O jakich naruszeniach ochrony danych osobowych trzeba powiadomić Prezesa UODO?

Naruszenia ochrony danych osobowych mogą być różne i mogą nieść za sobą różne skutki. Od wagi incydentu zależy, kogo należy powiadomić w pierwszej kolejności oraz jakie kroki dalej podjąć. W artykule skupimy się na naruszeniach, o których należy koniecznie powiadomić Prezesa UODO.

O jakich naruszeniach ochrony danych osobowych trzeba powiadomić Prezesa UODO?

Rafał Stępniewski

24 września 2019

Gdy administrator wykryje naruszenie ochrony danych osobowych, to w pierwszej kolejności musi przeprowadzić analizę pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli z badania wyniknie, że prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych jest niskie, to administrator danych osobowych jest zwolniony z obowiązku powiadamiania organu nadzorczego. Przy czym administrator powinien odnotować wnioski z analizy w wewnętrznej ewidencji naruszeń w razie, gdyby organ nadzorczy zwrócił się do administratora z prośbą o uzasadnienie decyzji o niezgłaszaniu naruszenia. 

O jakich naruszeniach trzeba powiadomić Prezesa UODO?

Jak wynika z powyższego, administrator ma obowiązek zgłosić Prezesowi UODO naruszenie wtedy, gdy prawdopodobieństwo ryzyka naruszenia praw i wolności osób fizycznych jest wysokie.

Czym jest w takim razie wysokie prawdopodobieństwo wystąpienia ryzyka?

Jest to sytuacja, której skutkiem jest szkoda fizyczna, materialna lub niematerialna dla osób fizycznych, np. dyskryminacja, kradzież tożsamości, oszustwo dotyczące tożsamości, utrata poufności danych osobowych, straty finansowe, znaczące skutki gospodarcze lub społeczne, czy też utrata dobrego imienia. Naruszenie ochrony danych osobowych dotyczy danych osobowych ujawniających przekonania światopoglądowe, polityczne, religijne, pochodzenie etniczne, przynależność do związków zawodowych, dane dotyczące zdrowia lub życia seksualnego.

W jaki sposób powiadomić o naruszeniu Prezesa UODO?

Naruszenia ochrony danych osobowych należy zgłaszać Prezesowi Urzędu Ochrony Danych Osobowych za pomocą formularza na stronie https://uodo.gov.pl/pl/134/233 na 4 sposoby:

Jeżeli naruszenie ochrony danych osobowych dotyczy osób w różnych krajach Unii Europejskiej, to Prezes UODO może, ale nie musi być wiodącym (właściwym dla administratora danych lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia ochrony danych osobowych administrator powinien zbadać, czy wiodącym organem nadzorczym w kontekście czynności przetwarzania jest Prezes UODO, czy może inny europejski organ nadzorczy.

Jakie informacje musi zawierać zgłoszenie naruszenia kierowane do Prezesa UODO?

Zgłaszając naruszenie, administrator musi wskazać kilka informacji. Wynika to z art. 33 ust. 3 RODO. Jest to:

  • opis charakteru naruszenia ochrony danych osobowych, w tym wskazać kategorie oraz przybliżoną liczbę osób, których dane dotyczą, a także kategorie i przybliżoną liczbę wpisów danych osobowych, których naruszenie dotyczy,

  • opis realnych konsekwencji naruszenia ochrony danych osobowych,

  • wskazanie środków zastosowanych lub zaproponowane przez administratora, mających na celu załagodzenie naruszenia ochrony danych osobowych, w tym także środki w celu zminimalizowania negatywnych konsekwencji,

  • przedstawienie imienia, nazwiska oraz danych kontaktowych inspektora ochrony danych osobowych lub wskazanie innego punktu kontaktowego, od którego można uzyskać więcej informacji.

Przy zgłaszaniu naruszenia ważne jest, by naruszenie było opisane szczegółowo i klarownie. Jest to niezbędne do tego, by organ nadzorczy mógł trafnie ocenić zdarzenie i podjąć odpowiednie działania, np. ponowne prawidłowe zawiadomienie osób, których dane dotyczą. Jeżeli zawiadomienie będzie zbyt krótkie, to nie daje to szansy organowi nadzorczemu na podjęcie szybkich i adekwatnych działań. Dodatkowo należy poinformować organ o zastosowanych środkach zaradczych.

W jakim terminie należy zgłosić naruszenie?

Z artykułu 33 ust. 1 RODO wynika, że administrator ma obowiązek zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu właściwemu — zgłoszenia dokonuje bez zbędnej zwłoki, a w miarę możliwości nie później niż 72 godziny po stwierdzeniu naruszenia. Chyba że istnieje małe prawdopodobieństwo, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Według Grupy Roboczej art. 29. stwierdzenie naruszenia następuje wtedy, gdy administrator ma wystarczającą pewność, że wystąpiło zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszeniu ochrony danych osobowych.

Czy jest dopuszczalne przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?

Krótko mówiąc: tak, jest dopuszczalne. Dlaczego? Ponieważ administratorzy nie zawsze posiadają szczegółowe informacje o incydencie w ciągu 72 godzin od jego stwierdzenia. Dlatego istnieje możliwość, by administratorzy udzielali informacji sukcesywnie. Powinni podzielić się informacjami, zaraz po wejściu w ich posiadanie. Dodatkowo taka możliwość jest dopuszczalna, w przypadku, gdy administrator poda organowi nadzorczemu przyczyny opóźnienia.

Brak dostępu do szczegółowych informacji nie powinien być przeszkodą dla zgłoszenia incydentu w terminie. Zresztą jak już było wspomniane, przepisy RODO dają możliwość wskazania przybliżonej liczby osób, na które naruszenie wpłynęło, a także przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!