Naruszenie ochrony danych może zdarzyć się w każdym podmiocie. Rolą administratora jest wdrożenie takich regulacji, by naruszenia te zdarzały się jak najrzadziej, a dane były chronione właściwie, na odpowiednio wysokim poziomie. Jeżeli jednak takie zdarzenie będzie miało miejsce i np. dojdzie do wysłania dokumentów zawierających dane osobowe na inny adres, czy też zagubienia niezabezpieczonych urządzeń informatycznych zawierających takie dane, wówczas reakcja administratora danych ma decydujące znaczenie. Jednym z jego obowiązków może być dokonanie zgłoszenia takiego incydentu do Prezesa UODO.
Naruszeniem ochrony danych, zgodnie z art. 4 pkt 12 RODO, jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W przypadku naruszenia ochrony danych osobowych administrator powinien bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłosić je organowi nadzorczemu. W Polsce taką funkcję pełni Prezes Urzędu Ochrony Danych Osobowych (PUODO). Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Takiego zgłoszenia administrator danych nie musi dokonywać, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Administratorzy danych często mają wątpliwości, jak powinni postąpić, gdy w przeciągu tych 72 godzin nie mają jeszcze pełnej wiedzy na temat zaistniałego incydentu, a co za tym idzie, ich zgłoszenie może być niepełne. W takim przypadku, jak informuje UODO, w ciągu pierwszych 72 godzin trzeba przekazać to, co już udało się ustalić. Natomiast należy niezwłocznie uzupełnić zgłoszenie o nowe informacje, gdy tylko administrator danych dowie się kolejnych szczegółów związanych z zaistniałym naruszeniem.
Takie zgłoszenie musi co najmniej:
Bez względu na to, czy administrator danych jest zobowiązany dokonać zgłoszenia, musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze.
UODO w opracowaniu "Dotychczasowe doświadczenia w zakresie zgłaszania naruszeń ochrony danych osobowych i zawiadamiania o nich osób, których dane dotyczą", dostępnym na stronie internetowej www.uodo.gov.pl, wskazuje na najczęstsze błędy popełniane przez administratorów danych dokonujących zgłoszeń incydentów. Wśród nich wymienia m.in. nierzetelne, zdawkowe przekazywanie informacji, które uniemożliwia ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Do błędów tych zalicza się też wypełnianie zgłoszeń w sposób rutynowy, podanie niewłaściwej liczby osób, której dane są zagrożone naruszeniem, podanie niewłaściwej kategorii danych, wskazanie niewłaściwego poziomu ryzyka czy też niewłaściwego czasu zaistnienia naruszenia. Oprócz tego UODO zwraca uwagę na częsty brak przeprowadzenia prawidłowej oceny ryzyka naruszenia praw lub wolności osób fizycznych. Ponadto wskazuje, iż zgodnie z art. 33 ust. 3 RODO, administrator powinien w zgłoszeniu podać tylko kategorie danych osobowych, których dotyczy naruszenie. Niewłaściwą praktyką jest podawanie w zgłoszeniu konkretnych imion, nazwisk lub adresów zamieszkania osób, których dane dotyczą.
Jeśli ryzyko wystąpienia naruszenia praw i wolności osób fizycznych jest wysokie, to oprócz wpisu w ewidencji naruszeń i zgłoszenia naruszenia ochrony danych do Prezesa UODO, w niektórych przypadkach konieczne staje się też powiadomienie o naruszeniu osób, których dane dotyczą. Takie powiadomienie nie jest wymagane, jeśli:
|
Wdrożenie obsługi naruszeń według UODO
|
| ||||||||||||
|
||||||||||||
