Zawiadomienie osoby fizycznej o naruszeniu ochrony danych osobowych

Zawiadomienie osoby fizycznej o naruszeniu ochrony danych osobowych

 

NARUSZENIE OCHRONY DANYCH OSOBOWYCH

Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) wprowadza nie tylko wymóg zawiadamiania  Prezesa UODO o naruszeniach ochrony danych osobowych, ale również w konkretnych sytuacjach to takim naruszeniu należy zawiadomić osobę, której dane dotyczą.

Na wstępie wyjaśnijmy, czym zatem jest naruszenie ochrony danych osobowych? 

Naruszeniem danych osobowych zgodnie z art. 4 pkt. 12 RODO jest:

naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

Oznacza to, że z naruszeniem będziemy mieć do czynienia zarówno wskutek świadomego bądź nieświadomego działania pracownika jak i w sytuacji włamania do zarządzanego przez nas komputera czy też kradzieży znajdujących się na nim danych osobowych. 

Naruszenia możemy podzielić również na trzy kategorie:

  1. naruszenie dotyczące poufności danych – dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych
  2. naruszenie dotyczące integralności danych – dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych
  3. naruszenie dotyczące dostępności danych – dochodzi do przypadkowego lub nieuprawnionego dostępu do danych osobowych lub zniszczenia danych osobowych

KIEDY TRZEBA ZAWIADOMIĆ OSOBĘ FIZYCZNĄ O NARUSZENIU OCHRONY DANYCH?

Administrator danych osobowych zobowiązany jest zawiadomić o naruszeniu osobę fizyczną, której dane dotyczą w sytuacji gdy naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności tej osoby. Zgodnie z art. 34 ust. 3 RODO Administrator danych osobowych może odstąpić od zawiadomienia osoby fizycznej o naruszeniu jedynie w sytuacji, gdy - jak wskazuje RODO:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Oznacza to, że wszystkie pozostałe sytuacje nie spełniające wyżej wymienionych przesłanek wymagają złożenia odrębnego zawiadomienia do osoby fizycznej.

W JAKI SPOSÓB ZAWIADOMIĆ OSOBĘ FIZYCZNĄ O NARUSZENIU?

Zgodnie z art. 34 ust. 2 RODO Administrator powinien zawiadomić osobę fizyczną o naruszeniu w sposób jasny i prosty, zawierając w zawiadomieniu informacje o:

  1. charakterze naruszenia,
  2. imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  3. możliwych konsekwencjach naruszenia ochrony danych osobowych,
  4. środkach zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach informacje o środkach w celu zminimalizowania  ewentualnych negatywnych skutków naruszenia.

JAKI JEST TERMIN NA ZAWIADOMIENIE O NARUSZENIU?

Zawiadomienie osoby fizycznej o naruszeniu powinno nastąpić bez zbędnej zwłoki. Jak wiemy,  pojęcie „bez zbędnej zwłoki” nie należy do pojęć “ostrych”, dookreślonych, jasnych i precyzyjnych. Tak też wydawać by się mogło, że pojawi się drugi, bardziej dokładny termin. Tu tak się jednak nie dzieje. Nie mamy terminu 72 godzin tudzież 7 dni. Ustawodawca ograniczył się do “niezwłocznego” zawiadomienia osoby fizycznej. 

PRZYKŁADY NARUSZEŃ OCHRONY DANYCH OSOBOWYCH 

Więcej o naruszeniach możesz przeczytać tutaj.

Dla przypomnienia, wskażemy kilka przykładów takich naruszeń:

  1. udostępnienie w wiadomości e-mail danych osobowych nieuprawnionym osobom,
  2. zgubienie lub kradzież niezaszyfrowanych urządzeń z danymi osobowymi, takich jak komputer, smartfon, tablet, pendrive, karty pamięci, dysku zewnętrznego,
  3. zgubienie dokumentów zawierających dane osobowe,
  4. wysyłka dokumentów zawierających dane osobowe pod niewłaściwy adres korespondencyjny,
  5. niewłaściwa anonimizacja bądź zniszczenie dokumentacji archiwalnej, co skutkuje jej ujawnieniem,
  6. inne udostępnienie dokumentacji niewłaściwej, nieuprawnionej osobie,
  7. włamanie do sieci, w ramach której dokonuje się przetwarzania danych osobowych.

O naruszeniach ochrony danych osobowych więcej znajdziecie tutaj

KARA ZA BRAK ZAWIADOMIENIA 

Brakuje w RODO wyraźnej sankcji, która mogłyby spotkać administratora, jeśli ten zdecyduje sie nie zawiadamiać osoby fizycznej wbrew występującej przesłance wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Dlatego wydaje się być zasadnym uznać, iż konsekwencje te mogą być podobne, jak w przypadku braku zawiadomienia o naruszeniu Prezesa UODO z zastrzeżeniem, iż w przypadku samego zawiadomienia do Prezesa UODO organ nadzorczy mógłby naprowadzić nas na fakt, iż w tej konkretnej sytuacji administrator powinien zawiadomić podmiot danych osobowych. I tak często się dzieje, dlatego warto zgłaszać zawiadomienia.

Przypominamy także, że samo zgłoszenie zdarzenia, jakim jest naruszenie danych osobowych jest nie tylko obowiązkiem w świetle przepisów prawa, ale należy go również traktować jako chęć współdziałania w rozwiązaniu sytuacji. Ewentualnie nałożona przez Prezesa Urzędu Ochrony Danych osobowych kara jest zawsze zindywidualizowana, a nakładając ją brane jest pod uwagę wiele czynników:

  1. charakter, waga i czas trwania naruszenia;
  2. umyślny lub nieumyślny charakter naruszenia;
  3. działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
  5. wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;
  6. stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  7. kategorie danych osobowych, których dotyczyło naruszenie;
  8. sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).

W przypadku wysokości kary przepisy przewidują górne limity wysokości kar. Prezes Urzędu Ochrony Danych Osobowych może nałożyć karę w wysokości:

  1. do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą; 
  2. do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;

Należy brać także pod uwagę, iż osoba, której dane osobowe mogłyby być przedmiotem naruszenia może złożyć skargę do Prezesa UODO. 

Obecnie naruszenia ochrony danych osobowych nie jest już wewnętrzną sprawą w organizacji. Często stają się one dużym problemem. Dlatego tak ważne jest dbanie o bezpieczeństwo danych osobowych.

Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.

Kategorie

Ostatnie posty

Dane wrażliwe (art. 9 RODO)
Dane wrażliwe (art. 9 RODO)

Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?

Rejestr czynności przetwarzania
Rejestr czynności przetwarzania

RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?

Analiza ryzyka
Analiza ryzyka

Jednym z obowiązków Administratora, który nakładają na niego przepisy RODO jest wykonanie oceny skutków dla ochrony danych osobowych. W artykule kilka ważnych informacji dla osób dokonujących słynnego DPiA.

RODO-Advisor

▪️nie wdrożyłeś RODO w firmie▪️szukasz bieżącego wsparcia▪️szukasz Inspektora Ochrony Danych▪️odnotowałeś wyciek danych▪️masz problem i chcesz go przedyskutować▪️chcesz przeszkolić personel▪️ 

ROZWIĄŻEMY PROBLEM

▪️chcesz korzystać z przysługujących RODO-uprawnień▪️czujesz, że Twoje prawa nie są przestrzegane▪️chcesz mądrze zarządzać swoimi danymi osobowymi, ale nie wiesz jak▪️ myślisz o założeniu firmy i chcesz poznać RODO-procesy▪️ 

Kontakt

787 799 843
kontakt@rodo-advisor.pl
Plac Hallera 5 lok. 14A
03-464 Warszawa

CREATED BY REVEO

Dokumentacja RODO - Polityka Prywatności oraz Ogólna klauzula informacyjna