Zgodnie z art. 4 pkt. 12 RODO naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Urząd Ochrony Danych Osobowych (UODO) dodatkowo wskazuje, że naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Należy jednak odróżnić naruszenie przepisów o ochronie danych osobowych od naruszenia ochrony danych.
Naruszenie przepisów o ochronie danych osobowych to naruszenie przepisów wynikających z RODO, innych aktów regulujących kwestie ochrony danych osobowych, ustaw, rozporządzeń i Konstytucji przyjętych w krajach członkowskich Unii Europejskiej.
Natomiast naruszenie ochrony danych jest naruszeniem bezpieczeństwa danych osobowych określonym w art. 4 pkt. 12 RODO, które możemy podzielić na trzy kategorie:
- naruszenie poufności danych, gdy doszło do nieuprawnionego udostępnienia lub ujawnienia danych osobowych,
- naruszenie integralności danych, w razie nieuprawnionej lub przypadkowej modyfikacji danych,
- naruszenie dostępności danych, które występuje w przypadku nieuprawnionego lub przypadkowego dostępu do danych bądź ich zniszczenia
W większość przypadków za naruszenie bezpieczeństwa danych odpowiada czynnik ludzki i są to zazwyczaj naruszenia o charakterze nieumyślnym, np. wysyłka korespondencji do niewłaściwej osoby. Pojęcie naruszenia przetwarzania danych osobowych wydaje się być abstrakcyjne, lecz zdarza się, że prowadzi do wystąpienia przykrych konsekwencji po stronie osoby, której dane były przetwarzane. Przykładowo może być to kradzież tożsamości i zaciągnięcie kredytu lub pożyczki na dane tej osoby, metoda na „policjanta”, czy „wnuczka”, a o tym już każdy z nas słyszał. Naruszeniem ochrony danych osobowych będzie również udostępnienie dokumentacji medycznej niewłaściwemu pacjentowi, przypadkowe usunięcie danych, atak hakerski czy kradzież laptopów, na skutek którego administrator danych osobowych utraci dostęp do danych.
W razie stwierdzenia zaistnienia naruszenia, które odpowiada definicji naruszenia, administrator danych osobowych zgodnie z art. 33 ust. 1 RODO ma obowiązek bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłosić to naruszenie właściwemu organowi nadzorczemu (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Zanim jednak administrator (a w praktyce często również osoba odpowiedzialna za wdrożenie RODO w organizacji lub inspektor ochrony danych, jeżeli został powołany) zgłosi naruszenie, powinien przeprowadzić postępowanie wyjaśniające, które pozwoli na ustalenie m.in. charakteru naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą oraz możliwych konsekwencji naruszenia i ich rozmiaru. Pozwoli także na weryfikację konieczności modyfikacji dotychczasowych zabezpieczeń funkcjonujących w organizacji. Administrator ma obowiązek udokumentować takie naruszenie, uwzględniając jego okoliczności, skutki i podjęte działania zaradcze, niezależnie od tego, czy naruszenie to podlega obowiązkowi zgłoszenia do organu nadzorczego. Każde stwierdzone naruszenie ochrony danych powinno zostać odnotowane również w rejestrze naruszeń, który każdy administrator powinien w swojej działalności wdrożyć.
Zgłoszenia naruszenia można dokonać wypełniając właściwy formularz i wysyłając go elektronicznie bądź za pośrednictwem poczty tradycyjnej na adres UODO. Zgłoszenie takie powinno zawierać co najmniej:
- opis naruszenia bezpieczeństwa danych, kategorie i przybliżoną liczbę osób, których dotyczy naruszenie, jeżeli jest to możliwe,
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub wskazanie innego punku kontaktowego, gdzie można uzyskać więcej informacji,
- opis możliwych konsekwencji naruszeń ochrony danych,
- opis środków zastosowanych lub proponowanych przez administratora mających na celu zminimalizowanie skutków naruszenia lub zaradzenie naruszeniu
Jeżeli naruszenie ochrony danych osobowych dotyczy danych osób z różnych krajów Unii Europejskiej, Administrator powinien zgłosić takie naruszenie do wiodącego organu nadzorczego.
Za naruszenie ochrony danych osobowych na administratora może zostać nałożona administracyjna kara pieniężna uzależniona od rodzaju podmiotu i charakteru naruszenia. Organ nadzorczy może nałożyć karę pieniężną w wysokości do 10 mln euro lub 20 mln euro bądź do 2% lub 4 % całkowitego rocznego światowego obrotu tego podmiotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Najczęściej zadawane pytania
Czym różni się naruszenie ochrony danych od zwykłego naruszenia przepisów o ochronie danych?
Naruszenie ochrony danych to konkretny incydent bezpieczeństwa, taki jak nieuprawniony dostęp, utrata lub zmodyfikowanie danych osobowych. Z kolei naruszenie przepisów to łamanie samego prawa, czyli RODO, ustaw czy rozporządzeń, bez konieczności wystąpienia fizycznego wycieku czy utraty danych.
Jakie są główne rodzaje naruszeń ochrony danych osobowych?
Wyróżniamy trzy kategorie naruszeń, czyli naruszenie poufności, integralności oraz dostępności danych. Do naruszenia poufności dochodzi przy nieuprawnionym ujawnieniu danych, do naruszenia integralności przy ich nieuprawnionej modyfikacji, a do naruszenia dostępności przy ich zniszczeniu lub nieuprawnionym dostępie.
W jakim terminie muszę zgłosić naruszenie danych do Urzędu Ochrony Danych Osobowych?
Administrator danych ma obowiązek zgłosić naruszenie właściwemu organowi nadzorczemu nie później niż w ciągu 72 godzin od jego stwierdzenia. Obowiązek ten nie dotyczy sytuacji, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Co powinienem zrobić przed zgłoszeniem naruszenia do urzędu?
Przed zgłoszeniem należy przeprowadzić postępowanie wyjaśniające, aby ustalić charakter incydentu, liczbę osób dotkniętych naruszeniem oraz możliwe konsekwencje. Ważne jest również udokumentowanie okoliczności, skutków i podjętych działań zaradczych, a także wpisanie zdarzenia do rejestru naruszeń.
Jakie informacje muszę zawrzeć w zgłoszeniu naruszenia do UODO?
Zgłoszenie powinno zawierać opis naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego. Należy również opisać możliwe konsekwencje naruszenia oraz środki zastosowane lub proponowane do zminimalizowania jego skutków.
Jakie grożą mi kary za naruszenie ochrony danych osobowych?
Organ nadzorczy może nałożyć administracyjną karę pieniężną, która zależy od rodzaju podmiotu i charakteru naruszenia. Wysokość kary może wynosić do 10 mln euro lub 20 mln euro, albo do 2% lub 4% całkowitego rocznego światowego obrotu podmiotu, w zależności od tego, która kwota jest wyższa.
Masz problem z RODO lub ochroną danych?
Od tego pytania zaczyna się większość rozmów z prawnikiem. Konsultacja jest płatna, 600 zł netto. Płacisz za realną poradę: powiemy, czy masz problem prawny, co da się z nim zrobić i ile to mniej więcej kosztuje. Na nic dalej Cię to nie wiąże, a przepisy zostaw nam, od tego jesteśmy.
- 1 Rozmowa
Mówisz, co się dzieje, własnymi słowami.
- 2 Co dalej
Powiemy, jakie masz wyjścia i ile to kosztuje.
- 3 Działamy
Dajesz zielone światło i sprawa jest nasza.
Specjalizuje się w korporacyjnej obsłudze podmiotów gospodarczych oraz ochronie danych osobowych. Wspomaga klientów kancelarii w przygotowywaniu wszelkiej dokumentacji korporacyjnej, w tym w rejestracji spółek handlowych oraz w dalszej rejestracji zmian, a także udziela bieżącego i kompleksowego doradztwa w zakresie prowadzonej działalności. Zapewnia doradztwo w przeprowadzaniu procesów transformacyjnych spółek handlowych, w tym w procesach przekształceń i połączeń. Przygotowuje oraz opiniuje umowy, regulaminy i…
Zobacz profil →Nie przegap kolejnej analizy
Co miesiąc najważniejsze nowelizacje i ich praktyczne skutki dla biznesu, zebrane i zinterpretowane przez prawników HWW.