Co zmienia RODO – Obowiązek zgłaszania naruszeń

Co zmienia RODO – Obowiązek zgłaszania naruszeń

Nowym obowiązkiem dla administratorów danych, jaki wprowadzi Ogólne rozporządzenie o ochronie danych, będzie zgłaszanie naruszeń ochrony danych osobowych do organu nadzorczego. Dowiedz się, kiedy o takim naruszeniu trzeba będzie poinformować organ nadzorczy. Sprawdź, ile będzie czasu na takie zgłoszenie.

Zawiadomienie osoby, której dane osobowe dotyczą

Według przepisów RODO w sytuacji, gdy administrator danych osobowych stwierdzi naruszenie danych osobowych lub wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ma obowiązek bez zbędnej zwłoki zawiadomić osoby, których naruszenia dotyczą. Biorąc pod uwagę tak krótki czas reakcji, firmy i instytucje zdecydowanie powinny przygotować się do tego typu incydentów z wyprzedzeniem.

Kiedy możemy mówić o wysokim ryzyku naruszenia praw i wolności?

To sytuacja, gdy naruszenie prowadzi do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych osób fizycznych. Może to oznaczać np.:

  • utratę kontroli nad własnymi danymi osobowymi,
  • dyskryminację,
  • ograniczenie praw,
  • kradzież lub sfałszowanie tożsamości,
  • oszustwo,
  • stratę finansową,
  • uszczerbek na reputacji,
  • nieuprawnione odwrócenie pseudonimizacji,
  • naruszenie dobrego imienia,
  • naruszenie poufności danych osobowych chronionych tajemnicą zawodową,
  • wszelkie inne znaczne szkody gospodarcze lub społeczne.

Co istotne, to administrator będzie musiał ocenić, czy jest mało prawdopodobne, że dane naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Przez naruszenie ochrony danych osobowych rozumiemy naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Nie chodzi wyłącznie o przypadki włamań do systemów informatycznych, ale tak prozaiczne zdarzenia, jak np. zgubienie laptopa czy wysłanie e-maila do niewłaściwej osoby (o ile oczywiście prowadzą do nieuprawnionego dostępu do danych osobowych).

Treść zawiadomienie

Istnieją oczywiście wymagania co do tego, jak powinno wyglądać zawiadomienie. I tak głównym celem zawiadomienia jest uświadomienie osobom fizycznym, że ochrona ich danych osobowych została naruszona i poinformowanie ich o krokach, które powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami. Administrator powinien wybrać metodę kontaktu, która zmaksymalizuje szanse właściwego zawiadomienia osoby fizycznej. Przede wszystkim powinno ono zostać napisane prostym i jasnym (zrozumiałym, ojczystym) językiem oraz zawierać opis charakteru naruszenia i jego konsekwencje. Ponadto powinno zawierać opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniom ochrony danych, a także informacje o Inspektorze Ochrony Danych w danej firmie czy instytucji.

Wyjątki

Na szczęście istnieją wyjątki od tych przepisów i w pewnych sytuacjach nie ma obowiązku wysyłania zawiadomienia. Przypadki kiedy nie musimy zgłaszać naruszeń osobom, których dane przetwarzamy są następujące:

  • administrator zastosował odpowiednie środki techniczne i organizacyjne dla danych których dotyczy naruszenie, takie jak szyfrowanie, aby uniemożliwić osobom nieuprawnionym odczytanie danych,
  • administrator w dalszej kolejności użył środków, które eliminują prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • administrator musiałby dokonać niewspółmiernie dużego wysiłku by powiadomić osobę której dane dotyczą o naruszeniu, wówczas wydawany jest publiczny komunikat lub inny podobny środek by poinformować osoby w skuteczny sposób.

Natomiast niezależnie od tego, przypadki takich naruszeń trzeba będzie udokumentować i przedstawić w razie kontroli organu nadzoru.

Sankcje

Niezawiadomienie osób, których dane zostały naruszone, zawiadomienie ich zbyt późno lub w niewłaściwy sposób jest zagrożone karą administracyjną w wysokości do 10 mln euro.

Warto  więc opracować i wdrożyć  procedurę postępowania na wypadek wystąpienia incydentu bezpieczeństwa. W procedurze powinny znaleźć się: cel jej wdrożenia, zakres stosowania, opis etapów zarządzania incydentem od jego wykrycia do zamknięcia oraz przypisana pracownikom odpowiedzialność i role związane z reagowaniem na incydenty.

Procedura może także stanowić element polityki bezpieczeństwa. Dobrze jest zawrzeć w procedurze katalog najczęstszych zagrożeń i incydentów, które mogą prowadzić do naruszenia bezpieczeństwa danych osobowych oraz określić modelowy sposób zachowania pracowników i obowiązek informowania o domniemanych incydentach lub podejrzanych wydarzeniach wyznaczonych osób.

Zawiadomienie organu nadzorczego

Oprócz zawiadomienia osoby, której dane osobowe zostały naruszone, konieczne jest również zgłoszenie do organu nadzorczego – bez zbędnej zwłoki lub w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli ten termin zostanie przekroczony należy dodatkowo dołączyć wyjaśnienie tego opóźnienia.

Administrator może być zwolniony z tego obowiązku, gdy istnieje małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzkiem naruszenia praw lub wolności osób fizycznych.

Zgłoszenie musi zawierać następujące informacje:

  • charakter naruszenia,
  • dane Inspektora Ochrony Danych,
  • konsekwencje naruszenia,
  • środki podjęte w celu zaradzenia naruszeniu ochrony danych.

 

Dowiedź się jak wyglądają inne obowiązki, które w maju tego roku wprowadzi RODO:

– Prawo do bycia zapomnianym

Prawo do przenoszalności danych

Zgoda dziecka na przetwarzanie danych

– Obowiązek aktualizowania uzyskanej już raz zgody na przetwarzanie danych

– Anonimizacja a pseudonimizacja

Opublikuj komentarz