Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Naruszenie ochrony danych osobowych – obowiązki administratora

Naruszenie ochrony danych osobowych – obowiązki administratora

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Naruszenie ochrony danych osobowych rodzi po stronie administratora określone obowiązki wynikające z RODO. Niewykonanie lub nienależyte ich wykonanie może stanowić naruszenie RODO – warto więc wiedzieć, co i w jakich terminach trzeba zrobić, by nie narazić się na dodatkowe, negatywne konsekwencje. Z poniższego artykułu dowiesz się więcej o obowiązkach administratora w razie stwierdzenia naruszenia RODO!

Naruszenie ochrony danych osobowych – czym jest?

Przez naruszenie ochrony danych osobowych RODO rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Naruszenie ochrony danych osobowych może być zatem dokonane poprzez:

  • naruszenie poufności;
  • naruszenie integralności;
  • naruszenie dostępności.

Przykład

W jaki sposób można dokonać naruszenia ochrony danych osobowych w postaci naruszenia dostępności?

Chodzi w tym wypadku o takie zdarzenia, jak przypadkowe usunięcie danych osobowych lub utrata możliwości odszyfrowania zaszyfrowanych danych osobowych, jeżeli stanowi ryzyko dla praw i wolności podmiotów danych. Warto mieć na uwadze, że również przejściowa utrata dostępności może być uznana za naruszenie ochrony danych osobowych.

Obowiązek zgłaszania naruszeń

Zgodnie z motywami RODO przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Stąd też RODO przewiduje, że po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki: jeżeli to wykonalne, nie później niż 72 godziny po zauważeniu naruszenia.

Administrator może nie dokonywać zgłoszenia, jeżeli jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Jeżeli nie można dokonać zgłoszenia w ciągu 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

W jednej z decyzji Prezes UODO podkreślił, że: „Obowiązek powiadomienia organu nadzorczego o naruszeniu i termin jego przekazania wiąże się z momentem, w którym administrator „stwierdzi” naruszenie ochrony danych osobowych. Administrator stwierdza naruszenie w momencie, w którym uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych. Należy jednak tę kwestię rozpatrywać względem obowiązku administratora utrzymania zdolności do szybkiego i skutecznego stwierdzania wystąpienia wszelkich naruszeń, aby zapewnić możliwość podjęcia stosownych działań. W niektórych przypadkach ustalenie, czy doszło do ujawnienia danych osobowych, może wymagać czasu” [Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 9 grudnia 2021 roku, DKN.5130.2559.2020].

Zgłoszenie naruszenia ochrony danych osobowych musi w szczególności:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli wymaganych informacji nie da się udzielić w tym samym czasie, można to zrobić sukcesywnie bez zbędnej zwłoki.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania przepisów RODO.

Zawiadomienie o naruszeniu osoby, której dane dotyczą

Zgodnie z motywami RODO administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia jej praw lub wolności, tak aby umożliwić jej podjęcie niezbędnych działań zapobiegawczych.

Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej w kwestii minimalizacji potencjalnych niekorzystnych skutków.

Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania.

Zawiadomienie osoby, której dane dotyczą, powinno zostać sporządzone jasnym i prostym językiem i opisywać charakter naruszenia ochrony danych osobowych.

Zawiadomienie nie jest jednak wymagane w następujących przypadkach:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa wyżej;
  • wymagałoby ono niewspółmiernie dużego wysiłku, przy czym w takiej sytuacji wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Warto zwrócić uwagę, że w jednej z decyzji Prezes UODO podkreślił, iż obowiązek zgłoszenia naruszenia podmiotowi danych:

„[...] ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw i wolności podmiotów danych, ale także realizację zasady przejrzystości [...]. Właściwe wywiązanie się z obowiązku określonego w tym przepisie ma zapewnić osobie, której dane dotyczą – szybko i w sposób przejrzysty – informację o naruszeniu ochrony jej danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które może ona podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępujący zgodnie z prawem i wykazujący dbałość zarówno o bezpieczeństwo [...] administrator powinien zatem bez zbędnej zwłoki zapewnić osobie, której dane dotyczą, możliwość jak najlepszej ochrony jej praw i wolności wystawionych na ryzyko wynikające z naruszenia ochrony danych osobowych. Dla osiągnięcia tego celu konieczne jest przynajmniej wskazanie m.in. tych informacji, które wymienione są w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c i d RODO” [Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 20 listopada 2018 roku, ZWAD.405.25.2018].

Konsekwencje naruszenia ochrony danych osobowych

Motywy RODO zwracają uwagę na fakt, że administrator powinien się upewnić, że wdrożył wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą.

Zgodnie z RODO to, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności:

  • charakteru i wagi naruszenia ochrony danych osobowych;
  • jego konsekwencji;
  • niekorzystnych skutków dla osoby, której dane dotyczą.

Takie zawiadomienie może skutkować interwencją organu nadzorczego zgodnie z jego zadaniami i uprawnieniami określonymi w przywołanym rozporządzeniu.

Jeśli administrator nie zawiadomi osób, których dane dotyczą, o naruszeniu ochrony danych osobowych lub nie zgłosi tego faktu organowi nadzorczemu, organ nadzorczy może nałożyć sankcje na administratora, w tym ma prawo zastosować względem niego administracyjną karę pieniężną.

Polecamy:

Struktura faktury elektronicznej - zmiany od 1 września 2023 roku

Przetwarzanie danych osobowych w usługach online -...
Ujawnienie umowy przez przedsiębiorcę - jakie groż...
Kwiecień 2024
27
Sobota
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. Profil zaufany a podpis elektroniczny. Czym się różnią?
  5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Akt o Usługach Cyfrowych jako pomoc w ochronie danych w sieci

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

KSeF, VIDA, akcyza, VAT tematami 8. Kongresu Podatkowego Lewiatan
semKRK#22 BIG - marketing internetowy
Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów