Poradnik Przedsiębiorcy

Zgłoszenie o naruszeniach RODO - procedura składania zgłoszenia

Ktoś zaciągnął kredyt w Twoim imieniu, a może oszukał bliską Ci osobę metodą „na wnuczka”? By zapobiec takim zdarzeniom w Polsce, w 2018 roku wprowadzono nową ustawę o ochronie danych osobowych RODO. Przeczytaj, jak prawo definiuje naruszenie tej ustawy i jak złożyć zgłoszenie o naruszeniach RODO.

Zgłoszenie o naruszeniach RODO – definicja naruszenia

Naruszeniem danych osobowych zgodnie z definicją RODO jest naruszenie bezpieczeństwa danych, które prowadzi do niezgodnego z prawem lub przypadkowego:

  • utracenia,
  • zniszczenia,
  • nieuprawnionego ujawnienia,
  • zmodyfikowania,
  • nieuprawnionego dostępu do danych osobowych.

Naruszenia RODO mogą być nieumyślne lub umyślne i prowadzą do naruszenia poufności, dostępności i integralności danych osobowych. Wynika z tego, że naruszeniem RODO nie będzie każdy incydent bezpieczeństwa informacji, lecz tylko ten, który wiąże się z naruszeniem dostępności, poufności i integralności danych i wywrze niekorzystny wpływ na osobę, której dane dotyczą – w takich sytuacjach zgłoszenie o naruszeniach RODO powinno zostać wysłane do Prezesa UODO.

Najczęstszymi umyślnymi naruszeniami poufności są ataki hakerskie np. na sklepy internetowe, banki, firmy kurierskie, operatorów telekomunikacyjnych. Jeśli chodzi o nieumyślne naruszenia, to UODO w 2019 r. otrzymał zgłoszenia o naruszeniach RODO poprzez masową wysyłkę korespondencji drogą elektroniczną bez wybrania opcji ukrycia adresów, a w taki sposób, by pojedynczy adresaci nie wiedzieli adresów pozostałych osób, do których była kierowana wiadomość. Częstymi naruszeniami było także udostępnianie w Internecie nazwisk, imion, numerów PESEL, nagrywanie przebiegu wizyt lekarskich bez zgody pacjentów, pozostawienie w widocznym miejscu dokumentów zawierających dane klientów.

Kto zajmuje się zgłoszeniem naruszeń?

Zgłoszenia o naruszeniach RODO to zadanie administratorów danych, którzy stwierdzą, że doszło do incydentu naruszającego bezpieczeństwo danych lub że pojawiło się ryzyko naruszenia praw i wolności podmiotów danych. Administrator sporządza zgłoszenie do Prezesa UODO, zanim jednak to zrobi, musi sprawdzić, czy dane, które stały się przedmiotem naruszenia, należą do niego, czy zostały mu jedynie powierzone do przetwarzania.

Podsumowując, zgodnie z art. 33 RODO podmioty przetwarzające zawiadamiają o zdarzeniu właściwego administratora, a ten bada okoliczności naruszenia i składa zgłoszenie o naruszeniach RODO do Prezesa UODO. Co więcej, wszyscy administratorzy powinni prowadzić tzw. rejestr incydentów, który zawiera wszystkie informacje o incydencie np. termin, okoliczności wystąpienia, oszacowanie ryzyka złamania prawa, podjęte działania naprawcze. W rejestrze muszą znaleźć się wszystkie incydenty, nie tylko te, które wymagały zgłoszenia do UODO.

Na zgłoszenie art. 33 RODO przewiduje jedynie 72 godziny od momentu stwierdzenia naruszenia do wysłania zgłoszenia. Przyjmuje się, że podmiot przetwarzający powinien poinformować administratora o naruszeniu w ciągu 24 godzin, dzięki temu administrator ma 48 godzin na przeanalizowanie przypadku i wysłanie zgłoszenia. Najszybszą metodą wysłania zgłoszenia, jest skorzystanie z formularza dostępnego na stronie UODO i wysłanie go za pośrednictwem platformy biznes.gov.pl lub ePUAP.