Kiedy i w jakim celu trzeba zawiadamiać o naruszeniu danych? [PORADNIK]

Kiedy należy dokonać zawiadomienia?

Zgodnie z art. 34 pkt 1 RODO „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności3 osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”. Jak oceniać ryzyko naruszenia praw lub wolności osób fizycznych na wypadek stwierdzenia naruszenia?

Obowiązki administratorów związane z naruszeniami ochrony danych osobowych

Do takich przypadków należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się, czyli faktycznie doszło do naruszenia praw lub wolności osoby fizycznej.

O jakich naruszeniach ochrony danych osobowych trzeba powiadomić Prezesa UODO?Rafał Stępniewski

RODO wymaga, aby osoby fizyczne zostały zawiadomione o naruszeniu ich danych „bez zbędnej zwłoki”. Oznacza to, że administrator powinien zrealizować ów obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy. Należy przyjąć, że im poważniejsze jest ryzyko naruszenia praw lub wolności podmiotu danych, tym szybciej powinno nastąpić zawiadomienie, jak wskazuje motyw 86 RODO. Jedynie w pewnych okolicznościach, gdy jest to uzasadnione, oraz zgodnie z zaleceniami organów ścigania administrator może opóźnić wysłanie zawiadomienia o naruszeniu do osób fizycznych, na które wywiera ono wpływ, do momentu, w którym takie zawiadomienie nie zaszkodzi takim postępowaniom. Sytuacja taka jest wprost przewidziana w art. 45 ust. 6 ustawy z 14 grudnia o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Jaki jest cel zawiadomienia?

Poinformowanie na czas osób fizycznych o zaistniałym naruszeniu ma na celu umożliwienie im podjęcia niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia. Zgodnie z zaleceniami Grupy Roboczej Art. 29 dotyczącymi zgłaszania naruszeń, administratorzy powinni wybierać metody pozwalające zapewnić jak najszybszą i jak największą szansę właściwego przekazania informacji o naruszeniu wszystkim osobom fizycznym, na które to naruszenie wywiera wpływ. W związku z powyższym administrator nie może zwlekać z zawiadomieniem osób, zwłaszcza kiedy żąda tego od niego organ nadzorczy.

Kiedy można zrezygnować z zawiadomienia?

W art. 34 ust. 3 RODO określono trzy sytuacje, w których nie ma konieczności zawiadomienia osób fizycznych w przypadku wystąpienia naruszenia.

1. Administrator zastosował przed wystąpieniem naruszenia odpowiednie techniczne i organizacyjne środki w celu ochrony danych osobowych, w szczególności środki uniemożliwiające odczyt danych osobom, które nie są uprawnione do dostępu do tych danych.

2. Natychmiast po wystąpieniu naruszenia administrator podjął działania w celu wyeliminowaniaprawdopodobieństwa powstania wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej.

3. Skontaktowanie się z danymi osobami fizycznymi wymagałoby niewspółmiernie dużego wysiłku.

Źródło: UODO, dokument pt. "Obowiązki administratorów związane z naruszeniami ochrony danych osobowych". 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.