Najczęściej popełniane błędy podczas zgłoszenia naruszeń
Zgłaszanie naruszeń ochrony danych osobowych to obowiązek administratora. W zależności od prawdopodobieństwa wystąpienia ryzyka naruszenia dóbr i wolności osób, których dane dotyczą administrator musi zgłosić incydent do Prezesa Urzędu Ochrony Danych Osobowych. Jednak przy zgłaszaniu naruszeń często występują błędy, które niejednokrotnie utrudniają szybką reakcję i podjęcie odpowiednich działań.
- Rafał Stępniewski
- /
- 30 września 2019
1. Informacje w zgłoszeniu są niekompletne — brakuje danych wymaganych w art. 33 ust. RODO
Żeby prawidłowo przekazać wszystkie informacje, administrator może skorzystać z elektronicznego formularza. Dzięki temu, że formularz ma usystematyzowany układ, pozwala na sporządzenie prawidłowego zgłoszenia ze wszystkimi wymaganymi informacjami.
Poprawnie wypełniony formularza jest kluczowy, by organ nadzorczy mógł ocenić charakter oraz skalę naruszenia, a w razie potrzeby podjąć odpowiednie działania naprawcze.
Prawidłowo wypełnione zgłoszenie naruszenia danych osobowych powinno zawierać:
imię, nazwisko oraz dane kontaktowe inspektora ochrony danych lub podanie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
opis charakteru naruszenia ochrony danych osobowych, a jeżeli istnieje szansa, to należy również wskazać kategorię i przybliżoną liczbę osób, których dane dotyczą oraz opis kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie,
opis środków zastosowanych lub zaproponowanych przez administratora danych w celu zaradzeniu naruszeniu ochrony danych osobowych, a także opis stosowanych środków w celu ograniczenia negatywnych skutków naruszenia,
opis ewentualnych konsekwencji naruszenia ochrony danych osobowych.
Administrator ma 72 godziny na zgłoszenie naruszenia od jego stwierdzenia, jeżeli naruszenie zostanie zgłoszone po tym czasie, należy dołączyć wyjaśnienie przyczyn opóźnienia.
Może się zdarzyć, że administrator nie dysponuje wszystkimi niezbędnymi informacjami, więc jeżeli korzysta z elektronicznego formularza, powinien zaznaczyć pole “Zgłoszenie wstępne”. Zgodnie z art. 33 ust. RODO, administrator powinien bez zbędnej zwłoki przekazać brakujące informacje zaraz po ich uzyskaniu.
2. Zgłoszenia wypełniane są nierzetelnie i lakonicznie
Niedbałe wypełnianie zgłoszeń niepotrzebnie zmusza organ do podjęcia dodatkowych czynności, np. w przypadku wpisanego sformułowania “zagubiono dokument” organ musi ustalić dodatkowo rodzaj dokumentu oraz jakiego typu dane zawierał. Po skontaktowaniu się z inspektorem lub innym punktem kontaktowym okazuje się, że “zagubiony dokument” to np. oryginał umowy wraz z danymi identyfikacyjnymi, numerem PESEL, adresem zamieszkania oraz szczegółowymi informacjami finansowymi. Dlatego charakter naruszenia powinien być szczegółowo opisany oraz zawierać okoliczności naruszenia — dzięki temu organ ma większą szansę na szybką ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.
A przecież jednym z najważniejszych z celów zgłaszania naruszeń jest ograniczanie szkód dla osób fizycznych — z pewnością nierzetelne i zdawkowe przekazywanie informacji uniemożliwia organom spełnienie tego celu.
Organ posiadający wszystkie informacje może prawidłowo ocenić naruszenie, a przez to odpowiednio zareagować, np. zażądać od administratora powiadomienia osób, których dane dotyczą — jeżeli sytuacja tego wymaga, a administrator nie zrobił tego wcześniej z własnej inicjatywy.
Jeżeli w przekazanych informacjach są braki, Organ wzywa administratora do ich uzupełnienia — administrator, który nie zareaguje na wezwanie, może zostać ukarany karą pieniężną zgodnie z art. 83 ust. 5 lit. e RODO.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
3. Zgłoszenia wypełniane rutynowo, co prowadzi do błędów
Zauważono, że w przypadku administratorów, którzy kierują do urzędu spore ilości zgłoszeń, istnieje tendencja do automatycznego oraz niedokładnego sposobu wypełniania formularza. To powoduje, że zgłoszenia zawierają informacje z poprzednich wypełnianych formularzy dotyczących innych naruszeń. Taka niedbałość powoduje konieczność prowadzenia z administratorem dalszego dialogu — co generuje zużywanie dodatkowego czasu i pracy z obydwu stron.
4. Zgłaszanie naruszeń ochrony danych osobowych przez podmiot przetwarzający bądź inny podmiot niebędący administratorem zobowiązanym do zgłoszenia naruszenia
Podmiot przetwarzający (np. biuro rachunkowe, obsługujące konkretną firmę) nie ma obowiązku zgłaszania naruszeń — to obowiązek administratora danych. Art. 33 ust. RODO mówi, że w sytuacji naruszenia ochrony danych podmiot przetwarzający bez zbędnej zwłoki zgłasza to administratorowi. Art. 28 ust. 3 lit. f RODO również zobowiązuje podmiot przetwarzający do pomocy administratorowi w wywiązaniu się z obowiązków określonych w art. 33 RODO — np. poprzez udzielenie mu w danej sprawie informacji). Dzięki udostępnionym informacjom administrator może stwierdzić czy rzeczywiście naruszenie wystąpiło, właściwie je sklasyfikować w zależności od poziomu ryzyka, a tym samym podjąć decyzję o konieczności jego zgłoszenia Prezesowi UODO oraz powiadomienia osób, których dane dotyczą.
Naruszenia ochrony danych nie zgłasza również podmiot, który np. omyłkowo dostał niekierowaną do niego korespondencję z danymi osobowymi. W tym przypadku również należy niezwłocznie powiadomić administratora, który zobowiązany jest do podjęcia szeregu działań zapobiegającym konsekwencjom naruszenia danych osobowych.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?