Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu

Aktualnie obowiązujące przepisy nie nakładają na administratora danych obowiązku informowania GIODO o naruszeniach w zakresie ochrony danych osobowych. Wyjątek stanowi przedsiębiorca telekomunikacyjny, którego dotyczą przepisy Ustawy Prawo telekomunikacyjne.

  • Rafał Stępniewski
  • /
  • 23 października 2017

Sytuacja zmieni się jednak wraz z dniem 25 maja 2018 roku, kiedy to rozpocznie się stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku. Warto dodać, że postanowienia tej regulacji będą obowiązywały bezpośrednio w krajowym porządku prawnym, oznacza to, że nie trzeba będzie wprowadzać ich odrębnymi aktami prawnymi. Jedną z najważniejszych zmian jest to, że obowiązek zgłaszania incydentów związanych z naruszeniem ochrony danych osobowych będzie dotyczył każdego administratora danych.

Jakie naruszenia należy zgłosić?

Zgodnie z RODO, jeżeli incydent wiąże się z naruszeniem praw lub wolności osób fizycznych, należy go zgłosić. W preambule RODO wymieniony został szereg przykładów naruszeń. Są to m.in.:

  • utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw;

  • dyskryminacja;

  • kradzież lub sfałszowanie tożsamości;

  • strata finansowa;

  • nieuprawnione odwrócenie pseudonimizacji;

  • naruszenie dobrego imienia;

  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Reasumując, naruszeniem ochrony danych osobowych będzie każdy incydent, w wyniku którego z powodu braku odpowiedniej i szybkiej reakcji na naruszenie ochrony danych osobowych przez ADO dochodzi do uszczerbku fizycznego, szkody majątkowej lub niemajątkowej u osoby fizycznej.

Termin na zgłoszenie naruszenia

Jak określa rozporządzenie, administrator powinien zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu „bez zbędnej zwłoki”. W praktyce oznacza to, że ma na to nie więcej niż 72 godziny od momentu stwierdzenia nieprawidłowości. W przypadku jakiejkolwiek zwłoki, administrator będzie zobowiązany do wyjaśnienia jej przyczyny.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Konsekwencje niezgłoszenia uchybień w zakresie ochrony danych osobowych

W przypadku niezgłoszenia naruszenia ochrony danych osobowych przez administratora, grozi mu kara administracyjna w wysokości do 10.000.000 Euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

O czym należy pamiętać zgłaszając naruszenie?

W celu poprawnego zgłoszenia naruszeń związanych z ochroną danych osobowych, należy zawrzeć w nim co najmniej cztery obowiązkowe elementy:

  • opisać charakter naruszenia, a także w miarę możliwości wskazać: kategorie i przybliżoną liczbę osób, których dotyczy;

  • podać dane osobowe oraz kontaktowe inspektora ochrony danych;

  • opisać, jakie konsekwencje może powodować naruszenie, którego dotyczy zgłoszenie;

  • opisać zastosowane lub proponowane środki mające na celu eliminację przypadków naruszeń ochrony danych osobowych, bądź zminimalizowanie ich negatywnych skutków.

Rozporządzenie nie wskazuje formy, jaką powinno przybrać zgłoszenie, w związku z tym administrator może wybrać tę, która najbardziej mu odpowiada. Warto jednak pamiętać, że w procesie implementacji nowych przepisów, GIODO może doprecyzować sposób realizacji tego obowiązku.

W jaki sposób ADO musi udokumentować naruszenia?

Administrator danych osobowych powinien dokumentować wszelkie zdarzenia związane z naruszeniem ochrony danych osobowych. Rejestr zdarzeń powinien zawierać:

  • informacje, w jakich okolicznościach doszło do naruszenia danych osobowych;

  • skutki naruszenia;

  • podjęte działania zaradcze.

Do wejścia do stosowania nowych przepisów nie pozostało już wiele czasu. Warto poświęcić go na zaplanowanie i wdrożenie systemu, który będzie sprawnie obsługiwał rejestracje nieprawidłowości. Dokumentację należy prowadzić w taki sposób, aby organ nadzorczy mógł bez przeszkód zweryfikować, czy przestrzegany jest zarówno obowiązek rejestrowania, jak i zgłaszania incydentów ochrony danych osobowych.

Czy zgłaszanie naruszeń dotyczy również procesora (procesor-ado)?

Nieprawidłowości w zakresie ochrony danych osobowych, za które odpowiedzialna jest jednostka przetwarzająca dane administratora również podlegają obowiązkowi zgłoszenia. Jednostką przetwarzającą dane, czyli procesorem będą np. firmy świadczące usługi kadrowo-księgowe, hostingowe, IT, czy rozsyłające mailingi. Swoje uchybienia w zakresie ochrony danych procesor powinien zgłosić administratorowi niezwłocznie po ich wykryciu. Następnie, administrator danych osobowych dokonuje ich weryfikacji i na jej podstawie decyduje, czy klasyfikują się one do zgłoszenia do organu nadzorczego.

 

 

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: RODO w firmie naruszenia RODO planowanie hosting
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!