Blog

20 06/2018
Kategoria:

Wszystko co musisz wiedzieć o naruszeniach ochrony danych osobowych wg RODO (infografika)

72 godziny – maksymalnie tyle, zgodnie z RODO, ma Administrator Danych Osobowych, by zgłosić do UODO naruszenie bezpieczeństwa danych osobowych, czyli przypadkowego lub niezgodnego z prawem zakłócenia ochrony danych osobowych.  Co będzie naruszeniem, które należy zgłosić PUODO, a które nie będzie tego wymagać? Jak unikać naruszeń, by nie myśleć o karach? A finalnie, jak – jeśli się pojawią – zgłosić je do Urzędu Ochrony Danych Osobowych?

Co to jest naruszenie ochrony danych osobowych?

Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Kiedy mówimy o naruszeniu?

Według RODO, naruszenie:

  1. Dotyczy danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot,
  2. Skutkować będzie zniszczeniem, utratą, modyfikacją, ujawnieniem (nieuprawnionym) lub nieuprawnionym dostępem do danych,
  3. Wynika ze złamania zasad bezpieczeństwa danych.

3 typy naruszenia ochrony danych osobowych

Rozporządzenie dzieli naruszenia na trzy typy, w zależności od wykonanej akcji. Wyróżnić możemy naruszenie:

  1. Poufności – ujawnienie danych osobowych nieuprawnionej osobie.
  2. Dostępności – trwała utrata lub zniszczenie danych osobowych.
  3. Integralności – nieautoryzowana zmiana treści danych osobowych.

Przykładowe naruszenia ochrony danych osobowych

Definicje definicjami, jednak próbując zrozumieć temat naruszeń ochrony danych osobowych, najlepiej posłużyć się przykładami.

Do naruszenia ochrony danych osobowych dojdzie w następujących (i nie tylko) sytuacjach:

  1. Przypadkowy transfer danych osobowych do niewłaściwego działu w obrębie firmy;
  2. Utrata nośnika, np. pendrive, karty pamięci, dysku przenośnego, na którym składowane byłyby dane osobowe;
  3. Przypadkowe usunięcie (bezpowrotne) danych osobowych ze zbioru;
  4. Celowe lub przypadkowe dopisanie znaków przy danych osobowych (imieniu, nazwisku), zmieniające ich brzmienie;
  5. Przy odsprzedaży komputera, niewystarczające „wyczyszczenie” dysku z zawartości, w tym danych osobowych;
  6. Utrata dostępu do danych osobowych spowodowana brakiem prądu.

 

naruszenia-danych-osobowych

 

Do czego może doprowadzić naruszenie ochrony danych osobowych?

W wyniku sytuacji takich jak wymienione powyżej, może dojść do wielu bolesnych skutków wobec podmiotów, których dotyczy naruszenie – szkód majątkowych i niemajątkowych, a nawet uszczerbku fizycznego. Przykładowe skutki naruszenia to:

  • dyskryminacja,
  • strata finansowa,
  • naruszenie reputacji,
  • oszustwo,
  • kradzież tożsamości.

Co należy zrobić z naruszeniem?

W sytuacji, gdy Administrator Danych Osobowych stwierdzi naruszenie danych osobowych lub wykryje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, musi powiadomić o tym osoby, których naruszenia dotyczą. RODO wymaga, by zrobił to bez zbędnej zwłoki, dlatego też organizacje powinny mieć opracowany schemat powiadomień w przypadku naruszeń.

Powiadomienie osób, których naruszenie dotyczy to dopiero połowa „sukcesu”. Poza tym, o naruszeniu należy powiadomić organ nadzorczy, również bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin. Jeśli powyższy czas zostanie przekroczony, poza zgłoszeniem naruszenia, należy wytłumaczyć dlaczego doszło do opóźnienia.

Zawiadomienie osoby, której dotyczy naruszenie

Jak wspomnieliśmy wyżej, Administrator Danych Osobowych, w momencie gdy stwierdzi naruszenie danych osobowych lub wykryje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, bez zbędnej zwłoki, musi o tym powiadomić osoby, których dotyczy naruszenie.

Jak powinno wyglądać takie zawiadomienie? Spróbujmy je skonkretyzować:

  • zawiadomienie powinno uświadomić osobom fizycznym, że ochrona ich danych osobowych została naruszona,
  • w trakcie informowania o naruszeniu, należy poinstruować, jakie kroki powinny podjąć, by zabezpieczyć się przed negatywnymi skutkami naruszenia,
  • tworząc treść zawiadomienia, należy używać języka prostego i jasnego, zrozumiałego dla odbiorcy,
  • w treści zawiadomienia należy opisać charakter naruszenia i wskazać jego konsekwencje, a także opisać zastosowane lub proponowane środki zaradcze,
  • zawiadomienie powinno zawierać informacje o Inspektorze Ochrony Danych w organizacji (imię i nazwisko, dane kontaktowe) lub innego punktu kontaktowego, który udzieli więcej informacji o naruszeniu.

 

zglaszanie-naruszenia-uodo

 

Czy zawsze należy powiadamiać osoby o wykrytym naruszeniu?

Istnieją trzy sytuacje, w przypadku których nie ma obowiązku informowania osób o wykrytym naruszeniu dotyczącym ich danych osobowych. Będą to:

  1. Administrator wdrożył  i zastosował właściwe (techniczne i organizacyjne) środki ochrony.
  2. Administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia lub wolności osoby.
  3. Poinformowanie o naruszeniu wymagałoby niewspółmiernie dużego wysiłku. W takiej sytuacji wystarczy publiczny komunikat – należy jednak pamiętać, by był wystosowany „w równie skuteczny sposób”.

Czym skutkuje niewywiązanie się z obowiązku informacyjnego?

Wspomnieliśmy wcześniej, że warto mieć opracowany gotowy schemat informacyjny. Co, jeśli takiego nie wdrożymy? Niestety, musimy liczyć się z możliwością nałożenia na naszą organizację kary.

Niepoinformowanie osób o naruszeniu danych osobowych, które ich dotyczą, poinformowanie ich zbyt późno lub w niewłaściwy sposób, może wiązać się z obowiązkiem zapłaty kary wynoszącej maksymalnie 10 mln euro lub 2% rocznego światowego obrotu (poprzedni rok).

 

naruszenia-kary-rodo

 

Zgłoszenie o naruszeniu Prezesa UODO – co powinno zawierać?

Według art. 33 ust. 3 RODO, w zgłoszeniu naruszenia Administrator powinien zawrzeć takie informacje jak:

  • Opis charakteru naruszenia ochrony danych osobowych (kategorię + przybliżoną liczbę osób, których dane dotyczą; kategorię + przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie),
  • Imię i nazwisko oraz dane kontaktowe IOD-a lub innego punktu kontaktowego,
  • Opis ewentualnych konsekwencji naruszenia,
  • Środki (proponowane lub zastosowane), dzięki którym zaradzi naruszeniu lub zminimalizuje jego ewentualne skutki.

Zgłoszenie o naruszeniu Prezesa UODO – jak to zrobić?

Zgodnie z wcześniejszą informacją, administrator musi powiadomić UODO o naruszeniu najszybciej jest to możliwe – bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia.

W tym celu musi wypełnić formularz dostępny w TYM MIEJSCU i załączyć go do pisma ogólnego, które znaleźć można na platformie biznes.gov.pl.

Czy zawsze należy powiadamiać Prezesa UODO o naruszeniu?

By poznać odpowiedź na to pytanie, niezbędne będzie wykonanie analizy pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Badanie to pozwoli administratorowi zorientować się, czy takie ryzyko występuje – to od tego zależeć będzie, czy wykryte naruszenie będzie musiał zgłosić do UODO.

Jeśli wynik analizy ryzyka pokaże, że nie istnieje prawdopodobieństwo wykrycia naruszenia praw i wolności osób fizycznych, administrator nie będzie musiał powiadomić o naruszeniu Prezesa UODO.

 

ewidencja-naruszen-rodo

 

Czy naruszenia trzeba ewidencjonować?

Tak, każde naruszenie – zgodnie z art. 33 ust. 5 RODO – należy ewidencjonować. Administrator, prowadząc wewnętrzną ewidencję naruszeń, musi rejestrować naruszenia ochrony danych osobowych, które zgłosił do UODO, ale również te, które nie podlegały zgłoszeniu, czyli nie zachodziło w ich przypadku ryzyko wykrycia naruszenia praw i wolności osób fizycznych.

Jak unikać naruszenia?

Niestety, RODO nie mówi wprost, jak unikać naruszenia ochrony danych osobowych w organizacji. Dlaczego? To bardzo proste. Każda firma to inne dane, różne sytuacje, mechanizmy. Dlatego to po stronie administratorów leży konieczność zastosowania WŁAŚCIWYCH środków technicznych i organizacyjnych, odpowiednich do rodzaju przetwarzanych danych, branży etc.

Poza koniecznością wymaganą przez wytyczne RODO, pomocnym z minimalizacji ryzyka wystąpienia naruszeń będzie system informatyczny, które pomoże administratorowi sprawować władzę nad wszystkimi procesami zachodzącymi w organizacji. Poznaj rozwiązanie RODO-Ready, którego głównym zadaniem jest wsparcie w przygotowaniu organizacji, by spełniała wytyczne Rozporządzenia. To nie tylko rozwiązanie informatyczne, ale również zestaw dokumentów, których wymaga RODO.

 

naruszenie-ochrony-danych-osobowych-infografika

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. więcej informacji

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close