Najczęściej popełniane błędy podczas zgłoszenia naruszeń

Zgłaszanie naruszeń ochrony danych osobowych to obowiązek administratora. W zależności od prawdopodobieństwa wystąpienia ryzyka naruszenia dóbr i wolności osób, których dane dotyczą administrator musi zgłosić incydent do Prezesa Urzędu Ochrony Danych Osobowych. Jednak przy zgłaszaniu naruszeń często występują błędy, które niejednokrotnie utrudniają szybką reakcję i podjęcie odpowiednich działań.

Najczęściej popełniane błędy podczas zgłoszenia naruszeń

Rafał Stępniewski

30 września 2019

1. Informacje w zgłoszeniu są niekompletne — brakuje danych wymaganych w art. 33 ust. RODO

Żeby prawidłowo przekazać wszystkie informacje, administrator może skorzystać z elektronicznego formularza. Dzięki temu, że formularz ma usystematyzowany układ, pozwala na sporządzenie prawidłowego zgłoszenia ze wszystkimi wymaganymi informacjami.

Poprawnie wypełniony formularza jest kluczowy, by organ nadzorczy mógł ocenić charakter oraz skalę naruszenia, a w razie potrzeby podjąć odpowiednie działania naprawcze.

Prawidłowo wypełnione zgłoszenie naruszenia danych osobowych powinno zawierać:

  • imię, nazwisko oraz dane kontaktowe inspektora ochrony danych lub podanie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

  • opis charakteru naruszenia ochrony danych osobowych, a jeżeli istnieje szansa, to należy również wskazać kategorię i przybliżoną liczbę osób, których dane dotyczą oraz opis kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie,

  • opis środków zastosowanych lub zaproponowanych przez administratora danych w celu zaradzeniu naruszeniu ochrony danych osobowych, a także opis stosowanych środków w celu ograniczenia negatywnych skutków naruszenia,

  • opis ewentualnych konsekwencji naruszenia ochrony danych osobowych.

Administrator ma 72 godziny na zgłoszenie naruszenia od jego stwierdzenia, jeżeli naruszenie zostanie zgłoszone po tym czasie, należy dołączyć wyjaśnienie przyczyn opóźnienia.

Może się zdarzyć, że administrator nie dysponuje wszystkimi niezbędnymi informacjami, więc jeżeli korzysta z elektronicznego formularza, powinien zaznaczyć pole “Zgłoszenie wstępne”. Zgodnie z art. 33 ust. RODO, administrator powinien bez zbędnej zwłoki przekazać brakujące informacje zaraz po ich uzyskaniu.

2. Zgłoszenia wypełniane są nierzetelnie i lakonicznie

Niedbałe wypełnianie zgłoszeń niepotrzebnie zmusza organ do podjęcia dodatkowych czynności, np. w przypadku wpisanego sformułowania “zagubiono dokument” organ musi ustalić dodatkowo rodzaj dokumentu oraz jakiego typu dane zawierał. Po skontaktowaniu się z inspektorem lub innym punktem kontaktowym okazuje się, że “zagubiony dokument” to np. oryginał umowy wraz z danymi identyfikacyjnymi, numerem PESEL, adresem zamieszkania oraz szczegółowymi informacjami finansowymi. Dlatego charakter naruszenia powinien być szczegółowo opisany oraz zawierać okoliczności naruszenia — dzięki temu organ ma większą szansę na szybką ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.

A przecież jednym z najważniejszych z celów zgłaszania naruszeń jest ograniczanie szkód dla osób fizycznych — z pewnością nierzetelne i zdawkowe przekazywanie informacji uniemożliwia organom spełnienie tego celu.

Organ posiadający wszystkie informacje może prawidłowo ocenić naruszenie, a przez to odpowiednio zareagować, np. zażądać od administratora powiadomienia osób, których dane dotyczą — jeżeli sytuacja tego wymaga, a administrator nie zrobił tego wcześniej z własnej inicjatywy. 

Jeżeli w przekazanych informacjach są braki, Organ wzywa administratora do ich uzupełnienia — administrator, który nie zareaguje na wezwanie, może zostać ukarany karą pieniężną zgodnie z art. 83 ust. 5 lit. e RODO.

3. Zgłoszenia wypełniane rutynowo, co prowadzi do błędów

Zauważono, że w przypadku administratorów, którzy kierują do urzędu spore ilości zgłoszeń, istnieje tendencja do automatycznego oraz niedokładnego sposobu wypełniania formularza. To powoduje, że zgłoszenia zawierają informacje z poprzednich wypełnianych formularzy dotyczących innych naruszeń. Taka niedbałość powoduje konieczność prowadzenia z administratorem dalszego dialogu — co generuje zużywanie dodatkowego czasu i pracy z obydwu stron.

4. Zgłaszanie naruszeń ochrony danych osobowych przez podmiot przetwarzający bądź inny podmiot   niebędący administratorem zobowiązanym do zgłoszenia naruszenia

Podmiot przetwarzający (np. biuro rachunkowe, obsługujące konkretną firmę) nie ma obowiązku zgłaszania naruszeń — to obowiązek administratora danych. Art. 33 ust. RODO mówi, że w sytuacji naruszenia ochrony danych podmiot przetwarzający bez zbędnej zwłoki zgłasza to administratorowi. Art. 28 ust. 3 lit. f RODO również zobowiązuje podmiot przetwarzający do pomocy administratorowi w wywiązaniu się z obowiązków określonych w art. 33 RODO — np. poprzez udzielenie mu w danej sprawie informacji). Dzięki udostępnionym informacjom administrator może stwierdzić czy rzeczywiście naruszenie wystąpiło, właściwie je sklasyfikować w zależności od poziomu ryzyka, a tym samym podjąć decyzję o konieczności jego zgłoszenia Prezesowi UODO oraz powiadomienia osób, których dane dotyczą.

Naruszenia ochrony danych nie zgłasza również podmiot, który np. omyłkowo dostał niekierowaną do niego korespondencję z danymi osobowymi. W tym przypadku również należy niezwłocznie powiadomić administratora, który zobowiązany jest do podjęcia szeregu działań zapobiegającym konsekwencjom naruszenia danych osobowych. 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!