Wszystko co musisz wiedzieć o naruszeniach ochrony danych osobowych wg RODO (infografika)

72 godziny – maksymalnie tyle, zgodnie z RODO, ma Administrator Danych Osobowych, by zgłosić do UODO naruszenie bezpieczeństwa danych osobowych, czyli przypadkowego lub niezgodnego z prawem zakłócenia ochrony danych osobowych.  Co będzie naruszeniem, które należy zgłosić PUODO, a które nie będzie tego wymagać? Jak unikać naruszeń, by nie myśleć o karach? A finalnie, jak – jeśli się pojawią – zgłosić je do Urzędu Ochrony Danych Osobowych?

Co to jest naruszenie ochrony danych osobowych?

Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Kiedy mówimy o naruszeniu?

Według RODO, naruszenie:

  1. Dotyczy danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot,
  2. Skutkować będzie zniszczeniem, utratą, modyfikacją, ujawnieniem (nieuprawnionym) lub nieuprawnionym dostępem do danych,
  3. Wynika ze złamania zasad bezpieczeństwa danych.

3 typy naruszenia ochrony danych osobowych

Rozporządzenie dzieli naruszenia na trzy typy, w zależności od wykonanej akcji. Wyróżnić możemy naruszenie:

  1. Poufności – ujawnienie danych osobowych nieuprawnionej osobie.
  2. Dostępności – trwała utrata lub zniszczenie danych osobowych.
  3. Integralności – nieautoryzowana zmiana treści danych osobowych.

Przykładowe naruszenia ochrony danych osobowych

Definicje definicjami, jednak próbując zrozumieć temat naruszeń ochrony danych osobowych, najlepiej posłużyć się przykładami.

Do naruszenia ochrony danych osobowych dojdzie w następujących (i nie tylko) sytuacjach:

  1. Przypadkowy transfer danych osobowych do niewłaściwego działu w obrębie firmy;
  2. Utrata nośnika, np. pendrive, karty pamięci, dysku przenośnego, na którym składowane byłyby dane osobowe;
  3. Przypadkowe usunięcie (bezpowrotne) danych osobowych ze zbioru;
  4. Celowe lub przypadkowe dopisanie znaków przy danych osobowych (imieniu, nazwisku), zmieniające ich brzmienie;
  5. Przy odsprzedaży komputera, niewystarczające „wyczyszczenie” dysku z zawartości, w tym danych osobowych;
  6. Utrata dostępu do danych osobowych spowodowana brakiem prądu.

Do czego może doprowadzić naruszenie ochrony danych osobowych?

W wyniku sytuacji takich jak wymienione powyżej, może dojść do wielu bolesnych skutków wobec podmiotów, których dotyczy naruszenie – szkód majątkowych i niemajątkowych, a nawet uszczerbku fizycznego. Przykładowe skutki naruszenia to:

  • dyskryminacja,
  • strata finansowa,
  • naruszenie reputacji,
  • oszustwo,
  • kradzież tożsamości.

Co należy zrobić z naruszeniem?

W sytuacji, gdy Administrator Danych Osobowych stwierdzi naruszenie danych osobowych lub wykryje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, musi powiadomić o tym osoby, których naruszenia dotyczą. RODO wymaga, by zrobił to bez zbędnej zwłoki, dlatego też organizacje powinny mieć opracowany schemat powiadomień w przypadku naruszeń.

Powiadomienie osób, których naruszenie dotyczy to dopiero połowa „sukcesu”. Poza tym, o naruszeniu należy powiadomić organ nadzorczy, również bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin. Jeśli powyższy czas zostanie przekroczony, poza zgłoszeniem naruszenia, należy wytłumaczyć dlaczego doszło do opóźnienia.

Zawiadomienie osoby, której dotyczy naruszenie

Jak wspomnieliśmy wyżej, Administrator Danych Osobowych, w momencie gdy stwierdzi naruszenie danych osobowych lub wykryje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki, musi o tym powiadomić osoby, których dotyczy naruszenie.

Jak powinno wyglądać takie zawiadomienie? Spróbujmy je skonkretyzować:

  • zawiadomienie powinno uświadomić osobom fizycznym, że ochrona ich danych osobowych została naruszona,
  • w trakcie informowania o naruszeniu, należy poinstruować, jakie kroki powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami naruszenia,
  • tworząc treść zawiadomienia, należy używać języka prostego i jasnego, zrozumiałego dla odbiorcy,
  • w treści zawiadomienia należy opisać charakter naruszenia i wskazać jego konsekwencje, a także opisać zastosowane lub proponowane środki zaradcze,
  • zawiadomienie powinno zawierać informacje o Inspektorze Ochrony Danych w organizacji (imię i nazwisko, dane kontaktowe) lub innego punktu kontaktowego, który udzieli więcej informacji o naruszeniu.

Czy zawsze należy powiadamiać osoby o wykrytym naruszeniu?

Istnieją trzy sytuacje, w przypadku których nie ma obowiązku informowania osób o wykrytym naruszeniu dotyczącym ich danych osobowych. Będą to:

  1. Administrator wdrożył  i zastosował właściwe (techniczne i organizacyjne) środki ochrony.
  2. Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia lub wolności osoby.
  3. Poinformowanie o naruszeniu wymagałoby niewspółmiernie dużego wysiłku. W takiej sytuacji wystarczy publiczny komunikat – należy jednak pamiętać, by był wystosowany „w równie skuteczny sposób”.

Czym skutkuje niewywiązanie się z obowiązku informacyjnego?

Wspomnieliśmy wcześniej, że warto mieć opracowany gotowy schemat informacyjny. Co, jeśli takiego nie wdrożymy? Niestety, musimy liczyć się z możliwością nałożenia na naszą organizację kary.

Niepoinformowanie osób o naruszeniu danych osobowych, które ich dotyczą, poinformowanie ich zbyt późno lub w niewłaściwy sposób, może wiązać się z obowiązkiem zapłaty kary wynoszącej maksymalnie 10 mln euro lub 2% rocznego światowego obrotu (poprzedni rok).

Zgłoszenie o naruszeniu Prezesa UODO – co powinno zawierać?

Według art. 33 ust. 3 RODO, w zgłoszeniu naruszenia Administrator powinien zawrzeć takie informacje jak:

  • Opis charakteru naruszenia ochrony danych osobowych (kategorię + przybliżoną liczbę osób, których dane dotyczą; kategorię + przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie),
  • Imię i nazwisko oraz dane kontaktowe IOD-a lub innego punktu kontaktowego,
  • Opis ewentualnych konsekwencji naruszenia,
  • Środki (proponowane lub zastosowane), dzięki którym zaradzi naruszeniu lub zminimalizuje jego ewentualne skutki.

Zgłoszenie o naruszeniu Prezesa UODO – jak to zrobić?

Zgodnie z wcześniejszą informacją, administrator musi powiadomić UODO o naruszeniu najszybciej jest to możliwe – bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia.

W tym celu musi wypełnić formularz dostępny w TYM MIEJSCU i załączyć go do pisma ogólnego, które znaleźć można na platformie biznes.gov.pl.

Czy zawsze należy powiadamiać Prezesa UODO o naruszeniu?

By poznać odpowiedź na to pytanie, niezbędne będzie wykonanie analizy pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Badanie to pozwoli administratorowi zorientować się, czy takie ryzyko występuje – to od tego zależeć będzie, czy wykryte naruszenie będzie musiał zgłosić do UODO.

Jeśli wynik analizy ryzyka pokaże, że nie istnieje prawdopodobieństwo wykrycia naruszenia praw i wolności osób fizycznych, administrator nie będzie musiał powiadomić o naruszeniu Prezesa UODO.

Czy naruszenia trzeba ewidencjonować?

Tak, każde naruszenie – zgodnie z art. 33 ust. 5 RODO – należy ewidencjonować. Administrator, prowadząc wewnętrzną ewidencję naruszeń, musi rejestrować naruszenia ochrony danych osobowych, które zgłosił do UODO, ale również te, które nie podlegały zgłoszeniu, czyli nie zachodziło w ich przypadku ryzyko wykrycia naruszenia praw i wolności osób fizycznych.

Jak unikać naruszenia?

Niestety, RODO nie mówi wprost, jak unikać naruszenia ochrony danych osobowych w organizacji. Dlaczego? To bardzo proste. Każda firma to inne dane, różne sytuacje, mechanizmy. Dlatego to po stronie administratorów leży konieczność zastosowania WŁAŚCIWYCH środków technicznych i organizacyjnych, odpowiednich do rodzaju przetwarzanych danych, branży etc.

Poza koniecznością wymaganą przez wytyczne RODO, pomocnym z minimalizacji ryzyka wystąpienia naruszeń będzie system informatyczny, które pomoże administratorowi sprawować władzę nad wszystkimi procesami zachodzącymi w organizacji. Poznaj rozwiązanie RODO-Ready, którego głównym zadaniem jest wsparcie w przygotowaniu organizacji, by spełniała wytyczne Rozporządzenia. To nie tylko rozwiązanie informatyczne, ale również zestaw dokumentów, których wymaga RODO.

Powiązane artykuły