Wszystko co musisz wiedzieć o naruszeniach ochrony danych osobowych wg RODO (infografika)

LOG Systems - LOG Plus

72 godziny – maksymalnie tyle, zgodnie z RODO, ma Administrator Danych Osobowych, by zgłosić do UODO naruszenie bezpieczeństwa danych osobowych, czyli przypadkowego lub niezgodnego z prawem zakłócenia ochrony danych osobowych.  Co będzie naruszeniem, które należy zgłosić PUODO, a które nie będzie tego wymagać? Jak unikać naruszeń, by nie myśleć o karach? A finalnie, jak – jeśli się pojawią – zgłosić je do Urzędu Ochrony Danych Osobowych?

Co to jest naruszenie ochrony danych osobowych?

Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Kiedy mówimy o naruszeniu?

Według RODO, naruszenie:

  1. Dotyczy danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot,
  2. Skutkować będzie zniszczeniem, utratą, modyfikacją, ujawnieniem (nieuprawnionym) lub nieuprawnionym dostępem do danych,
  3. Wynika ze złamania zasad bezpieczeństwa danych.

3 typy naruszenia ochrony danych osobowych

Rozporządzenie dzieli naruszenia na trzy typy, w zależności od wykonanej akcji. Wyróżnić możemy naruszenie:

  1. Poufności – ujawnienie danych osobowych nieuprawnionej osobie.
  2. Dostępności – trwała utrata lub zniszczenie danych osobowych.
  3. Integralności – nieautoryzowana zmiana treści danych osobowych.

Przykładowe naruszenia ochrony danych osobowych

Definicje definicjami, jednak próbując zrozumieć temat naruszeń ochrony danych osobowych, najlepiej posłużyć się przykładami.

Do naruszenia ochrony danych osobowych dojdzie w następujących (i nie tylko) sytuacjach:

  1. Przypadkowy transfer danych osobowych do niewłaściwego działu w obrębie firmy;
  2. Utrata nośnika, np. pendrive, karty pamięci, dysku przenośnego, na którym składowane byłyby dane osobowe;
  3. Przypadkowe usunięcie (bezpowrotne) danych osobowych ze zbioru;
  4. Celowe lub przypadkowe dopisanie znaków przy danych osobowych (imieniu, nazwisku), zmieniające ich brzmienie;
  5. Przy odsprzedaży komputera, niewystarczające „wyczyszczenie” dysku z zawartości, w tym danych osobowych;
  6. Utrata dostępu do danych osobowych spowodowana brakiem prądu.
LOG Systems - LOG Plus

Do czego może doprowadzić naruszenie ochrony danych osobowych?

W wyniku sytuacji takich jak wymienione powyżej, może dojść do wielu bolesnych skutków wobec podmiotów, których dotyczy naruszenie – szkód majątkowych i niemajątkowych, a nawet uszczerbku fizycznego. Przykładowe skutki naruszenia to:

  • dyskryminacja,
  • strata finansowa,
  • naruszenie reputacji,
  • oszustwo,
  • kradzież tożsamości.

Co należy zrobić z naruszeniem?

W sytuacji, gdy Administrator Danych Osobowych stwierdzi naruszenie danych osobowych lub wykryje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, musi powiadomić o tym osoby, których naruszenia dotyczą. RODO wymaga, by zrobił to bez zbędnej zwłoki, dlatego też organizacje powinny mieć opracowany schemat powiadomień w przypadku naruszeń.

Powiadomienie osób, których naruszenie dotyczy to dopiero połowa „sukcesu”. Poza tym, o naruszeniu należy powiadomić organ nadzorczy, również bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin. Jeśli powyższy czas zostanie przekroczony, poza zgłoszeniem naruszenia, należy wytłumaczyć dlaczego doszło do opóźnienia.

Zawiadomienie osoby, której dotyczy naruszenie

Jak wspomnieliśmy wyżej, Administrator Danych Osobowych, w momencie gdy stwierdzi naruszenie danych osobowych lub wykryje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki, musi o tym powiadomić osoby, których dotyczy naruszenie.

Jak powinno wyglądać takie zawiadomienie? Spróbujmy je skonkretyzować:

  • zawiadomienie powinno uświadomić osobom fizycznym, że ochrona ich danych osobowych została naruszona,
  • w trakcie informowania o naruszeniu, należy poinstruować, jakie kroki powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami naruszenia,
  • tworząc treść zawiadomienia, należy używać języka prostego i jasnego, zrozumiałego dla odbiorcy,
  • w treści zawiadomienia należy opisać charakter naruszenia i wskazać jego konsekwencje, a także opisać zastosowane lub proponowane środki zaradcze,
  • zawiadomienie powinno zawierać informacje o Inspektorze Ochrony Danych w organizacji (imię i nazwisko, dane kontaktowe) lub innego punktu kontaktowego, który udzieli więcej informacji o naruszeniu.
LOG Systems - LOG Plus

Czy zawsze należy powiadamiać osoby o wykrytym naruszeniu?

Istnieją trzy sytuacje, w przypadku których nie ma obowiązku informowania osób o wykrytym naruszeniu dotyczącym ich danych osobowych. Będą to:

  1. Administrator wdrożył  i zastosował właściwe (techniczne i organizacyjne) środki ochrony.
  2. Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia lub wolności osoby.
  3. Poinformowanie o naruszeniu wymagałoby niewspółmiernie dużego wysiłku. W takiej sytuacji wystarczy publiczny komunikat – należy jednak pamiętać, by był wystosowany „w równie skuteczny sposób”.

Czym skutkuje niewywiązanie się z obowiązku informacyjnego?

Wspomnieliśmy wcześniej, że warto mieć opracowany gotowy schemat informacyjny. Co, jeśli takiego nie wdrożymy? Niestety, musimy liczyć się z możliwością nałożenia na naszą organizację kary.

Niepoinformowanie osób o naruszeniu danych osobowych, które ich dotyczą, poinformowanie ich zbyt późno lub w niewłaściwy sposób, może wiązać się z obowiązkiem zapłaty kary wynoszącej maksymalnie 10 mln euro lub 2% rocznego światowego obrotu (poprzedni rok).

LOG Systems - LOG Plus

Zgłoszenie o naruszeniu Prezesa UODO – co powinno zawierać?

Według art. 33 ust. 3 RODO, w zgłoszeniu naruszenia Administrator powinien zawrzeć takie informacje jak:

  • Opis charakteru naruszenia ochrony danych osobowych (kategorię + przybliżoną liczbę osób, których dane dotyczą; kategorię + przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie),
  • Imię i nazwisko oraz dane kontaktowe IOD-a lub innego punktu kontaktowego,
  • Opis ewentualnych konsekwencji naruszenia,
  • Środki (proponowane lub zastosowane), dzięki którym zaradzi naruszeniu lub zminimalizuje jego ewentualne skutki.

Zgłoszenie o naruszeniu Prezesa UODO – jak to zrobić?

Zgodnie z wcześniejszą informacją, administrator musi powiadomić UODO o naruszeniu najszybciej jest to możliwe – bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia.

W tym celu musi wypełnić formularz i załączyć go do pisma ogólnego, które znaleźć można na platformie biznes.gov.pl.

Czy zawsze należy powiadamiać Prezesa UODO o naruszeniu?

By poznać odpowiedź na to pytanie, niezbędne będzie wykonanie analizy pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Badanie to pozwoli administratorowi zorientować się, czy takie ryzyko występuje – to od tego zależeć będzie, czy wykryte naruszenie będzie musiał zgłosić do UODO.

Jeśli wynik analizy ryzyka pokaże, że nie istnieje prawdopodobieństwo wykrycia naruszenia praw i wolności osób fizycznych, administrator nie będzie musiał powiadomić o naruszeniu Prezesa UODO.

LOG Systems - LOG Plus

Czy naruszenia trzeba ewidencjonować?

Tak, każde naruszenie – zgodnie z art. 33 ust. 5 RODO – należy ewidencjonować. Administrator, prowadząc wewnętrzną ewidencję naruszeń, musi rejestrować naruszenia ochrony danych osobowych, które zgłosił do UODO, ale również te, które nie podlegały zgłoszeniu, czyli nie zachodziło w ich przypadku ryzyko wykrycia naruszenia praw i wolności osób fizycznych.

Jak unikać naruszenia?

Niestety, RODO nie mówi wprost, jak unikać naruszenia ochrony danych osobowych w organizacji. Dlaczego? To bardzo proste. Każda firma to inne dane, różne sytuacje, mechanizmy. Dlatego to po stronie administratorów leży konieczność zastosowania WŁAŚCIWYCH środków technicznych i organizacyjnych, odpowiednich do rodzaju przetwarzanych danych, branży etc.

Poza koniecznością wymaganą przez wytyczne RODO, pomocnym z minimalizacji ryzyka wystąpienia naruszeń będzie system informatyczny, które pomoże administratorowi sprawować władzę nad wszystkimi procesami zachodzącymi w organizacji. Poznaj rozwiązanie RODO-Ready, którego głównym zadaniem jest wsparcie w przygotowaniu organizacji, by spełniała wytyczne Rozporządzenia. To nie tylko rozwiązanie informatyczne, ale również zestaw dokumentów, których wymaga RODO.

LOG Systems - LOG Plus

Zapisz sie do Newlsttera, aby otrzymać informacje o artykułach i webinarach w tematyce ochrony danych oosobowych i #RODO 👇

Powiązane artykuły

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie, dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie. View more
Cookies settings
Akceptuję
Polityka Prywatności i Plików Cookies
Privacy & Cookies policy
Cookie name Active

§1 Postanowienia ogólne

  1. Polityka prywatności i wykorzystywania plików cookies w serwisie internetowym https://logsystem.pl (dalej: „Polityka”) została stworzona i przyjęta przez LOG Systems Sp. z o.o., ul. Ślężna 104/16, 53-11 Wrocław, REGON 301305927, KRS 0000345703.
  2. Terminy użyte w Polityce oznaczają:
    1. Serwis – serwis internetowy https://logsystem.pl;
    2. Użytkownik – podmiot korzystający z publicznie dostępnego Serwisu;
    3. Właściciel – LOG Systems Sp. z o.o., ul. Powstańców Śląskich 9, 53-332 Wrocław, REGON 301305927, KRS 0000345703;
    4. Cookies – pliki tekstowe, wysyłane przez Serwis i zapisywane na urządzeniu końcowym Użytkownika, z którego Użytkownik korzysta podczas przeglądania stron internetowych. Pliki zawierają informacje niezbędne do prawidłowego funkcjonowania Serwisu. Cookies najczęściej zawierają nazwę domeny serwisu internetowego, z którego pochodzą, czas ich przechowywania na urządzeniu końcowym oraz numer;
    5. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016) wraz z polskimi przepisami o ochronie danych osobowych.
  3. Celem Polityki jest w szczególności:
    1. udzielenie Użytkownikom informacji dotyczących wykorzystywania Cookies w Serwisie, wymaganych przez przepisy prawa, w tym Prawa telekomunikacyjnego;
    2. zapewnienie Użytkownikom ochrony prywatności w zakresie odpowiadającym standardom i wymogom określonym w obowiązujących przepisach prawnych.
  4. Właściciel ogranicza zbieranie i wykorzystywanie informacji dotyczących Użytkowników do niezbędnego minimum, wymaganego do świadczenia na ich rzecz usług.
  5. W celu uzyskania pełnego dostępu poprzez Serwis do treści i usług oferowanych przez Właściciela, wskazane jest zaakceptowanie zasad wynikających z Polityki.
  6. Zastosowanie mają m.in. następujące przepisy prawa:
    1. ustawa z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz. U. 2017.1907 t.j. ze zm.);
    2. ustawa z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz. U. 2017.1219 t.j. ze zm.);
    3. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016) wraz z polskimi przepisami o ochronie danych osobowych.

§2 Ochrona prywatności i danych osobowych

  1. Dane dotyczące Użytkowników przetwarzane są przez Właściciela zgodnie z przepisami prawa. Uzyskane przez Właściciela dane osobowe Użytkowników przetwarzane są na podstawie udzielonej przez Użytkownika zgody lub wystąpienia innej przesłanki uprawniającej do przetwarzania danych według przepisów, w szczególności Rozporządzenia.
  2. Właściciel dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:
    1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla Klientów i innych osób, których dane dotyczą;
    2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
    3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
    4. prawidłowe i w razie potrzeby uaktualniane;
    5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
    6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,
  3. Właściciel stosuje odpowiednie środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych odpowiednią do charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych.
  4. Właściciel dąży do systematycznego unowocześniania stosowanych informatycznych, technicznych i organizacyjnych środków ochrony tych danych, w szczególności Właściciel zapewnia aktualizacje informatycznych środków ochrony pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz innymi zagrożeniami, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych.
  5. Każdemu Użytkownikowi, który w jakikolwiek sposób udostępnił Właścicielowi swoje dane Właściciel zapewnia dostęp do danych i korzystanie z innych praw osobom, których dane dotyczą, zgodnie z obowiązującymi w tym zakresie przepisami prawa, w tym osobom tym przysługuje:
    1. prawo wycofania zgody w sprawie przetwarzania danych osobowych;
    2. prawo do informacji dotyczących ich danych osobowych;
    3. prawo do kontroli przetwarzania danych, w tym ich uzupełniania, uaktualniania, prostowania, usuwania;
    4. prawo do sprzeciwu wobec przetwarzania lub do ograniczenia przetwarzania;
    5. prawo do skargi do organu nadzoru i korzystania z innych środków prawnych celem ochrony swoich praw.
  6. Właściciel może przetwarzać dane osobowe w sposób zautomatyzowany, w tym poprzez profilowanie, na zasadach wynikających z Rozporządzenia. W takim przypadku celem działań Właściciela są cele marketingowe lub potrzeby personalizacji komunikatów wysyłanych do Użytkowników (w tym dopasowanie informacji do potrzeb lub oczekiwań Użytkownika). Użytkownik ma prawo sprzeciwu wobec takiego przetwarzania jego danych – sprzeciw ten może być wyrażony poprzez wysłanie wiadomości na adres Właściciela: iod@logsystem.pl.
  7. Osoba mająca dostęp do danych osobowych przetwarza je wyłącznie na podstawie upoważnienia Właściciela lub umowy powierzenia przetwarzania danych osobowych i wyłącznie na polecenie Właściciela.

§3 Przetwarzanie danych osobowych

  1. Administratorem Państwa danych osobowych jest firma LOG Systems, z siedzibą we Wrocławiu, ul. Powstańców Śląskich 9, 53-332 Wrocław, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000345703, REGON: 301305927, NIP: 779-236-84-22,
  2. Państwa dane osobowe przetwarzane będą zgodnie z obowiązującym prawem w celach uzasadnionych związanych z prowadzoną działalnością, w tym do składania ofert, realizacji zamówień, wystawiania rachunków i faktur, zawierania i realizacji umów, prowadzenia rekrutacji pracowników oraz innych wynikających z przepisów obowiązującego prawa.
  3. Przysługuje Państwu prawo dostępu do treści danych oraz ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo sprzeciwu, zażądania zaprzestania przetwarzania i przenoszenia danych, jak również prawo do cofnięcia zgody w dowolnym momencie oraz prawo do wniesienia skargi do organu nadzorczego. W sprawie ochrony Państwa danych osobowych prosimy o kontakt pod adresem e-mail: iod@logsystem.pl
  4. Podanie danych osobowych jest dobrowolne, lecz niezbędne do realizacji celów określonych w §3 pkt. 2. W przypadku niepodania danych nie będzie możliwa ich realizacja.
  5. Dane udostępnione przez Państwa będą podlegały udostępnieniu podmiotom trzecim w zakresie niezbędnym do prawidłowego i zgodnego z prawem prowadzenia współpracy handlowej. Odbiorcami danych będą współpracujące z LOG Systems sp. z o.o.  banki, firmy ubezpieczeniowe, firmy kurierskie, firmy prowadzące usługi IT na rzecz firmy LOG Systems sp. z o.o. a także instytucje upoważnione z mocy prawa.Na podstawie udzielonej przez Państwa zgody dane mogą być przekazywane naszym Partnerom Handlowym, czyli podmiotom współpracującym z LOG Systems sp. z o.o.
  6. Dane udostępnione przez Państwa nie będą podlegały profilowaniu.
  7. Administrator danych nie ma zamiaru przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
  8. Dane osobowe będą przechowywane przez okres niezbędny do realizacji celów wynikających w §3 pkt. 2. oraz z obowiązujących przepisów prawa. Po tym okresie dane zostaną usunięte ze zbioru.

§4 Cookies

  1. Cookies identyfikuje Użytkownika, co pozwala na dopasowanie treści witryny, z której korzysta, do jego potrzeb. Zapamiętując jego preferencje, umożliwia odpowiednie dopasowanie skierowanych do niego treści, w tym reklam. Właściciel stosuje Cookies, aby zagwarantować odpowiedni standard wygody Serwisu, a zebrane dane są wykorzystywane jedynie wewnątrz firmy w celu optymalizacji działań.
  2. Cookies wykorzystywane są w celu:
    1. dostosowania zawartości Serwisu do preferencji Użytkownika;
    2. optymalizacji korzystania z Serwisu, w szczególności poprzez rozpoznawanie urządzenia końcowego Użytkownika,
    3. tworzenia statystyk,
    4. utrzymania sesji Użytkownika,
    5. dostarczania Użytkownikowi treści reklamowych.
  3. Cookies mogą być zamieszczane w urządzeniu końcowym Użytkownika Serwisu.
  4. Zebrane dane służą do monitorowania i sprawdzenia, w jaki sposób Użytkownicy korzystają z Serwisu, aby usprawniać funkcjonowanie Serwisu zapewniając bardziej efektywną i bezproblemową nawigację.
  5. Należy pamiętać, że w niektórych przypadkach, niezależnych od Właściciela, oprogramowanie zainstalowane przez Użytkownika na urządzeniu końcowym, służące do przeglądania stron internetowych (np. przeglądarka internetowa) wprowadza domyślne przechowywanie Cookies w urządzeniu końcowym Użytkownika. Użytkownicy mogą dokonać w każdym czasie zmiany ustawień dotyczących Cookies. Ustawienia te mogą zostać zmienione między innymi w taki sposób, aby blokować automatyczną ustawienia Cookies bądź informować o ich każdorazowym zamieszczeniu w urządzeniu końcowym Użytkownika. Informacje szczegółowe w tym zakresie dostępne są w ustawieniach i instrukcjach dotyczących oprogramowania (przeglądarki internetowej).
  6. Użytkownik w każdej chwili ma możliwość wyłączenia lub przywrócenia opcji gromadzenia cookies poprzez zmianę ustawień w przeglądarce internetowej.
  7. Zmiana ustawień stanowi wyrażenie sprzeciwu, który w przyszłości może spowodować utrudnienia w korzystaniu z Serwisu. Całkowite wyłączenie opcji przyjmowania Cookies nie będzie oznaczać braku możliwości przeglądania treści zamieszczanych w Serwisie z zastrzeżeniem tych, do których dostęp wymaga logowania.
  8. Niedokonanie zmiany ustawień oznacza, że dane będą zamieszczone w urządzeniu końcowym Użytkownika (korzystanie z Serwisu będzie powodować automatyczne zamieszczanie Cookies w urządzeniu końcowym Użytkownika).
  9. Przechowywane dane zamieszczone w urządzeniu końcowym Użytkownika nie powodują zmian konfiguracyjnych w urządzeniu końcowym Użytkownika lub oprogramowaniu zainstalowanym w tym urządzeniu.
  10. Informacje dotyczące Cookies mają zastosowanie również do innych podobnych technologii stosowanych w ramach Serwisu.

§5 Postanowienia końcowe

  1. Polityka została przyjęta na mocy zarządzenia Właściciela i wchodzi w życie z dniem 10.06.2019r. Zmiana treści Polityki może nastąpić w takim samym trybie.
  2. Wszelkie odstępstwa od Polityki wymagają formy pisemnej pod rygorem nieważności.
  3. Prawem właściwym dla Polityki jest prawo Rzeczypospolitej Polskiej.
  4. W sprawach nie uregulowanych w Polityce stosuje się odpowiednie przepisy prawa.
Save settings
Cookies settings