O jakich naruszeniach trzeba powiadomić Prezesa UODO? [PORADNIK]

W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu.

Trzeba jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

Kiedy mamy do czynienia z ryzykiem naruszenia praw?

Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

Więcej informacji na temat oceny ryzyka można znaleźć w dwuczęściowym poradniku Prezesa UODO, w którym odpowiedziano na pytania: Jak rozumieć podejście oparte na ryzyku według RODO? oraz Jak stosować podejście oparte na ryzyku?

Akt o rynkach cyfrowych. Co zmieniają nowe przepisy?Michał Górecki

W jaki sposób powiadomić Prezesa UODO o naruszeniu?

Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO). Zgłoszenia można dokonać za pomocą formularza dostępnego na stronie uodo.gov.pl na 4 sposoby:

1. Elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl

2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: UODO/SkrytkaESP

3. Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,

4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym.

W przypadku transgranicznego naruszenia ochrony danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też może inny europejski organ nadzorczy (więcej: Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego (WP 244 rew. 01).

Źródło: UODO, dokument pt. "Obowiązki administratorów związane z naruszeniami ochrony danych osobowych".

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.