Jak wygląda zgłoszenie naruszenia danych osobowych?

W przypadku naruszenia ochrony danych osobowych administrator danych zobowiązany jest do zgłoszenia takiego incydentu do Prezesa Urzędu Ochrony Danych Osobowych ( UODO). Jak dokonać takiego zgłoszenia?

Naruszenie ochrony danych osobowych

Najpierw wyjaśnijmy, kiedy dochodzi do naruszenia danych osobowych. Taki incydent RODO opisuje na podstawie trzech przesłanek:

  • naruszenie musi tyczyć się danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot ( firmę/instytucję) którego dotyczy naruszenie;
  • takie naruszenia skutkuje zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnienie lub nieuprawnionym dostępem do danych osobowych;
  • do naruszenia doszło z powodu złamania zasad bezpieczeństwa danych.

Co powinien zrobić administrator danych?

Taki incydent RODO nakazuje zgłosić do organu nadzorczego, czyli w Polsce do Prezesa Urzędu Ochrony Danych Osobowych.

Wynika to zapisów RODO:

Art. 33 ust. 1 RODO „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (…)”

Jednak nie każde naruszenie danych osobowych podlega obowiązkowi zgłoszenia do organu nadzorczego. Administrator danych nie ma obowiązku zgłaszania wszystkich incydentów, RODO w tym samym artykule stwierdza, że nie ma potrzeby zgłaszać naruszeń co do których:
„jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.”
Jako przykłady naruszeń, które nie podlegają obowiązkowi zgłoszenia do organu nadzorczego można wymienić:

  • utrata zaszyfrowanego zewnętrznego nośnika informacji
  • ujawnienie danych, które są już i tak dostępne w publicznych rejestrach
    Koordynator ds ochrony danych osobowych w firmie musi ocenić jak istotne jest naruszenie, do którego doszło. Jeżeli naruszono dane osobowe szczególnie wrażliwe z pewnością całą rzecz trzeba zgłosić. Natomiast, jeżeli incydent jest niewielkiej wagi, to nie ma konieczności zgłaszania tego do organu nadzorującego i wystarczy odnotowanie całej sytuacji w wewnętrznym rejestrze.

Wiodący organ nadzorczy

Jeśli do naruszenia ochrony danych osobowych doszło w ramach działalności prowadzonej w różnych państwach UE lub dotyczy danych osób z różnych krajów UE, koniecznym będzie ustalenie tzw. wiodącego organu nadzorczego.

Zgłoszenie do UODO

Instytucją w Polsce, do której administrator danych jest zobowiązany zgłosić naruszenie danych jest Urząd Ochrony Danych Osobowych.
Zgłoszenie tego typu wypadków można zrobić na 4 sposoby:

  • elektronicznie poprzez wypełnienie specjalnego formularza elektronicznego dostępnego na stronie biznes.gov.pl
  • elektronicznie, poprzez wysłanie wypełnionego formularza zgłoszeniowego na skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
  • wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na portalu biznes.gov.pl
  • tradycyjną pocztą.

Tempo działania

Kiedy już dojdzie do naruszenia ochrony danych osobowych, to najważniejsze jest tempo, w jakim podjęte zostaną czynności przeciwdziałające. Zarówno jeżeli chodzi o zgłoszenie zajścia do organu nadzorczego, jak i wobec osoby, której dane zostały naruszone.