Naruszenie ochrony danych osobowych, postępowanie w razie wystąpienia naruszeń i ich skutki

Dezaktywowanie gniazda elektrycznego przy miejscu postojowym przez wspólnotę mieszkaniową pomimo braku podjęcia uchwały. Jak się bronić?

22 lutego 2022

Odrzucenie spadku przez małoletnich

8 marca 2022

Published by Zuzanna Bokina-Kielbasa on 24 lutego 2022

Tags

Naruszenie ochrony danych osobowych, postępowanie w razie wystąpienia naruszeń i ich skutki

Większość podmiotów gospodarczych ma świadomość istnienia przepisów regulujących ochronę danych osobowych i konieczności ich wdrożenia w prowadzonej przez siebie działalności. Jednak po przygotowaniu wszystkich niezbędnych dokumentów i procedur, przeszkoleniu pracowników i wypełnieniu obowiązków informacyjnych, nie każdy wie jak postąpić w razie, gdy dojdzie do wystąpienia naruszeń w ochronie przetwarzanych danych osobowych.

Zgodnie z art. 4 pkt. 12 RODO naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Urząd Ochrony Danych Osobowych (UODO) dodatkowo wskazuje, że naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Należy jednak odróżnić naruszenie przepisów o ochronie danych osobowych od naruszenia ochrony danych.

Naruszenie przepisów o ochronie danych osobowych to naruszenie przepisów wynikających z RODO, innych aktów regulujących kwestie ochrony danych osobowych, ustaw, rozporządzeń i Konstytucji przyjętych w krajach członkowskich Unii Europejskiej.

Natomiast naruszenie ochrony danych jest naruszeniem bezpieczeństwa danych osobowych określonym w art. 4 pkt. 12 RODO, które możemy podzielić na trzy kategorie:

naruszenie poufności danych – gdy doszło do nieuprawnionego udostępnienia lub ujawnienia danych osobowych,
naruszenie integralności danych – w razie nieuprawnionej lub przypadkowej modyfikacji danych,
naruszenie dostępności danych – które występuje w przypadku nieuprawnionego lub przypadkowego dostępu do danych bądź ich zniszczenia

W większość przypadków za naruszenie bezpieczeństwa danych odpowiada czynnik ludzki i są to zazwyczaj naruszenia o charakterze nieumyślnym, np. wysyłka korespondencji do niewłaściwej osoby. Pojęcie naruszenia przetwarzania danych osobowych wydaje się być abstrakcyjne, lecz zdarza się, że prowadzi do wystąpienia przykrych konsekwencji po stronie osoby, której dane były przetwarzane. Przykładowo może być to kradzież tożsamości i zaciągnięcie kredytu lub pożyczki na dane tej osoby, metoda na „policjanta”, czy „wnuczka” – a o tym już każdy z nas słyszał. Naruszeniem ochrony danych osobowych będzie również udostępnienie dokumentacji medycznej niewłaściwemu pacjentowi, przypadkowe usunięcie danych, atak hakerski czy kradzież laptopów, na skutek którego administrator danych osobowych utraci dostęp do danych.

W razie stwierdzenia zaistnienia naruszenia, które odpowiada deﬁnicji naruszenia, administrator danych osobowych zgodnie z art. 33 ust. 1 RODO ma obowiązek bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić to naruszenie właściwemu organowi nadzorczemu (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Zanim jednak administrator (a w praktyce często również osoba odpowiedzialna za wdrożenie RODO w organizacji lub inspektor ochrony danych, jeżeli został powołany) zgłosi naruszenie, powinien przeprowadzić postępowanie wyjaśniające, które pozwoli na ustalenie m.in. charakteru naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą oraz możliwych konsekwencji naruszenia i ich rozmiaru. Pozwoli także na weryfikację konieczności modyﬁkacji dotychczasowych zabezpieczeń funkcjonujących w organizacji. Administrator ma obowiązek udokumentować takie naruszenie, uwzględniając jego okoliczności, skutki i podjęte działania zaradcze, niezależnie od tego, czy naruszenie to podlega obowiązkowi zgłoszenia do organu nadzorczego. Każde stwierdzone naruszenie ochrony danych powinno zostać odnotowane również w rejestrze naruszeń, który każdy administrator powinien w swojej działalności wdrożyć.

Zgłoszenia naruszenia można dokonać wypełniając właściwy formularz i wysyłając go elektronicznie bądź za pośrednictwem poczty tradycyjnej na adres UODO. Zgłoszenie takie powinno zawierać co najmniej:

opis naruszenia bezpieczeństwa danych, kategorie i przybliżoną liczbę osób, których dotyczy naruszenie, jeżeli jest to możliwe,
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub wskazanie innego punku kontaktowego, gdzie można uzyskać więcej informacji,
opis możliwych konsekwencji naruszeń ochrony danych,
opis środków zastosowanych lub proponowanych przez administratora mających na celu zminimalizowanie skutków naruszenia lub zaradzenie naruszeniu

Jeżeli naruszenie ochrony danych osobowych dotyczy danych osób z różnych krajów Unii Europejskiej, Administrator powinien zgłosić takie naruszenie do wiodącego organu nadzorczego.

Za naruszenie ochrony danych osobowych na administratora może zostać nałożona administracyjna kara pieniężna uzależniona od rodzaju podmiotu i charakteru naruszenia. Organ nadzorczy może nałożyć karę pieniężną w wysokości do 10 mln euro lub 20 mln euro bądź do 2% lub 4 % całkowitego rocznego światowego obrotu tego podmiotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Potrzebujesz pomocy w tym temacie? Napisz do nas!

Imię i nazwisko

Adres e-mail

Numer telefonu

Wiadomość

Wyrażam zgodę na przetwarzanie moich danych osobowych przez HWW Hewelt Wojnowski Lindner i Wspólnicy sp.k. z siedzibą w Warszawie, 00-845 Warszawa, ul. Łucka 18 lok. 4/L, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000713665, REGON: 369257204, NIP: 1132960039.

W rozumieniu przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (rozporządzenie ogólne o ochronie danych, RODO) administratorem moich danych osobowych udostępnionych na niniejszym formularzu jest HWW Hewelt Wojnowski Lindner i Wspólnicy sp.k. z siedzibą w Warszawie, 00-845 Warszawa, ul. Łucka 18 lok. 4/L, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000713665, posiadająca REGON: 369257204, NIP: 1132960039.

W związku z przetwarzaniem danych osobowych udostępnionych na niniejszym formularzu przysługuje mi prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu wobec przetwarzania danych oraz prawo do żądania przeniesienia danych a także prawo do wniesienia skargi do organu nadzorczego. Zapytania dotyczące danych osobowych należy przesyłać na adres mailowy daneosobowe@hww.pl

Więcej informacji objętych obowiązkiem informacyjnym, w szczególności cele i podstawy przetwarzania danych osobowych oraz przysługujące podmiotom danych uprawnienia, znajdują się pod adresem https://hww.pl/polityka-prywatnosci/.