Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu
Aktualnie obowiązujące przepisy nie nakładają na administratora danych obowiązku informowania GIODO o naruszeniach w zakresie ochrony danych osobowych. Wyjątek stanowi przedsiębiorca telekomunikacyjny, którego dotyczą przepisy Ustawy Prawo telekomunikacyjne.
- Rafał Stępniewski
- /
- 23 października 2017
Sytuacja zmieni się jednak wraz z dniem 25 maja 2018 roku, kiedy to rozpocznie się stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku. Warto dodać, że postanowienia tej regulacji będą obowiązywały bezpośrednio w krajowym porządku prawnym, oznacza to, że nie trzeba będzie wprowadzać ich odrębnymi aktami prawnymi. Jedną z najważniejszych zmian jest to, że obowiązek zgłaszania incydentów związanych z naruszeniem ochrony danych osobowych będzie dotyczył każdego administratora danych.
Jakie naruszenia należy zgłosić?
Zgodnie z RODO, jeżeli incydent wiąże się z naruszeniem praw lub wolności osób fizycznych, należy go zgłosić. W preambule RODO wymieniony został szereg przykładów naruszeń. Są to m.in.:
-
utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw;
-
dyskryminacja;
-
kradzież lub sfałszowanie tożsamości;
-
strata finansowa;
-
nieuprawnione odwrócenie pseudonimizacji;
-
naruszenie dobrego imienia;
-
naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.
Reasumując, naruszeniem ochrony danych osobowych będzie każdy incydent, w wyniku którego z powodu braku odpowiedniej i szybkiej reakcji na naruszenie ochrony danych osobowych przez ADO dochodzi do uszczerbku fizycznego, szkody majątkowej lub niemajątkowej u osoby fizycznej.
Termin na zgłoszenie naruszenia
Jak określa rozporządzenie, administrator powinien zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu „bez zbędnej zwłoki”. W praktyce oznacza to, że ma na to nie więcej niż 72 godziny od momentu stwierdzenia nieprawidłowości. W przypadku jakiejkolwiek zwłoki, administrator będzie zobowiązany do wyjaśnienia jej przyczyny.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Konsekwencje niezgłoszenia uchybień w zakresie ochrony danych osobowych
W przypadku niezgłoszenia naruszenia ochrony danych osobowych przez administratora, grozi mu kara administracyjna w wysokości do 10.000.000 Euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
O czym należy pamiętać zgłaszając naruszenie?
W celu poprawnego zgłoszenia naruszeń związanych z ochroną danych osobowych, należy zawrzeć w nim co najmniej cztery obowiązkowe elementy:
-
opisać charakter naruszenia, a także w miarę możliwości wskazać: kategorie i przybliżoną liczbę osób, których dotyczy;
-
podać dane osobowe oraz kontaktowe inspektora ochrony danych;
-
opisać, jakie konsekwencje może powodować naruszenie, którego dotyczy zgłoszenie;
-
opisać zastosowane lub proponowane środki mające na celu eliminację przypadków naruszeń ochrony danych osobowych, bądź zminimalizowanie ich negatywnych skutków.
Rozporządzenie nie wskazuje formy, jaką powinno przybrać zgłoszenie, w związku z tym administrator może wybrać tę, która najbardziej mu odpowiada. Warto jednak pamiętać, że w procesie implementacji nowych przepisów, GIODO może doprecyzować sposób realizacji tego obowiązku.
W jaki sposób ADO musi udokumentować naruszenia?
Administrator danych osobowych powinien dokumentować wszelkie zdarzenia związane z naruszeniem ochrony danych osobowych. Rejestr zdarzeń powinien zawierać:
-
informacje, w jakich okolicznościach doszło do naruszenia danych osobowych;
-
skutki naruszenia;
-
podjęte działania zaradcze.
Do wejścia do stosowania nowych przepisów nie pozostało już wiele czasu. Warto poświęcić go na zaplanowanie i wdrożenie systemu, który będzie sprawnie obsługiwał rejestracje nieprawidłowości. Dokumentację należy prowadzić w taki sposób, aby organ nadzorczy mógł bez przeszkód zweryfikować, czy przestrzegany jest zarówno obowiązek rejestrowania, jak i zgłaszania incydentów ochrony danych osobowych.
Czy zgłaszanie naruszeń dotyczy również procesora (procesor-ado)?
Nieprawidłowości w zakresie ochrony danych osobowych, za które odpowiedzialna jest jednostka przetwarzająca dane administratora również podlegają obowiązkowi zgłoszenia. Jednostką przetwarzającą dane, czyli procesorem będą np. firmy świadczące usługi kadrowo-księgowe, hostingowe, IT, czy rozsyłające mailingi. Swoje uchybienia w zakresie ochrony danych procesor powinien zgłosić administratorowi niezwłocznie po ich wykryciu. Następnie, administrator danych osobowych dokonuje ich weryfikacji i na jej podstawie decyduje, czy klasyfikują się one do zgłoszenia do organu nadzorczego.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?