Zgłaszanie naruszeń ochrony danych osobowych

RODO nakłada na administratorów danych wymóg zgłaszania naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych. Jakie incydenty należy zgłosić organowi, a jakie są zwolnione z tego obowiązku? Co musi zrobić administrator, jeśli w  firmie doszło do naruszenia przepisów o ochronie danych osobowych?

Zgłaszanie naruszeń ochrony danych osobowych

Dorota Kraskowska

28 października 2020

Czym jest naruszenie ochrony danych?

Zgodnie z art. 4 pkt 12 RODO naruszenie ochrony danych osobowych jest naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Aby zdarzenie zostało zakwalifikowane jako naruszenie ochrony danych osobowych, muszą być spełnione dwie przesłanki:

  1. Musi dojść do naruszenia bezpieczeństwa danych osobowych.

  2. Naruszenie musi nieść za sobą określone skutki w postaci:

  • Naruszenia integralności danych osobowych obejmującego działania związane ze zniszczeniem, zmodyfikowaniem, utraceniem, usunięciem danych. O naruszeniu w tych sytuacjach możemy mówić wtedy, kiedy te działania mają charakter przypadkowy oraz niezgodny z prawem. Obie przesłanki mogą wystąpić łącznie, co oznacza, że może dojść do naruszenia bezpieczeństwa, które będzie prowadziło do naruszenia integralności danych osobowych w wyniku działania przypadkowego i niezgodnego z prawem. 

  • Nieuprawnionego zapoznania się z danymi osobowymi obejmującego działania związane z nieuprawnionym ujawnieniem danych osobowych (przesłanie, rozpowszechnianie) lub nieuprawnionym dostępem do przetwarzanych danych osobowych (gdy osoba trzecia w wyniku własnego działania uzyskuje wgląd do danych osobowych lub staje się ich posiadaczem). Aby sprawdzić, czy doszło do nielegalnego zapoznania się z danymi osobowymi, należy prześledzić przesłanki zgodnego z prawem przetwarzania danych osobowych określone w art. 6 ust. 1 RODO (dla danych osobowych zwykłych) oraz w art. 9 ust. 2 RODO (dla szczególnych kategorii danych osobowych).

Naruszenie ochrony danych osobowych. Co musi zrobić administrator?

Jeżeli w firmie doszło do naruszenia przepisów o ochronie danych osobowych, administrator w pierwszym kroku powinien przeprowadzić ocenę, czy incydent jest naruszeniem ochrony danych osobowych w rozumieniu RODO, a więc czy naruszenie niesie za sobą skutki wymienione w art. 4 pkt 12 RODO. W przypadku wykrycia innych skutków, np. niespełnienia obowiązków informacyjnych, administrator nie ma obowiązku zgłaszania takiego naruszenia. Będzie zwolniony z tego obowiązku również w sytuacji, jeśli oceni, że jest mało prawdopodobne, aby incydent skutkował ryzykiem naruszenia praw lub wolności osób, których dane dotyczą (zgodnie z art. 33 ust. 1 RODO).  

Drugim etapem będzie ocena, czy jest prawdopodobny skutek w postaci ryzyka naruszenia praw osoby. Nie każde stwierdzone przez administratora naruszenie ochrony danych osobowych (spełniające przesłanki z art. 4 pkt 12 RODO) będzie wymagało zgłoszenia naruszania organowi nadzorczemu. Administrator powinien przeprowadzić ocenę prawdopodobieństwa, czy dane naruszenie ochrony danych skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli uzna, że istnieje małe prawdopodobieństwo, że dojdzie do ryzyka dla osoby, której dane dotyczą, może odstąpić od zgłoszenia. 

Dopiero po przeprowadzeniu tych ocen administrator zgłasza naruszenie ochrony danych organowi nadzorczemu. Zgodnie z art. 33 ust. 1 RODO, administrator powinien to zrobić bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jeśli zgłosi naruszenie po upływie tego terminu, ma obowiązek dołączyć wyjaśnienie przyczyn opóźnienia. Tak krótki  termin na zgłoszenie naruszeń może być dużym wyzwaniem, szczególnie w przypadku, kiedy naruszenie dotyczy dużej liczby osób, dlatego prawodawca zgodnie art. 33 ust. 4 RODO, umożliwia zgłoszenie częściowe, w którym administrator podaje informacje dostępne na chwilę zgłoszenia i uzupełnia je sukcesywnie wraz z rozwojem sytuacji.  

Art. 33 ust. 3 RODO podaje, jakie informacje powinny znaleźć się w zgłoszonym naruszeniu:  

1.   opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości powinno wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

2.   imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, (o ile został powołany),

3.   opis możliwych konsekwencji naruszenia ochrony danych osobowych,

4.   opis zastosowanych lub proponowanych przez administratora środków zaradczych wobec naruszenia ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W jaki sposób zgłaszać naruszenia?

Administrator ma również obowiązek zawiadomienia o naruszeniu osoby, której dane dotyczą. Zgodnie z art. 34 RODO, w razie stwierdzenia naruszenia, które wymaga zgłoszenia do organu nadzorczego – administrator dokonuje oceny, czy o naruszeniu należy również zawiadomić osobę, której dane dotyczą. Kryterium powinien być tu stopień ryzyka dla praw i wolności osoby. Zawiadomienia osoby wymagają te incydenty, które niosą za sobą wysokie ryzyko naruszenia praw i wolności osoby. Brak odpowiedniej reakcji na naruszenie ochrony danych osobowych może skutkować poważnymi konsekwencjami, np. stratami finansowymi, naruszeniem dobrego imienia, kradzieżą tożsamości, dyskryminacją, naruszeniem chronionych tajemnic zawodowych. 

Do obowiązków administratora należy również prowadzenie dokumentacji naruszeń zawierającej opis okoliczności naruszenia ochrony danych osobowych, jego skutków oraz wszystkich podjętych działań zaradczych. 

Niewykonanie obowiązków wynikającego z art. 33 oraz 34 może skutkować karą pieniężną, nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych (art. 83 ust. 4 lit. a RODO).

Jak prezes UODO nakłada administracyjne kary pieniężne?Jak prezes UODO nakłada administracyjne kary pieniężne? Alicja Skibińska

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!