17 sie

Naruszenie ochrony danych osobowych

Zgłoszenie naruszenia ochrony danych osobowych jest obowiązkiem każdego administratora danych. Są jednak sytuacje, w których nie trzeba zgłaszać naruszenia do Urzędu Ochrony Danych Osobowych. Czym jest naruszenie ochrony danych osobowych i kiedy trzeba je zgłosić?

Czym jest naruszenie ochrony danych osobowych

Według art. 4 pkt. 12 RODO naruszenie ochrony danych osobowych to:

„naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Mówiąc prościej, naruszenie występuje, gdy administrator danych w sposób świadomy lub nieświadomy doprowadzi do jednego lub kilku z naruszeń:

  • naruszenia poufności – to ujawnienie lub udostępnienie danych nieuprawnionym osobom,
  • naruszenia integralności – nieautoryzowana modyfikacja danych osobowych,
  • naruszenie dostępności – trwała utrata dostępu do danych osobowych lub ich zniszczenie.

Kiedy należy zgłosić naruszenie ochrony danych osobowych

Administrator danych osobowych ma obowiązek zgłoszenia naruszenia ochrony danych osobowych w każdym przypadku, chyba że ryzyko naruszenia praw wolności osób fizycznych jest minimalne. Jednak ciężko określić, kiedy ryzyko jest niewielkie, a przepisy nie mówią o tym jednoznacznie. Naruszenie należy zgłosić w każdym przypadku, który może skutkować szkodą fizyczną, materialną lub niematerialną. Może być to przykładowo kradzież tożsamości, straty finansowe czy naruszenie dobrego imienia.

Wszystkie zgłoszenia naruszenia ochrony danych osobowych należy bezzwłocznie zgłosić do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Jak zgłosić naruszenie ochrony danych osobowych

Administrator danych osobowych ma obowiązek zgłosić naruszenia organowi nadzorczemu (PUODO) w ciągu 72 godzin od jego wystąpienia. Najlepiej jednak zrobić to niezwłocznie po wykryciu stwierdzenia naruszenia. Jeśli naruszenie zostanie zgłoszone po upływie 72 godzin, należy dołączyć wyjaśnienie, dlaczego nastąpiło opóźnienie zgłoszenia. Administrator danych musi dostarczyć wszystkie posiadane informacje lub gdyby było to niemożliwe, systematycznie dostarczać je do organu nadzorczego. Takie informacje to na przykład okoliczności, w jakich doszło do naruszenia, skutki incydentu, oraz działania zapobiegające wystąpieniu naruszeń w przyszłości.

Aby zgłoszenie naruszenia ochrony danych osobowych było prawidłowe, musi zawierać:

  1. opis naruszenia – jakich kategorii danych oraz kategorii osób dotyczy naruszenie oraz jaka ich ilość została narażona na ujawnienie, modyfikację lub zniszczenie;
  2. dane administratora danych lub inspektora danych osobowych, aby organ nadzorczy mógł w razie pytań uzyskać więcej informacji;
  3. opis konsekwencji, jakie mogą nastąpić po naruszeniu ochrony danych osobowych;
  4. opis działań, które mogą zminimalizować ryzyko i negatywne skutki oraz przykłady zastosowania środków, które wykluczą lub zmniejszą ryzyko wystąpienia kolejnego naruszenia.

Dla ułatwienia, na stronie internetowej PUODO są dostępne gotowe formularze, które należy wypełnić przy zgłoszeniu naruszenia. Do wyboru są dwa wnioski: interaktywny, który można wypełnić na komputerze lub alternatywny, który można wydrukować i wypełnić ręcznie.

Źródło: ISecure – eksperci w ochronie danych osobowych

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *