Większość podmiotów gospodarczych ma świadomość istnienia przepisów regulujących ochronę danych osobowych i konieczności ich wdrożenia w prowadzonej przez siebie działalności. Jednak po przygotowaniu wszystkich niezbędnych dokumentów i procedur, przeszkoleniu pracowników i wypełnieniu obowiązków informacyjnych, nie każdy wie jak postąpić w razie, gdy dojdzie do wystąpienia naruszeń w ochronie przetwarzanych danych osobowych.
Zgodnie z art. 4 pkt. 12 RODO naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Urząd Ochrony Danych Osobowych (UODO) dodatkowo wskazuje, że naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Należy jednak odróżnić naruszenie przepisów o ochronie danych osobowych od naruszenia ochrony danych.
Naruszenie przepisów o ochronie danych osobowych to naruszenie przepisów wynikających z RODO, innych aktów regulujących kwestie ochrony danych osobowych, ustaw, rozporządzeń i Konstytucji przyjętych w krajach członkowskich Unii Europejskiej.
Natomiast naruszenie ochrony danych jest naruszeniem bezpieczeństwa danych osobowych określonym w art. 4 pkt. 12 RODO, które możemy podzielić na trzy kategorie:
W większość przypadków za naruszenie bezpieczeństwa danych odpowiada czynnik ludzki i są to zazwyczaj naruszenia o charakterze nieumyślnym, np. wysyłka korespondencji do niewłaściwej osoby. Pojęcie naruszenia przetwarzania danych osobowych wydaje się być abstrakcyjne, lecz zdarza się, że prowadzi do wystąpienia przykrych konsekwencji po stronie osoby, której dane były przetwarzane. Przykładowo może być to kradzież tożsamości i zaciągnięcie kredytu lub pożyczki na dane tej osoby, metoda na „policjanta”, czy „wnuczka” – a o tym już każdy z nas słyszał. Naruszeniem ochrony danych osobowych będzie również udostępnienie dokumentacji medycznej niewłaściwemu pacjentowi, przypadkowe usunięcie danych, atak hakerski czy kradzież laptopów, na skutek którego administrator danych osobowych utraci dostęp do danych.
W razie stwierdzenia zaistnienia naruszenia, które odpowiada definicji naruszenia, administrator danych osobowych zgodnie z art. 33 ust. 1 RODO ma obowiązek bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić to naruszenie właściwemu organowi nadzorczemu (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Zanim jednak administrator (a w praktyce często również osoba odpowiedzialna za wdrożenie RODO w organizacji lub inspektor ochrony danych, jeżeli został powołany) zgłosi naruszenie, powinien przeprowadzić postępowanie wyjaśniające, które pozwoli na ustalenie m.in. charakteru naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą oraz możliwych konsekwencji naruszenia i ich rozmiaru. Pozwoli także na weryfikację konieczności modyfikacji dotychczasowych zabezpieczeń funkcjonujących w organizacji. Administrator ma obowiązek udokumentować takie naruszenie, uwzględniając jego okoliczności, skutki i podjęte działania zaradcze, niezależnie od tego, czy naruszenie to podlega obowiązkowi zgłoszenia do organu nadzorczego. Każde stwierdzone naruszenie ochrony danych powinno zostać odnotowane również w rejestrze naruszeń, który każdy administrator powinien w swojej działalności wdrożyć.
Zgłoszenia naruszenia można dokonać wypełniając właściwy formularz i wysyłając go elektronicznie bądź za pośrednictwem poczty tradycyjnej na adres UODO. Zgłoszenie takie powinno zawierać co najmniej:
Jeżeli naruszenie ochrony danych osobowych dotyczy danych osób z różnych krajów Unii Europejskiej, Administrator powinien zgłosić takie naruszenie do wiodącego organu nadzorczego.
Za naruszenie ochrony danych osobowych na administratora może zostać nałożona administracyjna kara pieniężna uzależniona od rodzaju podmiotu i charakteru naruszenia. Organ nadzorczy może nałożyć karę pieniężną w wysokości do 10 mln euro lub 20 mln euro bądź do 2% lub 4 % całkowitego rocznego światowego obrotu tego podmiotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Potrzebujesz pomocy w tym temacie? Napisz do nas!