Jednym z podstawowych obowiązków administratora danych osobowych jest wprowadzenie w firmie odpowiednich procedur reagowania na incydenty związane z ochroną danych osobowych, aby w razie potrzeby szybko i skutecznie reagować na naruszenia RODO. Pracownicy powinni być odpowiednio przeszkoleni w zakresie postępowania w przypadku odkrycia naruszenia i wiedzieć, jak zgłosić incydent do właściwych wewnętrznych organów. Zrozumienie znaczenia zgłaszania naruszeń i współpraca z organem nadzorczym są kluczowe dla zapewnienia zgodności z przepisami o ochronie danych osobowych.
Brak zgłoszenia naruszenia
Zgodnie z RODO, administrator danych ma obowiązek zgłosić naruszenie ochrony danych osobowych do właściwego organu nadzorczego bez zbędnej zwłoki – w miarę możliwości, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Jeśli nie można tego zrobić w ciągu 72 godzin, należy podać powód opóźnienia i dostarczyć informacje stopniowo w miarę ich dostępności. Zgłoszenie naruszenia pozwala organowi nadzorczemu na właściwą reakcję, która może ograniczyć skutki naruszeń.
Naruszenie ochrony danych osobowych oznacza wszelkie naruszenie bezpieczeństwa prowadzące do utraty, zniszczenia, nieuprawnionego ujawnienia lub dostępu do danych osobowych przetwarzanych przez organizację. Nie ograniczamy tego pojęcia zatem wyłącznie do przypadków wycieku danych. PUODO nakładał kary także np za niezgłoszenie zablokowania serwerów z danymi w sytuacji, w której mogły być one odtworzone z kopii papierowych po upływie dłuższego czasu.
Niepowiadomienie osób o incydencie
RODO nakłada na administratora danych obowiązek poinformowania osób, których dane zostały naruszone, jeśli naruszenie to stanowi wysokie ryzyko zagrożenia dla ich praw i wolności.
Obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu powinien być wykonany bez zbędnej zwłoki. Powiadomienie powinno być przekazane osobom, których dane zostały naruszone w jasny i zrozumiały sposób. Powinno zawierać co najmniej informacje o charakterze naruszenia, rodzaju danych osobowych dotkniętych naruszeniem, prawdopodobnych skutkach i działaniach podjętych w odpowiedzi na incydent przez administratora danych.
W niektórych przypadkach powiadomienie może być zbędne, jeśli zastosowano odpowiednie środki techniczne i organizacyjne, które uniemożliwiają zidentyfikowanie osoby, której dane zostały naruszone.
Kara za brak zgłoszenia do UODO
Nie zgłoszenie naruszenia RODO lub opóźnienie w jego zgłoszeniu może skutkować nałożeniem kary finansowej przez organ nadzorczy. Ponad jedna czwarta z opublikowanych decyzji PUODO dotyczących nałożenia kary związana jest z nie udzieleniem informacji, bądź organowi nadzorczemu, bądź osobie. Przykładowo w marcu 2023 roku Prezes UODO nałożył na Prokuraturę Rejonową administracyjną karę pieniężną w wysokości 20 000 zł za niezawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych oraz niezawiadomienie osób, których dane objęto naruszeniem. Dodatkowo Prezes UODO nakazał administratorowi powiadomienie osób o zaistniałym naruszeniu.
Do Urzędu Ochrony Danych Osobowych wpłynęła zgłoszenie wskazująca na możliwość wystąpienia naruszenia ochrony danych osobowych w Prokuraturze Rejonowej. Naruszenie polegało na przekazaniu lokalnemu dziennikarzowi w ramach odpowiedzi na wniosek złożony w trybie ustawy o dostępie do informacji publicznej nie zanonimizowanej dokumentacji z zakończonego postępowania. Następnie po otrzymaniu kopii dokumentów, dziennikarz ten, opublikował je w lokalnym serwisie internetowym, anonimizując wcześniej dane osobowe.
Prokuratura Rejonowa nie zawiadomiła organu nadzorczego o naruszeniu, nie zawiadomiła także osób, których dane dotyczą. W konsekwencji organ nadzorczy wszczął z urzędu postępowanie.
W toku postępowanie Urząd Ochrony Danych Osobowych ustalił, że rezultatem udostępnienia nie zanonimizowanej dokumentacji było ujawnienie danych osobowych zawartych w jej treści osobie nieuprawnionej do ich otrzymania, a w konsekwencji powstanie naruszenia ochrony danych osobowych. Administrator nie zawiadamiając o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w rezultacie pozbawił te osoby rzetelnej informacji o naruszeniu i wskazówek co do możliwości przeciwdziałania potencjalnym szkodom. Za powyższe zaniechania Prezes UODO zdecydował się nałożyć karę administracyjną na Prokuraturę Rejonową.