Co zrobić, gdy dojdzie do naruszenia danych osobowych?

Roz­po­rzą­dze­nie Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 (dalej: „RODO”) wyma­ga od pod­mio­tów nowych dzia­łań w przy­pad­ku naru­sze­nia danych oso­bo­wych, któ­re są przez nie prze­twa­rza­ne. W niniej­szym arty­ku­le wyja­śnio­no, jakie dzia­ła­nia powin­ny zostać pod­ję­te w przy­pad­ku zaist­nie­nia sytu­acji, gdy doj­dzie do naru­sze­nia danych osobowych.

Definicje w RODO

Dany­mi oso­bo­wy­mi są wszel­kie infor­ma­cje o ziden­ty­fi­ko­wa­nej lub moż­li­wej do ziden­ty­fi­ko­wa­nia oso­bie fizycz­nej, tj. oso­bie, któ­rą moż­na ziden­ty­fi­ko­wać bądź bez­po­śred­nio lub pośred­nio (np. imię i nazwi­sko, numer Pesel, numer NIP itp.).

Prze­twa­rza­niem danych oso­bo­wych są nato­miast ope­ra­cje na danych oso­bo­wych (np. zbie­ra­nie, prze­cho­wy­wa­nie itp.).

Naru­sze­niem ochro­ny danych oso­bo­wych zgod­nie z RODO jest naru­sze­nie bez­pie­czeń­stwa, któ­re pro­wa­dzić może do m. in. znisz­cze­nia, utra­ce­nia czy zmo­dy­fi­ko­wa­nia oraz nie­upraw­nio­ne­go ujaw­nie­nia danych osobowych.

Obowiązki administratora

W sytu­acji, gdy doj­dzie do naru­sze­nia danych oso­bo­wych admi­ni­stra­tor jest zobo­wią­za­ny do:

1. powia­do­mie­nia orga­nu nadzorczego;
2. zawia­do­mie­nia oso­by, któ­rej dane zosta­ły naru­szo­ne o ich naruszeniu;
3. doku­men­to­wa­nie sytu­acji naru­sze­nia ochro­ny danych osobowych.

Powiadomienie organu nadzorczego

Pierw­szym z obo­wiąz­ków nało­żo­nych na admi­ni­stra­to­ra jest zgło­sze­nie naru­sze­nia orga­no­wi nad­zor­cze­mu, tj. Pre­ze­so­wi Urzę­du Ochro­ny Danych Oso­bo­wych. Obo­wią­zek ten nie ist­nie­je, gdy jest mało praw­do­po­dob­nym, aby naru­sze­nie takie skut­ko­wa­ło ryzy­kiem naru­sze­nia praw osób, któ­rych dane zosta­ły naru­szo­ne (np. zgu­bie­nie pendrive’a z doku­men­ta­mi zawie­ra­ją­cy­mi dane oso­bo­we, któ­re zosta­ło zabez­pie­czo­ne hasłem).

Ter­min

Zgło­sze­nie powin­no nastą­pić bez zbęd­nej zwło­ki, nie póź­niej jed­nak niż w ter­mi­nie 72 godzin od stwier­dze­nia naruszenia. 

W przy­pad­ku, gdy zgło­sze­nie nastą­pi po upły­wie wska­za­ne­go wyżej ter­mi­nu, admi­ni­stra­tor jest obo­wią­za­ny dołą­czyć do nie­go wyja­śnie­nie przy­czyn opóźnienia.

Ele­men­ty zgłoszenia

Zgło­sze­nie naru­sze­nia danych oso­bo­wych zawie­ra co najmniej:

1. opis cha­rak­te­ru naru­sze­nia (poprzez wska­za­nie m. in. kate­go­rii i przy­bli­żo­nej licz­by osób, któ­rych dane zosta­ły naru­szo­ne – np. dane 3 pra­cow­ni­ków; jak rów­nież kate­go­rie i przy­bli­żo­ną licz­bę wpi­sów danych, któ­rych doty­czy naru­sze­nie – np. dane adresowe);
2. dane oso­by do kon­tak­tu (w przy­pad­ku powo­ła­nia inspek­to­ra ochro­ny danych oso­bo­wych – dane inspektora);
3. opis moż­li­wych kon­se­kwen­cji naru­sze­nia ochro­ny danych osobowych;
4. opis środ­ków zasto­so­wa­nych bądź pro­po­no­wa­nych do zasto­so­wa­nia w celu zara­dze­nia naru­sze­niu ochro­ny danych oso­bo­wych, w tym celem zmi­ni­ma­li­zo­wa­nia nega­tyw­nych skut­ków naruszenia.

Zawiadomienie osoby

Dru­gim z obo­wiąz­ków nało­żo­nych na admi­ni­stra­to­rów jest zawia­do­mie­nie osób, któ­rych dane oso­bo­we zosta­ły naru­szo­ne o takim naru­sze­niu. Nie jest to jed­nak zasa­dą. Obo­wią­zek taki będzie ist­niał zawsze, gdy naru­sze­nie może powo­do­wać wyso­kie ryzy­ko naru­sze­nia praw bądź wol­no­ści tej oso­by fizycz­nej. Ter­min „wyso­kie ryzy­ko naru­sze­nia” jest ter­mi­nem nie­do­okre­ślo­nym, zatem to admi­ni­stra­tor będzie musiał oce­nić, czy w przy­pad­ku naru­sze­nia takie wyso­kie ryzy­ko wystąpi.

Zawia­do­mie­nie nie jest wyma­ga­ne, gdy:

1. zosta­ły wdro­żo­ne środ­ki tech­nicz­ne oraz orga­ni­za­cyj­ne środ­ki ochro­ny (np. szyfrowanie);
2. zasto­so­wa­no środ­ki eli­mi­nu­ją­ce praw­do­po­do­bień­stwo wyso­kie­go ryzy­ka naru­sze­nia praw osób;
3. wyma­ga­ło­by to nie­współ­mier­nie duże­go wysił­ku – nale­ży wydać publicz­ny komunikat.

Zawia­do­mie­nie win­no nastę­po­wać pro­stym i jasnym języ­kiem oraz zawierać:

1. dane oso­by do kontaktu;
2. opis moż­li­wych kon­se­kwen­cji naru­sze­nia ochro­ny danych osobowych;
3. opis środ­ków zasto­so­wa­nych bądź pro­po­no­wa­nych do zasto­so­wa­nia w celu zara­dze­nia naru­sze­niu ochro­ny danych oso­bo­wych, w tym celem zmi­ni­ma­li­zo­wa­nia nega­tyw­nych skut­ków naruszenia.

Zawia­do­mie­nia doko­nu­je się bez zbęd­nej zwłoki.

Obowiązek dokumentacyjny

Admi­ni­stra­tor obo­wią­za­ny jest do doku­men­to­wa­nia wszel­kich naru­szeń ochro­ny danych oso­bo­wych. Doku­men­ta­cja ta powin­na zawie­rać m. in.  oko­licz­no­ści naru­sze­nia ochro­ny danych oso­bo­wych, jego skut­ki oraz pod­ję­te działania.

Podsumowanie

Pod­su­mo­wu­jąc, naru­sze­niem ochro­ny danych oso­bo­wych jest naru­sze­nie bez­pie­czeń­stwa. W takiej sytu­acji na admi­ni­stra­to­rze spo­czy­wa sze­reg obo­wiąz­ków, a w tym m. in. obo­wią­zek powia­do­mie­nia orga­nu nad­zor­cze­go czy zawia­do­mie­nia oso­by, któ­rej dane zosta­ły naru­szo­ne. Nie każ­dy z tych obo­wiąz­ków wystą­pi zawsze, zatem za każ­dym razem nale­ży mieć na uwa­dze wszel­kie oko­licz­no­ści zwią­za­ne z naru­sze­niem celem unik­nię­cia wyso­kich kar administracyjnych.

Powrót do spe­cja­li­za­cji — Szko­le­nie RODO