Obowiązek zgłaszania naruszeń przepisów RODO

RODO nakłada na podmioty przetwarzające dane osobowe prawny obowiązek informowania o incydentach bezpieczeństwadotyczących danych osobowych. Zgłaszanie naruszeń ochrony danych to nowy obowiązek, jaki przepisy ogólnego rozporządzenia o ochronie danych nakładają na administratorów danych. Jego dopełnianie w stosunku do osób, których dane dotyczą, ma m.in. na celu umożliwienie im odpowiedniej reakcji minimalizującej potencjalne zagrożenia. Za niezgłaszanie naruszenia GIODO lub osobom, których dane dotyczą w sytuacji, gdy prawo do tego zobowiązuje, grożą dotkliwe kary pieniężne.

Nowy obowiązek zgłaszania naruszeń

Zgłaszanie naruszeń ochrony danych będzie dla większości administratorów danych zupełnie nowym obowiązkiem. Od 2013 r. takie incydenty zgłaszają do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) operatorzy telekomunikacyjni, którzy zdążyli już w tym czasie wypracować procedury wykrywania, analizy i zgłaszania naruszeń ochrony danych.

Począwszy od 25 maja 2018 r. obowiązek ten będzie jednak spoczywał na podmiotach ze wszystkich branż – muszą one więc wdrożyć takie procedury na czas. Szczególnie większe organizacje powinny wdrożyć odpowiednie polityki i procedury postępowania związane z przypadkami naruszenia ochrony danych.

Kiedy wystąpi obowiązek zgłaszania naruszeń przepisów RODO?

Administrator danych osobowych jest zobowiązany do dokumentowania naruszeń ochrony danych osobowych.

Zgodnie z RODO, naruszenie ochrony danych osobowych, należy bezwzględnie zgłosić w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

"Naruszenie ochrony danych" (tj. incydent bezpieczeństwa) oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub do nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych bądź w inny sposób przetwarzanych.

Zgłosić trzeba zatem np. włamanie do systemu służącego do przetwarzania danych osobowych, zgubienie nośnika z danymi osobowymi, uzyskanie dostępu do danych przez osobę do tego nieuprawnioną, 

Nie każde naruszenie będzie wymagało poinformowania organu nadzorczego (PUODO). Zgłosić taki incydent będzie trzeba jedynie wtedy, gdy może on skutkować ryzykiem naruszenia praw i wolności osób, np. jeśli naruszenie może prowadzić do kradzieży lub fałszowania tożsamości, straty finansowej, naruszenia dobrego imienia, czy też naruszenia tajemnic prawnie chronionych. W takim przypadku naruszenie należy zgłosić do organu nadzorczego nie później niż 72 godziny po stwierdzeniu (wykryciu) incydentu, gdyż brak odpowiedniej i szybkiej reakcji może mieć bardzo negatywne konsekwencje dla osób, których dane dotyczą. Możliwość pojawienia się takich ryzyk dla osób, których dane dotyczą, oznaczać również będzie konieczność ich zawiadomienia o naruszeniu (zob. dalej). 

Przykład:

Kadrowa firmy A przekopiowała listę płac na niezaszyfrowanego pendrive’a, po czym zabrała go poza siedzibę firmę, aby dokończyć pracęw domu. Zgubiła go w drodze do domu. Czy firma powinna zgłosić takie naruszenie? W takiej sytuacji naruszenie należy zgłosić, ponieważ niezaszyfrowane dane mogły zostać odczytane przez nieuprawnione do tego osoby. Należy także bezwzględnie pouczyć kadrową i podjąć koniecznie wewnętrzne działania, żeby takie sytuacje nie miały miejsca w przyszłości. Gdyby dane z pendrive’a były szyfrowane, nie dostały się w nieuprawnione do tego ręce i następnego dnia bezpiecznie wróciły do firmy, to nie byłoby potrzeby zgłaszania incydentu, gdyż dane nie zostały udostępnione osobom nieupoważnionym do przetwarzania. Zostałyby tylko narażone na takie ryzyko.


Kiedy nie będzie konieczności zgłaszania naruszeń przepisów RODO?

Jak wspomniano, nie zawsze występuje konieczność zgłoszenia przypadków naruszenia bezpieczeństwa danych osobowych. Takich przypadków, jakie nie wywołują bezpośredniego skutku względem osób, których dane dotyczą, nie trzeba zgłaszać. Taka sytuacja ma miejsce wtedy, gdy np. doszło do przypadkowego zniszczenia nośnika z danymi osobowymi przez osobę upoważnioną do przetwarzania, jednak istniałyby jednocześnie inne nośniki, na których przechowywane są te same dane. Mogłaby być to też sytuacja, kiedy poza obszar przetwarzania danych dane nawet w dużych zasobach są wyniesione przez osobę mającą prawo do ich dostępu, ale nie zostały ujawnione i niedługo potem bezpiecznie wróciły na swoje miejsce.

Jak dokonać zgłoszenia do organu nadzorczego?

Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. 

Jak wspomniano, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - powinien zgłosić je organowi nadzorczemuO wystąpieniu incydentu należy więc poinformować organ nadzorczy (PUODO). Informacja powinna zostać przekazania niezwłocznie, ale nie później, niż w ciągu 72 godzin od stwierdzenia naruszenia.

Zgłoszenie musi m.in.:

  •  opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli - i w zakresie, w jakim - informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.

Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Administrator winien w każdym razie dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania powyższych zasad.

Należy zatem wdrożyć rozwiązania umożliwiające wykonywanie obowiązku zgłaszania incydentów bezpieczeństwa danych osobowych.

Kiedy trzeba będzie zawiadomić osobę, której dane dotyczą?

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator musi bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Obowiązek taki wystąpi np. w razie zgubienia nośnika zawierającego dokumentację medyczną pacjentów czy uzyskania przez osoby nieuprawnione dostępu do loginów oraz haseł klientów systemu bankowości elektronicznej.  

Jasnym i prostym językiem należy wówczas opisać jego charakter, możliwe konsekwencje oraz możliwe do zastosowania środki zalecane w celu poradzenia sobie z incydentem i zminimalizowania jego negatywnych skutków. Warto potraktować ten obowiązek jako ważny element budowania przejrzystych relacji z klientami oraz zapewnienia osobom możliwości kontroli i pełnej wiedzy na temat ich danych osobowych.

Przypadki, gdy nie trzeba zgłaszać naruszeń osobom, których dane są przetwarzane, są następujące:

  • administrator zastosował odpowiednie środki techniczne i organizacyjne dla danych których dotyczy naruszenie, takie jak szyfrowanie, aby uniemożliwić osobom nieuprawnionym odczytanie danych,
  • administrator następnie użył środków, które eliminują prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • administrator musiałby dokonać niewspółmiernie dużego wysiłku, aby powiadomić osobę, której dane dotyczą, o naruszeniu, wówczas wydawany jest publiczny komunikat lub inny podobny środek by poinformować osoby w skuteczny sposób.

Natomiast niezależnie od tego, przypadki takich naruszeń trzeba będzie udokumentować i przedstawić w razie kontroli organu nadzoru.

Zgodnie z projetem Ministerstwa Cyfryzacji, obowiązki związane ze zgłaszaniem incydentów mają zostać wyłączone w stosunku do przedsiębiorców zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykonywania działalności gospodarczej, w szczególności w celu zawierania umów czy prowadzenia rachunkowości.

Sankcje 

Niezgłoszenie naruszenia może skutkować nałożeniem przez organ nadzorczy dotkliwej kary pieniężnej.

Np. według art. 83 ust. 4 RODO, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa wyżej, podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Oczywiście możliwe będzie także nałożenie tej kary już za samo naruszenie. Zatem, aby nie narazić się ani na utratę dobrego imienia i zaufania klientów, ani na wysokie kary finansowe, warto z należytą troską podchodzić do zagrożeń w sferze bezpieczeństwa danych, a na ochronę i bezpieczeństwo informacji przeznaczać odpowiednie środki.

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - motywy preambuły 73, 75, 85-88 i art. 33-34;
  • Wytyczne Grupy Roboczej art. 29 dotyczące oceny skutków dla ochrony danych.

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

  • Miłosz 2021-02-06 11:51:25

    Szanowni Państwo, jeśli stronie zajmującej się pierdołami takiej jak wykop.pl zamieściłem prawdziwy opisujący człowieka komentarz i niestety użyłem imienia i nazwiska jakie mogą spotkać mnie konsekwencje? Wiem ze ta osoba grozi mi prokuratorem i chce przeprosin ale nie określił jak mam to zrobić wiec przeprosiłem go w Internecie. Co o tym mam sądzić? poproszę o opinie.

  • Łukasz 2020-07-07 15:42:49

    Witam. Czy jeśli na FB, chcę dołączyć do grupy, która dotyczy mojego osiedla i w warunkach przyjęcia mam podać nr klatki na której mieszkam i nr mieszkania, to czy to jest łamanie RODO ? Pozdrawiam

  • Anna 2020-06-07 19:24:37

    Witam, od momentu wejścia w życie rozporządzenia RODO próbuję usunąć swoje konto na Gruoponie. Niestety jestem odsyłana przez pracownika na kolejne maila, pod którymi mam napisać. Jedna z wiadomości prosiła o przesłanie skanu mojego dowodu osobistego.. Ostatnia informacja jaką otrzymałam informuje mnie, że jako klient nie mam możliwości usunięcia swojego konta. Zostałam tym razem odesłana do anglojęzycznej wersji strony i tam poprosić o usunięcie moich danych. Jest to ewidentne łamanie praw o danych osobowych, gdyż jako klient nie posiadam do nich dostępu i nie mam wpływ na ich stan. Proszę o informację czy taka sprawa podlega zgłoszeniu do PUODO i jeśli tak, to w jakiej formie powinnam dokonać zgłoszenia.


Potrzebujesz pomocy prawnej?

Zapytaj prawnika