O jakich naruszeniach ochrony danych osobowych trzeba powiadomić Prezesa UODO?

• Rafał Stępniewski
• /
• 24 września 2019

Gdy administrator wykryje naruszenie ochrony danych osobowych, to w pierwszej kolejności musi przeprowadzić analizę pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli z badania wyniknie, że prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osób fizycznych jest niskie, to administrator danych osobowych jest zwolniony z obowiązku powiadamiania organu nadzorczego. Przy czym administrator powinien odnotować wnioski z analizy w wewnętrznej ewidencji naruszeń w razie, gdyby organ nadzorczy zwrócił się do administratora z prośbą o uzasadnienie decyzji o niezgłaszaniu naruszenia. 

O jakich naruszeniach trzeba powiadomić Prezesa UODO?

Jak wynika z powyższego, administrator ma obowiązek zgłosić Prezesowi UODO naruszenie wtedy, gdy prawdopodobieństwo ryzyka naruszenia praw i wolności osób fizycznych jest wysokie.

Czym jest w takim razie wysokie prawdopodobieństwo wystąpienia ryzyka?

Jest to sytuacja, której skutkiem jest szkoda fizyczna, materialna lub niematerialna dla osób fizycznych, np. dyskryminacja, kradzież tożsamości, oszustwo dotyczące tożsamości, utrata poufności danych osobowych, straty finansowe, znaczące skutki gospodarcze lub społeczne, czy też utrata dobrego imienia. Naruszenie ochrony danych osobowych dotyczy danych osobowych ujawniających przekonania światopoglądowe, polityczne, religijne, pochodzenie etniczne, przynależność do związków zawodowych, dane dotyczące zdrowia lub życia seksualnego.

W jaki sposób powiadomić o naruszeniu Prezesa UODO?

Naruszenia ochrony danych osobowych należy zgłaszać Prezesowi Urzędu Ochrony Danych Osobowych za pomocą formularza na stronie https://uodo.gov.pl/pl/134/233 na 4 sposoby:

• poprzez wypełnienie elektronicznego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP,

• elektronicznie poprzez wypełnienie dedykowanego formularza bezpośrednio na platformie https://www.biznes.gov.pl/pl/firma/sprzedaz-i-marketing/chce-sprzedawac-przez-internet/proc_889-naruszenie-danych-osobowych, 

• elektronicznie poprzez wysłanie formularza za pomocą pisma ogólnego dostępnego na platformie https://www.biznes.gov.pl/pl/e-uslugi/00_0000_00, 

• tradycyjną pocztą, wysyłając formularz na adres Urzędu.

Jeżeli naruszenie ochrony danych osobowych dotyczy osób w różnych krajach Unii Europejskiej, to Prezes UODO może, ale nie musi być wiodącym (właściwym dla administratora danych lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia ochrony danych osobowych administrator powinien zbadać, czy wiodącym organem nadzorczym w kontekście czynności przetwarzania jest Prezes UODO, czy może inny europejski organ nadzorczy.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Jakie informacje musi zawierać zgłoszenie naruszenia kierowane do Prezesa UODO?

Zgłaszając naruszenie, administrator musi wskazać kilka informacji. Wynika to z art. 33 ust. 3 RODO. Jest to:

• opis charakteru naruszenia ochrony danych osobowych, w tym wskazać kategorie oraz przybliżoną liczbę osób, których dane dotyczą, a także kategorie i przybliżoną liczbę wpisów danych osobowych, których naruszenie dotyczy,

• opis realnych konsekwencji naruszenia ochrony danych osobowych,

• wskazanie środków zastosowanych lub zaproponowane przez administratora, mających na celu załagodzenie naruszenia ochrony danych osobowych, w tym także środki w celu zminimalizowania negatywnych konsekwencji,

• przedstawienie imienia, nazwiska oraz danych kontaktowych inspektora ochrony danych osobowych lub wskazanie innego punktu kontaktowego, od którego można uzyskać więcej informacji.

Przy zgłaszaniu naruszenia ważne jest, by naruszenie było opisane szczegółowo i klarownie. Jest to niezbędne do tego, by organ nadzorczy mógł trafnie ocenić zdarzenie i podjąć odpowiednie działania, np. ponowne prawidłowe zawiadomienie osób, których dane dotyczą. Jeżeli zawiadomienie będzie zbyt krótkie, to nie daje to szansy organowi nadzorczemu na podjęcie szybkich i adekwatnych działań. Dodatkowo należy poinformować organ o zastosowanych środkach zaradczych.

W jakim terminie należy zgłosić naruszenie?

Z artykułu 33 ust. 1 RODO wynika, że administrator ma obowiązek zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu właściwemu — zgłoszenia dokonuje bez zbędnej zwłoki, a w miarę możliwości nie później niż 72 godziny po stwierdzeniu naruszenia. Chyba że istnieje małe prawdopodobieństwo, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Według Grupy Roboczej art. 29. stwierdzenie naruszenia następuje wtedy, gdy administrator ma wystarczającą pewność, że wystąpiło zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszeniu ochrony danych osobowych.

Czy jest dopuszczalne przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?

Krótko mówiąc: tak, jest dopuszczalne. Dlaczego? Ponieważ administratorzy nie zawsze posiadają szczegółowe informacje o incydencie w ciągu 72 godzin od jego stwierdzenia. Dlatego istnieje możliwość, by administratorzy udzielali informacji sukcesywnie. Powinni podzielić się informacjami, zaraz po wejściu w ich posiadanie. Dodatkowo taka możliwość jest dopuszczalna, w przypadku, gdy administrator poda organowi nadzorczemu przyczyny opóźnienia.

Brak dostępu do szczegółowych informacji nie powinien być przeszkodą dla zgłoszenia incydentu w terminie. Zresztą jak już było wspomniane, przepisy RODO dają możliwość wskazania przybliżonej liczby osób, na które naruszenie wpłynęło, a także przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.