Z przetwarzaniem danych osobowych styka się niemal każde przedsiębiorstwo. Dlatego też zawsze istnieje ryzyko, że może dojść do naruszenia ochrony danych osobowych. Warto wiedzieć jakie wówczas kroki należy podjąć, aby nie narazić się na negatywne konsekwencje.
Naruszenie ochrony danych osobowych – co oznacza?
W pierwszej kolejności należy odpowiedzieć na pytanie co kryje się pod pojęciem naruszenia danych osobowych. Definicję tego pojęcia możemy znaleźć w art. 4 pkt 12 RODO. Zgodnie z tym przepisem naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Z powyższej definicji wynika zatem, że aby mieć do czynienia z naruszeniem ochrony danych osobowych muszą zostać spełnione poniższe przesłanki:
- naruszenie musi dotyczyć danych osobowych;
- skutkiem naruszenia jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
- naruszenie jest skutkiem złamania zasad ochrony bądź bezpieczeństwa danych.
Przykładowo więc o naruszeniu ochrony danych osobowych będziemy mówić w sytuacji, gdy utracimy nośnik, na którym były składowane dane osobowe, usuniemy bezpowrotnie dane, utracimy dostęp do danych osobowych wskutek braku prądu czy też prześlemy dane do niepożądanej, niewłaściwej osoby.
Naruszenie ochrony danych osobowych i co dalej?
Jeżeli administrator danych osobowych stwierdzi ich naruszenie zazwyczaj musi powiadomić o organ nadzorczy oraz osoby, których naruszenie dotyczy. Jak szybko musi on dokonać powiadomienia? Zgodnie z przepisami RODO osobę, której naruszenie dotyczy powinien powiadomić bez zbędnej zwłoki. Dodać należy, że treść zawiadomienia powinna być napisana prostym i zrozumiałym językiem, tak aby uświadamiała ona danej osobie, że ochrona jej danych osobowych została naruszona i jakie mogą być skutki tego zdarzenia.
Zgłoszenie naruszenia RODO organowi nadzorczemu powinno nastąpić bez zbędnej zwłoki, nie później jednak niż w terminie 72 godzin od stwierdzenia naruszenia. Warto zauważyć, że 72 godziny są liczone od momentu wykrycia incydentu, zatem do samego naruszenia mogło dojść wcześniej.
Gdzie i jak zgłosić naruszenie ochrony danych osobowych?
Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO). Zgłoszenia można dokonać w sposób tradycyjny tj. listem na adres Urzędu Ochrony Danych Osobowych przesłać wypełniony formularz dotyczący naruszenia. Można także zgłosić naruszenie online, tj. elektronicznie poprzez:
- wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl
- wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP;
- wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl
Czy zawsze należy powiadamiać Prezesa UODO o naruszeniu?
Nie w każdym przypadku naruszenie ochrony danych administrator musi zgłaszać organowi nadzorczemu. Zgłoszenia nie trzeba dokonywać, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. A zatem administrator musi dokonać analizy ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli wskutek dokonanej analizy dojdzie do wniosku, że istnieje jedynie niskie ryzyko i prawdopodobieństwo naruszenia praw i wolności osób fizycznych, to nie musi powiadamiać o incydencie Prezesa UODO. W razie wątpliwości, czy dany przypadek należy zgłosić, lepiej jest podjąć działania w celu dokonania zgłoszenia. W każdym wypadku, w którym nie zgłaszamy naruszenia, trzeba wiedzieć, dlaczego mówimy o takim małym prawdopodobieństwie naruszenia – i być w stanie wykazać to w przypadku ewentualnej kontroli
Pamiętać należy, że zgodnie z przepisami RODO administrator ma obowiązek dokumentować wszelkie naruszenia ochrony danych osobowych (zgłaszane do UODO jak też nie), w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na zweryfikowanie przestrzegania przepisów.
Na koniec warto wspomnieć, że zgłoszenia naruszeń ochrony danych osobowych są potrzebne organom nadzorczym, aby ustalić skalę i przyczyny naruszenia, a także aby posiadać aktualne informacje o danym incydencie. Nie zawsze zgłoszenie naruszenia ochrony danych wiąże się z kontrolą organu nadzorczego. Zasadniczo do kontroli dojdzie przy wyjątkowo poważnych naruszeniach.