nr tel.: 22 390 91 05

Inne marki
Rzetelnej Grupy

Rzetelny Regulamin Rzetelny Prawnik Rzetelna Umowa Prawo Konsumenckie Rzetelny Konkurs

Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu

Autor: Rafał Stępniewski Data: 23 października 2017

Aktualnie obowiązujące przepisy nie nakładają na administratora danych obowiązku informowania GIODO o naruszeniach w zakresie ochrony danych osobowych. Wyjątek stanowi przedsiębiorca telekomunikacyjny, którego dotyczą przepisy Ustawy Prawo telekomunikacyjne.

Sytuacja zmieni się jednak wraz z dniem 25 maja 2018 roku, kiedy to rozpocznie się stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku. Warto dodać, że postanowienia tej regulacji będą obowiązywały bezpośrednio w krajowym porządku prawnym, oznacza to, że nie trzeba będzie wprowadzać ich odrębnymi aktami prawnymi. Jedną z najważniejszych zmian jest to, że obowiązek zgłaszania incydentów związanych z naruszeniem ochrony danych osobowych będzie dotyczył każdego administratora danych.

Jakie naruszenia należy zgłosić?

Zgodnie z RODO, jeżeli incydent wiąże się z naruszeniem praw lub wolności osób fizycznych, należy go zgłosić. W preambule RODO wymieniony został szereg przykładów naruszeń. Są to m.in.:

  • utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw;

  • dyskryminacja;

  • kradzież lub sfałszowanie tożsamości;

  • strata finansowa;

  • nieuprawnione odwrócenie pseudonimizacji;

  • naruszenie dobrego imienia;

  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Reasumując, naruszeniem ochrony danych osobowych będzie każdy incydent, w wyniku którego z powodu braku odpowiedniej i szybkiej reakcji na naruszenie ochrony danych osobowych przez ADO dochodzi do uszczerbku fizycznego, szkody majątkowej lub niemajątkowej u osoby fizycznej.

Termin na zgłoszenie naruszenia

Jak określa rozporządzenie, administrator powinien zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu „bez zbędnej zwłoki”. W praktyce oznacza to, że ma na to nie więcej niż 72 godziny od momentu stwierdzenia nieprawidłowości. W przypadku jakiejkolwiek zwłoki, administrator będzie zobowiązany do wyjaśnienia jej przyczyny.

Konsekwencje niezgłoszenia uchybień w zakresie ochrony danych osobowych

W przypadku niezgłoszenia naruszenia ochrony danych osobowych przez administratora, grozi mu kara administracyjna w wysokości do 10.000.000 Euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

O czym należy pamiętać zgłaszając naruszenie?

W celu poprawnego zgłoszenia naruszeń związanych z ochroną danych osobowych, należy zawrzeć w nim co najmniej cztery obowiązkowe elementy:

  • opisać charakter naruszenia, a także w miarę możliwości wskazać: kategorie i przybliżoną liczbę osób, których dotyczy;

  • podać dane osobowe oraz kontaktowe inspektora ochrony danych;

  • opisać, jakie konsekwencje może powodować naruszenie, którego dotyczy zgłoszenie;

  • opisać zastosowane lub proponowane środki mające na celu eliminację przypadków naruszeń ochrony danych osobowych, bądź zminimalizowanie ich negatywnych skutków.

Rozporządzenie nie wskazuje formy, jaką powinno przybrać zgłoszenie, w związku z tym administrator może wybrać tę, która najbardziej mu odpowiada. Warto jednak pamiętać, że w procesie implementacji nowych przepisów, GIODO może doprecyzować sposób realizacji tego obowiązku.

W jaki sposób ADO musi udokumentować naruszenia?

Administrator danych osobowych powinien dokumentować wszelkie zdarzenia związane z naruszeniem ochrony danych osobowych. Rejestr zdarzeń powinien zawierać:

  • informacje, w jakich okolicznościach doszło do naruszenia danych osobowych;

  • skutki naruszenia;

  • podjęte działania zaradcze.

Do wejścia do stosowania nowych przepisów nie pozostało już wiele czasu. Warto poświęcić go na zaplanowanie i wdrożenie systemu, który będzie sprawnie obsługiwał rejestracje nieprawidłowości. Dokumentację należy prowadzić w taki sposób, aby organ nadzorczy mógł bez przeszkód zweryfikować, czy przestrzegany jest zarówno obowiązek rejestrowania, jak i zgłaszania incydentów ochrony danych osobowych.

Czy zgłaszanie naruszeń dotyczy również procesora (procesor-ado)?

Nieprawidłowości w zakresie ochrony danych osobowych, za które odpowiedzialna jest jednostka przetwarzająca dane administratora również podlegają obowiązkowi zgłoszenia. Jednostką przetwarzającą dane, czyli procesorem będą np. firmy świadczące usługi kadrowo-księgowe, hostingowe, IT, czy rozsyłające mailingi. Swoje uchybienia w zakresie ochrony danych procesor powinien zgłosić administratorowi niezwłocznie po ich wykryciu. Następnie, administrator danych osobowych dokonuje ich weryfikacji i na jej podstawie decyduje, czy klasyfikują się one do zgłoszenia do organu nadzorczego.

 

 

 

Jeżeli ar­ty­kuł przydał Ci się, udostępnij go in­nym. Pomóż nam dzielić się wiedzą. Dzięki po­niż­szym przy­ci­skom zaj­mie ci to chwilę.


Podziel się na Facebook Podziel się na Twitter Podziel się na LinkedIn