Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu

Aktualnie obowiązujące przepisy nie nakładają na administratora danych obowiązku informowania GIODO o naruszeniach w zakresie ochrony danych osobowych. Wyjątek stanowi przedsiębiorca telekomunikacyjny, którego dotyczą przepisy Ustawy Prawo telekomunikacyjne.

Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu

Rafał Stępniewski

23 października 2017

Sytuacja zmieni się jednak wraz z dniem 25 maja 2018 roku, kiedy to rozpocznie się stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku. Warto dodać, że postanowienia tej regulacji będą obowiązywały bezpośrednio w krajowym porządku prawnym, oznacza to, że nie trzeba będzie wprowadzać ich odrębnymi aktami prawnymi. Jedną z najważniejszych zmian jest to, że obowiązek zgłaszania incydentów związanych z naruszeniem ochrony danych osobowych będzie dotyczył każdego administratora danych.

Jakie naruszenia należy zgłosić?

Zgodnie z RODO, jeżeli incydent wiąże się z naruszeniem praw lub wolności osób fizycznych, należy go zgłosić. W preambule RODO wymieniony został szereg przykładów naruszeń. Są to m.in.:

  • utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw;

  • dyskryminacja;

  • kradzież lub sfałszowanie tożsamości;

  • strata finansowa;

  • nieuprawnione odwrócenie pseudonimizacji;

  • naruszenie dobrego imienia;

  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Reasumując, naruszeniem ochrony danych osobowych będzie każdy incydent, w wyniku którego z powodu braku odpowiedniej i szybkiej reakcji na naruszenie ochrony danych osobowych przez ADO dochodzi do uszczerbku fizycznego, szkody majątkowej lub niemajątkowej u osoby fizycznej.

Termin na zgłoszenie naruszenia

Jak określa rozporządzenie, administrator powinien zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu „bez zbędnej zwłoki”. W praktyce oznacza to, że ma na to nie więcej niż 72 godziny od momentu stwierdzenia nieprawidłowości. W przypadku jakiejkolwiek zwłoki, administrator będzie zobowiązany do wyjaśnienia jej przyczyny.

Konsekwencje niezgłoszenia uchybień w zakresie ochrony danych osobowych

W przypadku niezgłoszenia naruszenia ochrony danych osobowych przez administratora, grozi mu kara administracyjna w wysokości do 10.000.000 Euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

O czym należy pamiętać zgłaszając naruszenie?

W celu poprawnego zgłoszenia naruszeń związanych z ochroną danych osobowych, należy zawrzeć w nim co najmniej cztery obowiązkowe elementy:

  • opisać charakter naruszenia, a także w miarę możliwości wskazać: kategorie i przybliżoną liczbę osób, których dotyczy;

  • podać dane osobowe oraz kontaktowe inspektora ochrony danych;

  • opisać, jakie konsekwencje może powodować naruszenie, którego dotyczy zgłoszenie;

  • opisać zastosowane lub proponowane środki mające na celu eliminację przypadków naruszeń ochrony danych osobowych, bądź zminimalizowanie ich negatywnych skutków.

Rozporządzenie nie wskazuje formy, jaką powinno przybrać zgłoszenie, w związku z tym administrator może wybrać tę, która najbardziej mu odpowiada. Warto jednak pamiętać, że w procesie implementacji nowych przepisów, GIODO może doprecyzować sposób realizacji tego obowiązku.

W jaki sposób ADO musi udokumentować naruszenia?

Administrator danych osobowych powinien dokumentować wszelkie zdarzenia związane z naruszeniem ochrony danych osobowych. Rejestr zdarzeń powinien zawierać:

  • informacje, w jakich okolicznościach doszło do naruszenia danych osobowych;

  • skutki naruszenia;

  • podjęte działania zaradcze.

Do wejścia do stosowania nowych przepisów nie pozostało już wiele czasu. Warto poświęcić go na zaplanowanie i wdrożenie systemu, który będzie sprawnie obsługiwał rejestracje nieprawidłowości. Dokumentację należy prowadzić w taki sposób, aby organ nadzorczy mógł bez przeszkód zweryfikować, czy przestrzegany jest zarówno obowiązek rejestrowania, jak i zgłaszania incydentów ochrony danych osobowych.

Czy zgłaszanie naruszeń dotyczy również procesora (procesor-ado)?

Nieprawidłowości w zakresie ochrony danych osobowych, za które odpowiedzialna jest jednostka przetwarzająca dane administratora również podlegają obowiązkowi zgłoszenia. Jednostką przetwarzającą dane, czyli procesorem będą np. firmy świadczące usługi kadrowo-księgowe, hostingowe, IT, czy rozsyłające mailingi. Swoje uchybienia w zakresie ochrony danych procesor powinien zgłosić administratorowi niezwłocznie po ich wykryciu. Następnie, administrator danych osobowych dokonuje ich weryfikacji i na jej podstawie decyduje, czy klasyfikują się one do zgłoszenia do organu nadzorczego.

 

 

 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!