Jak wygląda zgłoszenie naruszenia danych osobowych?
W przypadku naruszenia ochrony danych osobowych administrator danych zobowiązany jest do zgłoszenia takiego incydentu do Prezesa Urzędu Ochrony Danych Osobowych ( UODO). Jak dokonać takiego zgłoszenia?
Incydent RODO. Naruszenie ochrony danych osobowych
Najpierw wyjaśnijmy, kiedy dochodzi do naruszenia danych osobowych. Taki incydent RODO opisuje na podstawie trzech przesłanek:
- naruszenie musi tyczyć się danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot ( firmę/instytucję) którego dotyczy naruszenie;
- takie naruszenia skutkuje zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnienie lub nieuprawnionym dostępem do danych osobowych;
- do naruszenia doszło z powodu złamania zasad bezpieczeństwa danych.
Co powinien zrobić administrator danych?
Taki incydent RODO nakazuje zgłosić do organu nadzorczego, czyli w Polsce do Prezesa Urzędu Ochrony Danych Osobowych.
Wynika to zapisów RODO:
Art. 33 ust. 1 RODO „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (…)”
Jednak nie każde naruszenie danych osobowych podlega obowiązkowi zgłoszenia do organu nadzorczego. Administrator danych nie ma obowiązku zgłaszania wszystkich incydentów, RODO w tym samym artykule stwierdza, że nie ma potrzeby zgłaszać naruszeń co do których:
„jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.”
Jako przykłady naruszeń, które nie podlegają obowiązkowi zgłoszenia do organu nadzorczego można wymienić:
- utrata zaszyfrowanego zewnętrznego nośnika informacji
- ujawnienie danych, które są już i tak dostępne w publicznych rejestrach
Koordynator ds ochrony danych osobowych w firmie musi ocenić jak istotne jest naruszenie, do którego doszło. Jeżeli naruszono dane osobowe szczególnie wrażliwe z pewnością całą rzecz trzeba zgłosić. Natomiast, jeżeli incydent jest niewielkiej wagi, to nie ma konieczności zgłaszania tego do organu nadzorującego i wystarczy odnotowanie całej sytuacji w wewnętrznym rejestrze.
Wiodący organ nadzorczy
Jeśli do naruszenia ochrony danych osobowych doszło w ramach działalności prowadzonej w różnych państwach UE lub dotyczy danych osób z różnych krajów UE, koniecznym będzie ustalenie tzw. wiodącego organu nadzorczego.
Incydent RODO. Zgłoszenie do UODO
Instytucją w Polsce, do której administrator danych jest zobowiązany zgłosić naruszenie danych jest Urząd Ochrony Danych Osobowych.
Zgłoszenie tego typu wypadków można zrobić na 4 sposoby:
- elektronicznie poprzez wypełnienie specjalnego formularza elektronicznego dostępnego na stronie biznes.gov.pl
- elektronicznie, poprzez wysłanie wypełnionego formularza zgłoszeniowego na skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
- wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na portalu biznes.gov.pl
- tradycyjną pocztą.
Tempo działania
Kiedy już dojdzie do naruszenia ochrony danych osobowych, to najważniejsze jest tempo, w jakim podjęte zostaną czynności przeciwdziałające. Zarówno jeżeli chodzi o zgłoszenie zajścia do organu nadzorczego, jak i wobec osoby, której dane zostały naruszone.