Top 7 najczęstszych błędów przy zgłaszaniu i obsłudze naruszeń ochrony danych osobowych

Rozporządzenie RODO nakłada na przedsiębiorców między innymi obowiązek zgłoszenia naruszenia ochrony danych osobowych. Na wstępie zastanowić się można co to jest naruszenie ochrony danych osobowych? Zgodnie z rozporządzeniem RODO naruszenie ochrony danych osobowych to nic innego jak naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Co zrobić w przypadku naruszenia ochrony danych osobowych? Przede wszystkim należy oszacować ryzyko naruszenia praw i wolności osób, których dane dotyczą biorąc pod uwagę m.in. zakres danych ujawnionych osobie nieuprawnionej do ich otrzymania oraz skalę incydentu. W kolejnym kroku, jeśli poziom ryzyka wymaga zgłoszenia incydentu do  do Prezesa Urzędu Ochrony Danych Osobowych (UODO), należy w odpowiedni sposób zgłosić naruszenie.

Zgłoszenie i obsługa naruszeń ochrony danych osobowych – najczęstsze błędy

• Problemy z określeniem daty stwierdzenia naruszenia

Zgodnie z RODO przedsiębiorca ma 72 godziny na zgłoszenie naruszenia ochrony danych osobowych od momentu jego stwierdzenia. Zaznaczyć należy, że stwierdzenie naruszenia nie zawsze jest tożsame z wykryciem naruszenia. W pierwszej kolejności należy dokonać analizy zdarzenia, a następnie podjąć decyzję co do dalszych kroków postępowania. 

• Niewłaściwe wskazywanie charakteru naruszenia

W zgłoszeniu należy konkretnie wskazać czy doszło do naruszenia poufności, dostępności i integralności danych. Jaka jest różnica pomiędzy naruszeniem poufności, dostępności i integralności danych? Naruszenie poufności to ujawnienie nieuprawnionej osobie danych. Naruszenie dostępności to czasowe lub trwałe utracenie danych. Naruszenie integralności to nieautoryzowana zmiana treści danych.

• Niewłaściwe oszacowanie prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą

W przypadku, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, oprócz zgłoszenia naruszenia organowi nadzorczemu, administrator o takim naruszeniu zawiadamia również osobę, której dane dotyczą. Stąd też ważne jest właściwe oszacowanie prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą.

• Niepoprawne poinformowanie osób, których dane dotyczą o zaistniałym naruszeniu

Informacja o zaistniałym naruszeniu skierowana do osób, których dane dotyczą powinna zawierać wszystkie wymagane przez rozporządzenie RODO elementy:

• wskazanie charakteru naruszenia,
• wskazanie imienia, nazwiska i danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,
• opis możliwych konsekwencji naruszenia ochrony danych osobowych,
• opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków zastosowanych w celu minimalizacji ewentualnych negatywnych skutków naruszenia. 

 

• Pobieżne wskazywanie możliwych konsekwencji dla osób, których dane dotyczą

W informacji o zaistniałym naruszeniu skierowanej do osób, których dane dotyczą, należy opisać możliwe konsekwencje naruszenia ochrony danych osobowych. W opisie należy unikać ogólnego stwierdzenia, że skutkiem naruszenia mogła być strata finansowa czy utrata poufności danych. Konsekwencje powinny zostać sformułowane w sposób precyzyjny i zrozumiały dla odbiorcy z uwzględnieniem praktycznego podejścia.

• Brak faktycznego przeprowadzenia deklarowanych w zgłoszeniu środków mających zminimalizować ryzyko ponownego wystąpienia naruszenia

Administrator dokonując zgłoszenia naruszenia do Prezesa UODO na formularzu naruszenia w rubryce 9D powinien wskazać środki bezpieczeństwa zastosowane lub proponowane w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

• Brak dokładnego opisu naruszenia

Opis naruszenia ochrony danych osobowych powinien być kompletny i zawierać jak najbardziej szczegółowy opis zdarzenia i okoliczności naruszenia. Usprawni to działanie UODO, który nie będzie musiał podejmować dodatkowych czynności wyjaśniających i prowadzenia z administratorem dalszej korespondencji w sprawie naruszenia.