Co to jest naruszenie danych osobowych?
Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).

Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:
- naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
- skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
- naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Jednocześnie, jak wskazuje Grupa Robocza Art. 29, można wyróżnić trzy typy naruszenia ochrony danych osobowych:
- naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;
Przykład: „Przypadkowe wysłanie danych osobowych klienta do niewłaściwego działu firmy lub osoby postronnej.”
- naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych;
Przykład: „Zgubienie lub kradzież nośnika zawierającego kopię bazy danych klientów administratora.”
Przykład: „Pracownik przypadkowo lub osoba nieupoważniona celowo usuwa dane ze zbioru. Administrator próbuje odzyskać dane z kopii zapasowej, jednak jego działania nie przynoszą rezultatu.”
- naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany.
Przykład: „Pracownik dla żartu zmienia nazwiska klientów poprzez dopisanie litery „s” na końcu każdego z nich.”
Przykłady naruszeń
Przykład:
W wyniku przerwy w dostawie prądu lub ataku typu blokada usług, administrator tymczasowo lub trwale traci dostęp do danych osobowych.
W powyższym przykładzie mamy do czynienia ze zdarzeniem skutkującym utratą dostępności danych osobowych przez pewien odcinek czasu. Jest to naruszenie, ponieważ brak dostępu do danych może mieć znaczący wpływ na prawa i wolności osób fizycznych. Pamiętać należy jednak, że nie każda czasowa niedostępność do danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw i wolności osób fizycznych, np. w przypadku szpitala brak dostępu danych pacjentów może prowadzić do uniemożliwienia przeprowadzenia operacji medycznej, a zatem narażenia życia, co należy zaklasyfikować jako wysokie ryzyko dla praw i wolności osób fizycznych. W przypadku kilkugodzinnego braku dostępu spółki medialnej do swoich systemów i niemożliwości wysyłania newslettera do abonentów, istnieje natomiast niskie prawdopodobieństwo naruszenia praw i wolności osób fizycznych. Podobnie w przypadku planowanej konserwacji systemu, dane osobowe mogą być niedostępne przez pewien czas i nie należy traktować tego jako naruszenia bezpieczeństwa (ryzyko niskie).
Chociaż utrata dostępu do systemów administratora może być tylko tymczasowa i w początkowej fazie naruszenia nie wywołuje skutków dla praw i wolności osób fizycznych, ważne jest, aby administrator po przeprowadzeniu pełnej analizy ryzyka, rozważył wszystkie możliwe konsekwencje naruszenia, zarówno te które już zaistniały jak i te, które mogą zaistnieć w przyszłości.
Przykład:
System informatyczny administratora został zainfekowany złośliwym oprogramowaniem. Po przeprowadzeniu wstępnej analizy administrator stwierdził, że nastąpiła tymczasowa utrata dostępu do danych jednak z uwagi na fakt, że administrator posiadał elektroniczny system zabezpieczeń chroniący przed wyciekiem danych, ryzyko naruszenia praw i wolności osób fizycznych było małe, a samo naruszenie nie wymagało zgłoszenia do Prezesa UODO. Po paru godzinach okazało się jednak, że w wyniku ww. włamania do systemu, haker po obejściu zabezpieczeń, uzyskał dostęp do danych osobowych, w związku z czym ryzyko naruszenia praw i wolności osób fizycznych stało się wysokie i wymagało zgłoszenia do organy nadzorczego.
Naruszenie danych może mieć miejsce również w następujących przypadkach:
- zmiana danych bez zgody osoby, której dane dotyczą;
- wysłanie danych do niewłaściwej osoby (np. poprzez niewłaściwie zaadresowanie poczty elektronicznej);
- utrata nośników danych (telefon, laptop, USB, teczki zawierające dane w wersji papierowej);
- nieuprawnione udostępnienie danych (np. elektronicznie – przekazywanie danych przez zdalny dostęp np. VPN, często przydzielane bezterminowo - ale też np. telefonicznie (rozmówca podaje się za pracownika policji czy urzędu, próbując wyciągnąć informacje);
- nieodpowiednie usuwanie danych (np. administrator postanawia pozbyć się starych komputerów. Przed sprzedażą usuwa jedynie pliki na pulpicie i opróżnia kosz ze starych plików. Nie usuwa jednak danych z dysku komputera).
Jakie obowiązki w związku z naruszeniami danych osobowych przewiduje RODO?
RODO przewiduje następujące obowiązki związane z naruszeniem danych osobowych:
- wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych;
- prowadzenie wewnętrznej ewidencji naruszeń;
- zgłaszanie naruszeń organowi nadzorczemu;
- powiadamianie osoby, której dane dotyczą o naruszeniu;
- podejmowanie działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.
Ważnym, jeżeli nie najważniejszym, elementem całego procesu związanego ze zgłaszaniem naruszenia ochrony danych, jest szybkość podjęcia niezbędnych działań, zarówno wobec organu nadzorczego, jak i osób, których dane dotyczą. Czas ma tu bardzo duże znaczenie.
Żeby zapewnić działania bez zbędnej zwłoki, administratorzy powinni więc opracować i wdrożyć procedury postępowania na wypadek wystąpienia naruszenia ochrony danych. Taka procedura pomoże ujednolicić, usprawnić oraz przyśpieszyć działania w przypadku wykrycia naruszenia ochrony danych. W tej procedurze powinno się zawrzeć m.in.:
- cel, w jakim procedura została opracowana;
- zakres jej stosowania;
- katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora;
- opis etapów zarządzania naruszeniem, począwszy od jego wykrycia, a kończąc na usunięciu;
- opis postępowania personelu administratora w przypadku wystąpienia naruszenia ochrony danych.
Dobrze zaprojektowana i wdrożona procedura postępowania na wypadek wystąpienia naruszenia ochrony danych pozwoli administratorowi przeprowadzić, w przypadku wykrycia przez niego naruszenia ochrony danych, szybką i prawidłową ocenę naruszeń, pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych.
Procedura pozwala dokonać klasyfikacji zidentyfikowanych naruszeń ochrony danych, czyli określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, tj. niski, średni lub wysoki. W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że ma do czynienia z niskim ryzykiem naruszenia praw i wolności osób fizycznych, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia średniego ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora powzięcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także w niektórych przypadkach również wobec osób, których dane dotyczą. W przypadku naruszeń, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, RODO wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba, że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO).
Niezależnie od poziomu ryzyka, administrator zobowiązany jest do wprowadzenia środków zaradczych mających na celu zminimalizowanie ryzyka i zabezpieczenia danych osobowych.
O jakich naruszeniach trzeba powiadomić Prezesa UODO?
W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Jednakże pamiętać trzeba, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym, wnioski z przeprowadzonej analizy należy udokumentować w wewnętrznej ewidencji naruszeń.
Ryzyko naruszenia praw i wolności osób fizycznych jest obecne, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.
Kiedy nie ma obowiązku zgłoszenia naruszenia Prezesowi UODO?
Art. 33 ust. 1 RODO wskazuje, że w przypadku, gdy „jest mało prawdopodobne, by naruszenie to skutkowało naruszeniem praw lub wolności osób fizycznych”, administrator nie ma obowiązku zawiadomienia organu nadzorczego o naruszeniu ochrony danych.
W świetle art. 33 RODO, nie każde naruszenie ochrony danych osobowych wiąże się z naruszeniem bezpieczeństwa danych. Obowiązek zgłoszenia, o którym mowa w ww. artykule, dotyczy tylko tych naruszeń, które stanowią naruszenie bezpieczeństwa danych.
Przykład I: Pracownik kancelarii przez pomyłkę wynosi poza jej obszar teczkę z niezabezpieczonymi danymi osobowymi, wśród których znajdują się również szczególne kategorie danych osobowych. Po chwili orientuje się, że nastąpiła pomyłka i wraca do kancelarii zwracając teczkę. Działanie takie naruszyło zasady ochrony danych, ale nie wpłynęło na bezpieczeństwo danych, które nie zostały udostępnione.
Przykład II: Administrator traci bezpiecznie zaszyfrowany pendrive. Klucz szyfrowania pozostaje w posiadaniu administratora i nie jest to jedyna kopia danych osobowych. W takiej sytuacji dane pozostają niedostępne dla złodzieja. Oznacza to małe prawdopodobieństwo, by naruszenie stanowiło zagrożenie dla praw lub wolności osób, których dane dotyczą.
Do każdej sytuacji należy jednak podchodzić z dużą rozwagą i ostrożnością. Zmiana choćby jednego z kluczowych elementów zdarzenia może bowiem doprowadzić do odmiennych wniosków, np. jeżeli w przypadku opisanym w przykładzie II po czasie okaże się, że naruszono bezpieczeństwo klucza lub, że oprogramowanie narażone jest na ataki, wówczas zmieni się ryzyko naruszenia praw i wolności osób, a w związku z tym może powstać obowiązek zgłoszenia naruszenia Prezesowi UODO. Podobna sytuacja może się zdarzyć, gdy w sytuacji zaistnienia naruszenia, administrator nie będzie dysponował kopią zapasową danych osobowych. W takim przypadku będziemy mieli do czynienia z naruszeniem dostępności, stanowiącym ryzyko dla praw i wolności osób fizycznych i w związku z tym, sytuacja ta będzie wymagała zgłoszenia naruszenia organowi nadzorczemu.
W jaki sposób należy powiadomić Prezesa UODO o naruszeniu?
Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).
- Zgłoszenia naruszenia dokonuje się elektronicznie za pomocą odpowiedniego formularza dostępnego poniżej, który należy wypełnić, a następnie...
- ... załączyć do pisma ogólnego dostępnego na platformie biznes.gov.pl
Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też może inny europejski organ nadzorczy.
Jakie informacje musi zawierać zgłoszenie o naruszeniu kierowane do Prezesa UODO?
Zgodnie z art. 33 ust. 3 RODO, administrator powinien wskazać w zgłoszeniu naruszenia następujące informacje:
- opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
- wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- wskazanie środków, jakie zostały zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zob.: Zgłoszenie naruszenia ochrony danych osobowych
Jak szybko należy zgłosić naruszenie Prezesowi UODO?
Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Jak wynika z ww. artykułu, zgłoszenie naruszenia powinno być przesłane do właściwego organu nadzorczego, bez zbędnej zwłoki. To czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.
Ponadto administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Według Grupy Roboczej Art. 29 administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.
Termin wskazany w art. 33 ust. 1 RODO nie powinien być przekraczany przez administratorów, jednakże RODO przewiduje pewne okoliczności, gdy zgłoszenie naruszenia organowi nadzorczemu może nastąpić po 72 godzinach od stwierdzeniu naruszenia. W takim przypadku, administrator jest zobligowany do podania przyczyn opóźnienia (więcej w pkt. „Czy dopuszczalne jest przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?”).
Czy dopuszczalne jest przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?
Administratorzy nie zawsze będą dysponować wszystkimi wymaganymi informacjami dotyczącymi naruszenia w ciągu 72 godzin od jego stwierdzenia. W związku z tym, zgodnie z art. 33 ust. 4 RODO, administrator może udzielać informacji sukcesywnie. W takim przypadku administrator powinien przekazać brakujące informacje, jak tylko wejdzie w ich posiadanie. Zawiadamianie „sukcesywne” jest dopuszczalne pod warunkiem, że administrator poda organowi nadzorczemu przyczyny opóźnienia.
Kiedy i w jakim celu trzeba zawiadomić o naruszeniu osoby, których dane dotyczą?
Zgodnie z art. 34 pkt. 1 RODO „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”. Z powołanego przepisu wynika, że administrator będzie zobowiązany do zawiadomienia podmiotu danych wówczas, gdy spełnione zostaną łącznie dwie przesłanki. Po pierwsze, musi dojść do naruszenia ochrony danych osobowych. Po drugie, może ono powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Do takich przypadków należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczający jest fakt samego pojawienia się wysokiego ryzyka naruszenia praw lub wolności.
RODO wymaga, aby osoby fizyczne zostały zawiadomione o naruszeniu ich danych „bez zbędnej zwłoki”. Oznacza to, że administrator powinien zrealizować przedmiotowy obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy. Należy przyjąć, że im poważniejsze jest ryzyko naruszenia praw lub wolności podmiotu danych, tym szybciej powinno nastąpić zawiadomienie, jak wskazuje motyw 86 RODO. Poinformowanie na czas osób fizycznych o zaistniałym naruszeniu ma na celu umożliwienie podmiotom danych podjęcie niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia. Jako przykład można wskazać wyciek haseł bankowych, w przypadku którego reakcja banku powinna być natychmiastowa.
W jaki sposób należy poinformować o naruszeniu osoby, których dane dotyczą?
Forma, w jakiej podmioty danych powinny być zawiadomione o naruszeniu, nie została wprost wskazana w RODO. Ostateczny jej dobór będzie zależał od danych kontaktowych podmiotów danych, którymi dysponuje administrator. Mając na względzie znaczenie zawiadomienia, powinno być ono sporządzone w formie, która umożliwi podmiotowi danych na wielokrotne zapoznanie się z jego treścią. Bardzo ważne jest, aby zawiadomienie zostało dostarczone do adresata w możliwie najkrótszym czasie. Wybierając mniej efektywny środek komunikacji, administrator może spowodować nieuzasadnioną zwłokę w przekazaniu informacji. W tym kontekście wadą przesyłki nadanej drogą tradycyjną jest czas niezbędny na jej doręczenie podmiotowi danych. Dla porównania zasadniczą zaletą elektronicznej formy komunikacji jest jej szybkość, co jest pożądane z uwagi na obowiązek powiadomienia podmiotu danych bez zbędnej zwłoki (art. 34 ust. 1 RODO). Forma ta umożliwia adresatowi wielokrotne zapoznanie się z komunikatem oraz jego wydruk w razie potrzeby. Co do zasady administrator bezpośrednio powiadamia osoby, których dane naruszono, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat bądź stosuje podobny środek, żeby w równie skuteczny sposób poinformować osoby, których dane dotyczą, (art. 34 ust. 3 lit. c RODO). Do powiadamiania osób, których dane naruszono, administrator powinien stosować komunikaty dedykowane, które nie powinny być przesyłane razem z innymi informacjami, na przykład newsletterem, czy standardową wiadomością. Pomoże to przekazać informacje o naruszeniu w jasny i przejrzysty sposób. Powiadomienia ograniczającego się do komunikatu prasowego, czy firmowego bloga nie uznaje się za skuteczne poinformowanie osoby fizycznej o naruszeniu.
Jakie informacje należy przekazać osobom, których dane dotyczą, w związku z naruszeniem?
Zgodnie z art. 34 ust. 2 RODO zawiadomienie skierowane do osób, których dane dotyczą powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d). Zgodnie z tym przepisem, administrator powinien podać przynajmniej następujące informacje:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zawiadomienie powinno być sformułowane jasnym i prostym językiem. Aby wymóg ten został spełniony, administrator powinien mieć na względzie grupę odbiorców, do której zawiadomienie będzie skierowane i dostosować do niej jego treść. Tytułem przykładu: jeżeli określony podmiot posiada klientów w zbliżonym wieku i poziomie wykształcenia, język komunikatu powinien uwzględniać te okoliczności. Jeżeli natomiast adresaci są zróżnicowani lub administrator nie posiada wystarczających danych dla dokładniejszego określenia grupy odbiorców zawiadomienia, to w takim przypadku punktem odniesienia powinien być przeciętny adresat takiej wiadomości. Celem jest przekazanie odbiorcy komunikatu łatwego do zrozumienia. Ponadto komunikat nie powinien być nadmiernie rozbudowany, gdyż długa informacja z reguły utrudnia zrozumienie istoty przekazu.
Czy RODO wymaga podjęcia innych kroków w związku z naruszeniem?
Podobnie jak w przypadku każdego incydentu związanego z bezpieczeństwem, administrator powinien ustalić, czy naruszenie było wynikiem błędu ludzkiego lub problemu systemowego i zobaczyć w jaki sposób można zapobiec powtórce incydentu - czy to poprzez lepsze procesy, dalsze szkolenia lub inne kroki naprawcze. W celu sprawnej realizacji przez administratorów i podmioty przetwarzające obowiązków w zakresie naruszeń ochrony danych zalecane jest wdrożenie procedur. Ponadto procedura zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o naruszeniach podmiotów danych, powinna być elementem kodeksu postępowania, zgodnie z art. 40 ust. 2 lit. i RODO.
Jakie naruszenia należy wpisywać do wewnętrznej ewidencji?
Art. 33 ust. 5 RODO nakłada na administratorów obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, czyli prowadzenia wewnętrznej ewidencji naruszeń. Użyte w ww. artykule sformułowanie „wszelkich naruszeń” oznacza, że ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. art. 4 pkt 12 RODO. W ewidencji powinny zatem się znaleźć zarówno naruszenia ochrony danych osobowych podlegające obowiązkowi notyfikacyjnemu Prezesowi UODO, jak i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na okoliczność, że jest mało prawdopodobne, że skutkowałyby one ryzykiem naruszenia praw lub wolności osób fizycznych.
Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe. Ewidencja powinna obejmować ponadto skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora.
Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art. 24 RODO. Jak wskazuje art. 33 ust. 5 (zdanie 2) RODO organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na weryfikowanie przestrzegania RODO w zakresie tych obowiązków.
Grupa Robocza Art. 29 podkreśla również, że w przypadku podjęcia decyzji o niezgłoszeniu naruszenia, wskazane jest udokumentowanie takiego faktu w ewidencji wraz z podaniem przyczyny, dla której administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne.
Jeżeli chodzi o sposób prowadzenia ewidencji, Grupa Robocza Art. 29 podkreśla, że administrator może zdecydować o dokumentowaniu naruszeń w rejestrze czynności przetwarzania prowadzonym zgodnie z art. 30 RODO. Nie ma wymogu prowadzenia osobnego rejestru naruszeń, jeżeli informacje dotyczące naruszenia można łatwo zidentyfikować i przedłożyć na żądanie.
Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1);
- ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r., poz. 1781, ze zm.).
Na podst.: uodo.gov.pl

Potrzebujesz porady prawnej?
Jak powołać inspektora ochrony danych?
Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy: przetwarzania dokonują organ lub podmiot publiczny, (...)
Przetwarzanie danych osobowych przez sądy
Zgłaszanie naruszeń ochrony danych osobowych przez sądy UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do przyjmowania zgłoszeń naruszeń ochrony danych osobowych oraz prowadzenia kontroli w przypadku (...)
Dokumentacja przetwarzania danych osobowych według RODO
Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych osobowych. Zmienione regulacje obowiązują wszystkich uczestników obrotu gospodarczego oraz (...)
RODO w pracy - przetwarzanie danych w miejscu pracy.
Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych. Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie (...)
Pokrótce o RODO... Prywatność każdego człowieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). ##baner## W omawianym rozporządzeniu ustanowione zostały przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych (...)
Transfer danych UE-USA: ważny wyrok
Ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej - wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał wyrok w sprawie C-311/18 - Data Protection Commissioner przeciwko Maximillian Schrems i Facebook Ireland. Trybunał stwierdził nieważność decyzji 2016/1250 (...)
Przetwarzanie danych przy rekrutacji pracowników a RODO
Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać? Rekrutacja po nowemu 25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie (...)
Co RODO przynosi przedsiębiorcom?
Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - RODO) wprowadzić ma m.in. ułatwiania działalności gospodarczej poprzez uproszczenie i ujednolicenie (...)
Pierwsze wspólne przepisy dotyczące obowiązków i odpowiedzialności pośredników na jednolitym rynku otworzą nowe możliwości świadczenia usług cyfrowych ponad granicami przy równoczesnym zapewnieniu wysokiego poziomu ochrony użytkowników bez względu na ich miejsce zamieszkania w UE. ##baner## Jakie są najważniejsze cele aktu o usługach (...)
Od 25 maja br. w całej UE należy stosować nowe przepisy o ochronie danych - czyli tzw. RODO. Mają one lepie chronić prywatność konsumentów i nakładają na przedsiębiorców obowiązek bezpiecznego przechowywania i zarządzania informacjami identyfikującymi konkretne osoby. - "Ochrona danych jest prawem podstawowym w UE. Dzięki nowym przepisom Europejczycy odzyskają kontrolę (...)
Kiedy można przetwarzać dane osobowe?
25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych (...)
Rejestr czynności przetwarzania danych osobowych według RODO
25 maja 2018 r. we wszystkich krajach Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych nr 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Pozwoli ono m.in. spójnie monitorować przetwarzanie (...)
Pora na dostosowania do systemów informacyjnych Schengen
Sejm zajmuje się obecnie rządowym projektem ustawy o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. Potrzeba przyjęcia takiej ustawy wynika z członkostwa Polski w Unii Europejskiej, a w szczególności w tzw. dorobku prawnym Schengen, którego urzeczywistnienie w pełnym zakresie jest uwarunkowane włączeniem do Systemu Informacyjnego Schengen. Czym (...)
System Informacyjny Schengen oraz System Informacji Wizowej
W związku z wejściem do strefy Schengen obowiązuje w naszym kraju ustawa o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. Potrzeba przyjęcia takiej ustawy wynikała z członkostwa Polski w Unii Europejskiej, a w szczególności w tzw. dorobku prawnym Schengen, którego urzeczywistnienie w pełnym zakresie było uwarunkowane włączeniem (...)
Obowiązek zgłaszania naruszeń przepisów RODO
RODO nakłada na podmioty przetwarzające dane osobowe prawny obowiązek informowania o incydentach bezpieczeństwadotyczących danych osobowych. Zgłaszanie naruszeń ochrony danych to nowy obowiązek, jaki przepisy ogólnego rozporządzenia o ochronie danych nakładają na administratorów danych. Jego dopełnianie w stosunku do osób, których dane dotyczą, (...)
DODO - Ochrona danych osobowych przy przeciwdziałaniu przestępczości
Rada Ministrów przyjęła projekt ustawy wdrażającej unijną dyrektywę policyjną Rada Ministrów przyjęła projekt ustawy, która wprowadzi przepisy tzw. unijnej dyrektywy policyjnej (DODO). Regulacje te dotyczą przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku (...)
Powiadomienia dotyczące inspektora ochrony danych
Powiadomienia dotyczące IOD lub jego zastępcy należy składać tylko w postaci elektronicznej Przesłanie zawiadomienia dotyczącego IOD lub zastępcy IOD w innej formie niż elektroniczna jest bezskuteczne. ##baner## Podmiot, który wyznaczył inspektora ochrony danych ma obowiązek zawiadomić o tym Prezesa UODO w terminie 14 dni w trybie określonym w art. (...)
Dane osobowe obywateli będą lepiej chronione
Rządowy projekt ustawy o ochronie danych osobowych, przygotowany przez ministra cyfryzacji, ma sprawić, że dane osobowe Polaków będą lepiej chronione. Czemu ma służyć nowa ustawa o ochronie danych osobowych? Lepsza ochrona danych osobowych – to główny cel nowej ustawy. Zaproponowane przepisy wynikają z konieczności zapewnienia w Polsce skutecznego stosowania unijnego (...)
Ocena skutków dla ochrony danych
Kto ma obowiązek oceny skutków dla ochrony danych? RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Nowa, przyjęta w ogólnym rozporządzeniu o ochronie danych (RODO), (...)
Rewolucja w systemie ochrony danych osobowych
Konsultacje społeczne projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO) Podwyższenie poziomu ochrony prywatności obywateli, w tym przyznanie im nowych, nieznanych dzisiaj i skutecznych mechanizmów ochrony przed naruszeniami, przy jednoczesnym poszanowaniu interesów przedsiębiorców – to podstawowe założenia udostępnionego (...)
Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych
25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. W artykule przedstawiono kwestie związane (...)
Obowiązki administratora danych osobowych
Dane osobowe każdego człowieka stanowią szczególny przedmiot ochrony prawnej. Dlatego też w regulacji rangi ustawowej ustanowiono nie tylko pojęcie danych osobowych, ale także procedury ich ochrony oraz podstawowe obowiązki administratorów danych w tym zakresie. Do wskazanych obowiązków możemy zaliczyć: zapewnienie legalności przetwarzania danych, obowiązki (...)
Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie
Formalne objaśnienia prawne Ministra Cyfryzacji dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych, zgodnie z art. 33 Prawa przedsiębiorców, mają na celu wyjaśnienie wątpliwości w zakresie możliwości gromadzenia przez pracodawców dokumentów rekrutacyjnych już po zakończeniu procesu rekrutacji w stosunku do osób, (...)
STIR (system teleinformatyczny izby rozliczeniowej) umożliwia wymianę informacji między systemem bankowym a Krajową Administracją Skarbową (KAS) i zapobiega wyłudzeniom skarbowym, których najczęściej dokonują zorganizowane grupy przestępcze. STIR już działa Przykładem jego sprawnego działania jest szybka identyfikacja nowo założonego podejrzanego rachunku bankowego i uniemożliwienie (...)
Na czym polega powierzenie przetwarzania danych osobowych i jakie wiążą się z tym obowiązki?
Powierzenie przetwarzania danych innemu podmiotowi jest uregulowane w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2015.2135 z późn. zm.) – dalej „u.o.d.o.” Zgodnie z art. 31. u.o.d.o. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. 2. Podmiot, o którym (...)
Obowiązek zaktualizowania zgody na przetwarzanie danych po wejściu w życie RODO
Rozpoczęcie stosowania – od 25 maja 2018 r. – przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO) oznacza rewolucję. Ten akt prawny nakłada bowiem na administratorów danych wiele nowych obowiązków. Kiedy dotychczasowa zgoda będzie dalej ważna? Zgodnie z RODO, jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46 i odpowiada (...)
Termin na wyznaczenie inspektora ochrony danych
Jedną z najważniejszych zmian, jakie od 25 maja 2018 r. przewidują nowe przepisy o ochronie danych osobowych, jest przejście od dotychczasowego modelu dobrowolnego wyznaczania ABI do systemu, w którym w odniesieniu do wielu podmiotów przewidziany jest obowiązek wyznaczenia inspektora ochrony danych. Wobec tego każdy podmiot - niezależnie od tego, czy skorzystał (...)
Jak korzystać z praw gwarantowanych przez RODO?
Na podstawie doświadczeń z pierwszych 6 miesięcy stosowania RODO Urząd Ochrony Danych Osobowych przygotował 10 wskazówek, jak osoba indywidualna może korzystać z praw gwarantowanych przez rozporządzenie. Masz prawo wiedzieć, co będzie się działo z Twoimi danymi Powinieneś wiedzieć, kto, na jakiej podstawie i po co przetwarza Twoje dane osobowe. Firma (...)
Zasady przetwarzania danych osobowych oraz ich zabezpieczanie
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, nadto administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Sposoby ochrony interesów (...)
Nowa ustawa o ochronie danych osobowych!
Ustawa o ochronie danych osobowych w założeniu ma zapewnić lepszą ochronę danych osobowych. Nowe regulacje wynikają z konieczności zapewnienia w Polsce skutecznego stosowania rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie ich swobodnego przepływu (tzw. RODO). Do nowych przepisów będą musiały dostosować się (...)
Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - RODO) stanowić ma m.in. istotny krok na drodze do umacniania praw podstawowych obywateli UE w erze (...)
Ustawa wdrażająca dyrektywę „policyjną” już obowiązuje
6 lutego 2019 r. weszła w życie ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125), wdrażająca do polskiego porządku prawnego dyrektywę 2016/680, zwana często tzw. „dyrektywą policyjną”. Nowa ustawa wdraża dyrektywę 2016/680 Dyrektywa (...)
Mija termin zawiadomienia o wyznaczeniu IOD
Kiedy upływa termin? 31 lipca 2018 r. upływa termin zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu inspektora ochrony danych (IOD) przez podmioty, które przed 25 maja 2018 r. nie powołały ABI, a zgodnie z art. 37 ust. 1 RODO mają obowiązek wyznaczenia IOD. Należy też pamiętać, że: jedynym prawidłowym i skutecznym sposobem (...)
Szykuje się skuteczniejszy pobór abonamentu RTV
Abolicja dla osób posiadających zaległości z tytułu nieuiszczania opłat abonamentowych, uproszczona rejestracja odbiorników i poprawa skuteczności poboru abonamentu RTV, a tym samym wsparcie dla misji pełnionej przez media publiczne – to główne założenia proponowanej nowelizacji ustawy o opłatach abonamentowych. Przygotowany przez Ministerstwo Kultury i Dziedzictwa (...)
Na jaką ochronę mogą liczyć świadkowie koronni?
23 listopada 2006 r. wchodzi w życie rozporządzenie Rady Ministrów z dnia 18 października 2006 r. w sprawie udzielania ochrony i pomocy świadkom koronnym i innym uprawnionym osobom. Zastępuje ono dotyczczas obowiązujące rozporządzenie Rady Ministrów z dnia 30 grudnia 1998 r. w sprawie szczegółowych warunków, zakresu i sposobu udzielania oraz cofania ochrony i pomocy (...)
Nowelizacja ustawy o ochronie danych osobowych
Sejm znowelizował ustawę o ochronie danych osobowych. Zmiany mają na celu dostosowanie tej regulacji do prawa unijnego.Doprecyzowano m. in. słowniczek ustawowy. Zgodnie z nowelą, za administratora danych osobowych rozumieć należy organ, jednostkę organizacyjną lub osobę, do której zastosowanie znajduje ustawa o ochronie danych osobowych, decydujące o celach i środkach przetwarzania danych (...)
Początek roku szkolnego to czas, gdy pojawia się konieczność dopełnienia przez szkołę wielu obowiązków, w tym tych, które dotyczą przetwarzania danych osobowych. Temat ten co roku wzbudza ciekawość i pojawia się wiele pytań z nim związanych. Poznaj odpowiedzi UODO na najczęściej zadawane przez rodziców (opiekunów prawnych) pytania (...)
Prezydent RP będzie mógł ratyfikować Konwencję 108+
Prezes Urzędu Ochrony Danych Osobowych z satysfakcją przyjął informację o uchwaleniu przez polski parlament ustawy zezwalającej Prezydentowi RP na ratyfikację Protokołu zmieniającego Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonego 10 października 2018 r. w Strasburgu. Protokół wprowadza tzw. (...)
Ochrona danych osobowych w e-commerce. Lepiej chroń swoich klientów
Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu czy serwisu internetowego, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też odpowiedniego zabezpieczenia i zarządzania bazą. Mogliśmy się w ostatnim czasie kilkakrotnie przekonać, jakie są (...)
Jak złożyć zawiadomienie o wyznaczeniu nowego inspektora ochrony danych?
Przetwarzasz dane osobowe? Pamiętaj, że musisz wyznaczyć inspektora ochrony danych (IOD) oraz powiadomić o tym fakcie Prezesa UODO. Masz na to dwa tygodnie od daty wyznaczenia IOD, jednak nie później niż do 31 lipca lub 1 września. O tym, który termin dotyczy twojej sprawy dowiesz się poniżej. 25 maja 2018 r. zaczęły obowiązywać przepisy europejskiego rozporządzenia o ochronie (...)