Rozporządzenie RODO nakłada na przedsiębiorców między innymi obowiązek zgłoszenia naruszenia ochrony danych osobowych. Na wstępie zastanowić się można co to jest naruszenie ochrony danych osobowych? Zgodnie z rozporządzeniem RODO naruszenie ochrony danych osobowych to nic innego jak naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Co zrobić w przypadku naruszenia ochrony danych osobowych? Przede wszystkim należy oszacować ryzyko naruszenia praw i wolności osób, których dane dotyczą biorąc pod uwagę m.in. zakres danych ujawnionych osobie nieuprawnionej do ich otrzymania oraz skalę incydentu. W kolejnym kroku, jeśli poziom ryzyka wymaga zgłoszenia incydentu do do Prezesa Urzędu Ochrony Danych Osobowych (UODO), należy w odpowiedni sposób zgłosić naruszenie.
Sprawdź jak wdrożyć RODO w twojej organizacji
Zgłoszenie i obsługa naruszeń ochrony danych osobowych – najczęstsze błędy
-
Problemy z określeniem daty stwierdzenia naruszenia
Zgodnie z RODO przedsiębiorca ma 72 godziny na zgłoszenie naruszenia ochrony danych osobowych od momentu jego stwierdzenia. Zaznaczyć należy, że stwierdzenie naruszenia nie zawsze jest tożsame z wykryciem naruszenia. W pierwszej kolejności należy dokonać analizy zdarzenia, a następnie podjąć decyzję co do dalszych kroków postępowania.
-
Niewłaściwe wskazywanie charakteru naruszenia
W zgłoszeniu należy konkretnie wskazać czy doszło do naruszenia poufności, dostępności i integralności danych. Jaka jest różnica pomiędzy naruszeniem poufności, dostępności i integralności danych? Naruszenie poufności to ujawnienie nieuprawnionej osobie danych. Naruszenie dostępności to czasowe lub trwałe utracenie danych. Naruszenie integralności to nieautoryzowana zmiana treści danych.
-
Niewłaściwe oszacowanie prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą
W przypadku, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, oprócz zgłoszenia naruszenia organowi nadzorczemu, administrator o takim naruszeniu zawiadamia również osobę, której dane dotyczą. Stąd też ważne jest właściwe oszacowanie prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą.
-
Niepoprawne poinformowanie osób, których dane dotyczą o zaistniałym naruszeniu
Informacja o zaistniałym naruszeniu skierowana do osób, których dane dotyczą powinna zawierać wszystkie wymagane przez rozporządzenie RODO elementy:
- wskazanie charakteru naruszenia,
- wskazanie imienia, nazwiska i danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,
- opis możliwych konsekwencji naruszenia ochrony danych osobowych,
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków zastosowanych w celu minimalizacji ewentualnych negatywnych skutków naruszenia.
-
Pobieżne wskazywanie możliwych konsekwencji dla osób, których dane dotyczą
W informacji o zaistniałym naruszeniu skierowanej do osób, których dane dotyczą, należy opisać możliwe konsekwencje naruszenia ochrony danych osobowych. W opisie należy unikać ogólnego stwierdzenia, że skutkiem naruszenia mogła być strata finansowa czy utrata poufności danych. Konsekwencje powinny zostać sformułowane w sposób precyzyjny i zrozumiały dla odbiorcy z uwzględnieniem praktycznego podejścia.
-
Brak faktycznego przeprowadzenia deklarowanych w zgłoszeniu środków mających zminimalizować ryzyko ponownego wystąpienia naruszenia
Administrator dokonując zgłoszenia naruszenia do Prezesa UODO na formularzu naruszenia w rubryce 9D powinien wskazać środki bezpieczeństwa zastosowane lub proponowane w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.
-
Brak dokładnego opisu naruszenia
Opis naruszenia ochrony danych osobowych powinien być kompletny i zawierać jak najbardziej szczegółowy opis zdarzenia i okoliczności naruszenia. Usprawni to działanie UODO, który nie będzie musiał podejmować dodatkowych czynności wyjaśniających i prowadzenia z administratorem dalszej korespondencji w sprawie naruszenia.