzież jej danych, niemożliwość skorzystania przez nią z praw przysługujących jej na mocy przepisów prawa, itd), wówczas niezbędne jest zawiadomienie jej, o zaistniałym zdarzeniu.

Ważne: zawiadomienia należy dokonać jak najszybciej. Przede wszystkim dlatego, że tylko szybka reakcja może pozwolić tej osobie zapobiec możliwym skutkom tego zdarzenia, np. zastrzec dane w BIK, wymienić dowód osobisty.

Dalszy ciąg materiału pod wideo

W związku z powyższym administrator powinien wybrać odpowiedni środek komunikacji, który umożliwia jak najszybsze i najskuteczniejsze dotarcie do odbiorców. Jeżeli posiada adresy e-mail powinien wysłać wiadomości elektroniczne (uwaga: należy je wysłać tak, żeby nie dokonać dodatkowego naruszenia, ujawniając odbiorcom nawzajem ich adresy – nie powinni ich widzieć). Można także wysłać smsy, chociaż tutaj ograniczeniem jest długość wiadomości. Bardzo eleganckim i profesjonalnym rozwiązaniem jest zadzwonienie do wszystkich, jednakże wymaga to ogromnego nakładu czasu i pracy. Przy dużej liczbie osób, które należy powiadomić, polecam wysłać do wszystkich wiadomości e-mail oraz wskazać numery telefonu i stronę internetową, na której będzie więcej informacji. Zawiadomienie na stronie internetowej lub w prasie powinno być traktowane jako działanie wspierające, które nie zastępuje bezpośrednich narzędzi zawiadomienia (o ile posiada się bezpośrednie kontakty).

Treść zawiadomienia

Informacja o naruszeniu powinna być napisana prosto i zrozumiale. Jej obowiązkowe elementy to:

  • dane punktu kontaktowego, od którego można uzyskać więcej informacji, w szczególności IOD, jeżeli został wyznaczony;
  • opis możliwych konsekwencji naruszenia dla osoby naruszenia ochrony danych osobowych;
  • opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Osoba, której dane dotyczą zazwyczaj nie ma pojęcia co powinna zrobić, gdy dojdzie do naruszenia. Najistotniejsze dla niej jest wskazanie odpowiedniej procedury działania. Interesują ją informacje o tym, co administrator zrobił, aby takie zdarzenie nie miało miejsca w przyszłości i aby ograniczyć skutki działania. Dobrze zrobione zawiadomienie, to klucz do sukcesu.

Propozycja treści zawiadomienia osób, których danych dotyczą o naruszeniu ochrony ich danych.

Warto podkreślić, że są sytuacje, w których administrator jest zwolniony z obowiązku dokonywania zgłoszenia (art. 34 RODO):

  1. Jeżeli przed naruszeniem, wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  2. Jeżeli po naruszeniu zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą
  3. Jeżeli zawiadomienie wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

REKLAMA

Zwracam uwagę, że wystarczy, aby został spełniony którykolwiek z powyższych warunków, aby dokonanie zawiadomienia nie było konieczne. Pierwszy warunek pokazuje, jak ważne jest domyślne szyfrowanie danych (dysków komputerów, przesyłanych danych, załączników, plików, nośników danych). Nawet jeżeli koszt szyfrowania jest wysoki, może okazać się inwestycją, która zwróci się przy pierwszym naruszeniu i ochroni administratora przed nieprzyjemnymi konsekwencjami zdarzenia (wtedy naprawdę doceni, to że zostało ono wdrożone).

Drugi przypadek dotyczy środków zaradczych, które administrator podjął po wykryciu naruszenia. Na przykład z jego bazy wykradziono hasła użytkowników, ale zdążył on zresetować te hasła zanim ktokolwiek zalogował się na konta, do których hasła wykradziono.

Ostatni przypadek nie powinien być nadużywany, tzn. to rzeczywiście musi być sytuacja, w której administrator nie będzie w stanie powiadomić tych osób lub koszt powiadomienia przekracza jego możliwości. Administrator musi być w stanie rozsądnie uzasadnić spełnienie tej przesłanki.

Na koniec przestroga. Nie warto unikać odpowiedzialności i zamieść temat pod dywan. Jeżeli zdarzenie zostanie upublicznione i o naruszeniu dowie się Urząd Ochrony Danych, to w sytuacji, gdy nie wypełniliśmy swojego obowiązku wobec osób, których dane dotyczą, a tym samym naraziliśmy ich na ryzyko wykorzystania ich danych, kontrolujący może poczuć się w obowiązku wymierzyć surową i odstraszającą dla innych karę finansową.

Polecamy serwis: Prawa konsumenta

Autopromocja

REKLAMA

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie - zapraszamy do subskrybcji naszego newslettera
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Wynagrodzenie minimalne 2023 [quiz]
    certificate
    Jak zdobyć Certyfikat:
    • Czytaj artykuły
    • Rozwiązuj testy
    • Zdobądź certyfikat
    1/15
    Kiedy będą miały miejsce podwyżki minimalnego wynagrodzenia w 2023 roku?
    od 1 stycznia i od 1 lipca
    od 1 stycznia i od 1 czerwca
    od 1 lutego i od 1 lipca
    Następne
    Prawo
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Zmienią się zasady przyznawania żołnierzom zawodowym dodatku za długoletnią służbę wojskową. Dodatek nie będzie już się zwiększał co 3 lata służby – jest projekt rozporządzenia

    Żołnierzowi zawodowemu przysługuje prawo do dodatku za długoletnią służbę wojskową. Obecnie dodatek ten jest zwiększany co 3 lata służby o 3% należnego mu uposażenia zasadniczego. Ta zasada zostanie zmieniona przez nowelizację przepisów o dodatkach do uposażenia żołnierzy.

    Zasiłek rodzinny 2024 – czy będzie waloryzacja?

    Czy w 2024 roku będzie waloryzacja zasiłku rodzinnego? Czy będzie podwyżka dodatków do zasiłku rodzinnego? Czy kryterium dochodowe, które obecnie nie pozwala na uzyskanie zasiłku osobom zarabiającym najniższą krajową, zostanie zmienione?

    Nie tylko podwyżki wynagrodzenia. Nauczyciele otrzymają też nowe legitymacje służbowe – projekt rozporządzenia

    Nauczyciele otrzymają nowe legitymacje służbowe. Obecne legitymacje nie spełniają wymagań odnośnie do minimalnych zabezpieczeń.

    Czy komornik może zająć zwrot podatku małżonków ze wspólnego rozliczenia? Sprawdź, jak zmieniły się przepisy.

    Decyzja o wspólnym rozliczeniu małżonków na gruncie podatku dochodowego jest zazwyczaj podyktowana chęcią osiągnięcia korzyści podatkowej – uniknięcia wejścia w wyższy próg podatkowy, czy pełniejszego skorzystania z ulg. Jednak może mieć też mniej przyjemne konsekwencje związane z zajęciem komorniczym.

    REKLAMA

    Dodatki do zasiłku rodzinnego 2024 – kwoty, ustawa

    Jakie dodatki do zasiłku rodzinnego wymienia ustawa? Czy jest dodatek na dziecko niepełnosprawne i dla rodziny wielodzietnej? Najwyższy dodatek do zasiłku rodzinnego wynosi 1000 zł i jest jednorazowy. Jakie są kwoty wszystkich 7 dodatków do zasiłku w 2024 roku?

    Zasiłek i dodatek dla samotnej matki 2024

    Samotna matka w 2024 roku może wnioskować o zasiłek rodzinny i dodatek z tytułu samotnego wychowywania dziecka. Jakie jest kryterium dochodowe? Jak złożyć wniosek o jakie dokumenty załączyć? Czy alimenty mają wpływ na przyznanie dodatku?

    Komunikat: Autostrada A2 nie będzie blokowana miesiąc. Strajk ostrzegawczy od 25 do 26 lutego. I Warszawa 27 lutego. Rolnicy blokują od strony Niemiec

    Trzy godziny rozmów rolników z przedstawicielami przedsiębiorstw zaowocowały nowymi ustaleniami w sprawie planowanego protestu rolników na odcinku autostrady A2 w Świecku. 

    Taki sam wiek emerytalny kobiet i mężczyzn w Polsce? MRPiPS: nie ma przyzwolenia społecznego, nie są prowadzone prace

    Brak jest przyzwolenia społecznego w zakresie realizacji postulatu zrównania wieku emerytalnego kobiet i mężczyzn w Polsce. Dlatego Ministerstwo Rodziny, Pracy i Polityki Społecznej nie prowadzi żadnych prac w tym zakresie. Obecnie rząd nie prowadzi prac dotyczących wyliczenia, jak zmieniłaby się średnia wysokość emerytur dla kobiet w przypadku zrównania wieku emerytalnego dla obu płci. Jednocześnie zróżnicowanie wieku emerytalnego kobiet i mężczyzn jest zgodne z Konstytucją RP, regulacjami Międzynarodowej Organizacji Pracy i dyrektywami UE. Takie informacje zostały przekazane w odpowiedzi na interpelację poselską z 22 lutego 2024 r., której udzieliła Aleksandra Gajewska, sekretarz stanu w Ministerstwie Rodziny, Pracy i Polityki Społecznej.

    REKLAMA

    W Warszawie sędzia zakwestionowała działania A. Bodnara. Czy prokuratorzy będą mogli skutecznie ścigać przestępców?

    Do sądów karnych wkroczył chaos. Dowodem na to jest zwrócenie prokuraturze przez Sąd Apelacyjny w Warszawie wniosku o przedłużenie aresztu tymczasowego. Decyzja sądu nie dotyczy polityki, ale ma źródło w polityce.

    Czy syn byłego prezesa Orlenu postąpił rozsądnie, czyli fundacja rodzinna okiem potencjalnego beneficjenta

    W ostatnim czasie głośno było o założeniu fundacji rodzinnej przez byłego prezesa Orlenu – w szczególności w kontekście przekazania do fundacji majątku przez jego syna. Zostawiając z boku politykę, jest to na pewno ciekawy przyczynek do rozważań o tym, czy takie działanie jest dopuszczalne i w jakikolwiek sposób opłacalne – a szerzej do dyskusji o roli beneficjenta.

    REKLAMA