LexDigital

Zgłoszenie naruszenia danych osobowych. Jak prawidłowo notyfikować naruszenie do PUODO?

Dbasz o bezpieczeństwo danych osobowych w swojej organizacji, wdrażasz odpowiednie środki bezpieczeństwa, monitorujesz je? Co jeśli jednak dojdzie do naruszenia ochrony danych? Jakie obowiązki ciążą na administratorze danych osobowych? Jak ocenić wagę naruszenia? Jak wygląda zgłoszenie naruszenia danych osobowych?

Zgłoszenie naruszenia danych osobowych. Jak prawidłowo notyfikować naruszenie do PUODO?

Z artykułu dowiesz się:

  1. Czym jest incydent i naruszenie ochrony danych osobowych
  2. Jakie mogą wystąpić przykłady naruszeń
  3. Jak ocenić wagę naruszenia
  4. Jakie są elementy obowiązkowe w zgłoszeniu naruszenia
  5. Jakie są konsekwencje braku zgłoszenia naruszenia ochrony danych osobowych

Czym jest incydent i naruszenie ochrony danych osobowych?

RODO nie określa wprost, czym jest incydent. Łącząc jednak definicję zawartą w Słowniku języka polskiego oraz w normie PN-EN ISO/IEC 27000:2017 można uznać, że incydentem jest pojedyncze zdarzenie lub seria niepożądanych, lub nieoczekiwanych zdarzeń związanych z bezpieczeństwem informacji, które ze znaczącym prawdopodobieństwem mogą powodować zagrożenie dla działalności biznesowej i stanowią potencjalne zagrożenie dla bezpieczeństwa danych, w tym także danych osobowych.

Incydenty można pogrupować na trzy kategorie:

incydenty umyślne – przekazanie lub ujawnienie danych osobom nieupoważnionym, celowe zniszczenie danych, kradzież np. nośników danych lub sprzętu czy włamanie do systemu informatycznego

losowe incydenty wewnętrzne – awarie sprzętów IT, nośników danych, serwerów, oprogramowania czy błąd ludzki.

losowe incydenty zewnętrzne – zanik/utrata zasilania czy łączności, zalanie, pożar.

Naruszenie ochrony danych osobowych to zgodnie z art. 4 pkt 12 RODO:

"Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych".

Podsumowując, jest to nieodwracalne naruszenie bezpieczeństwa informacji w odniesieniu do danych osobowych. 

Ogólne rozporządzenie o ochronie danych nakłada na administratora danych (ADO) obowiązek zgłoszenia naruszenia ochrony danych osobowych (art. 33 ust. 1).

Niezależnie od zgłoszenia incydentu organowi nadzorczemu, zgodnie z art. 34 RODO „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” to powinniśmy o nim poinformować także same osoby objęte naruszeniem.

W RODO wprowadzono, w określonych przypadkach, wymóg zgłoszenia naruszenia ochrony danych osobowych właściwemu krajowemu organowi nadzorczemu (zwanemu dalej „organem nadzorczym”) oraz zawiadomienia o naruszeniu osób, których dane osobowe zostały naruszone (art. 33 i 34 RODO).

Instytucją, do której administrator danych osobowych ma obowiązek zgłaszania naruszeń, jest Urząd Ochrony Danych Osobowych.

Jakie mogą wystąpić przykłady naruszeń?

Analizując definicję naruszenia, możemy wyodrębnić 3 główne formy naruszeń:

utrata dostępności danych zniszczenie danych osobowych – zalanie archiwum zawierającego dokumenty, spalenie się archiwum, w którym przechowywane były zgody na przetwarzanie danych osobowych, usunięcie z pamięci komputera plików z jednoczesnym zniszczeniem kopii zapasowych;

utrata integralności danych zmiana danych osobowych – dokonanie modyfikacji w bazach danych przez nieuprawnioną osobę, wskutek czego dane stały się błędne np. przemieszanie numerów telefonów, imion oraz nazwisk poszczególnych osób;

utrata poufności danych – kradzież służbowego laptopa, który nie był zabezpieczony hasłem, zgubienie teczki zawierającej CV kandydatów, nieprawidłowa wysyłka maila.

Ryzyko wystąpienia incydentu dotyczy wszystkich branż. Niezależnie od rodzaju prowadzonej działalności, stałą pozostaje niepewność zarządzających organizacją, w jaki sposób należy wykonać obowiązki związane ze stwierdzeniem wystąpienia naruszenia. Wątpliwości te wydają się uzasadnione, ponieważ prawidłowe wykonanie zobowiązań wynikających z RODO wymaga specjalistycznej wiedzy, popartej dużym doświadczeniem.

Najlepszym rozwiązaniem jest działanie proaktywne, a nie reaktywne tj. leczenie przyczyn, a nie objawów – dlatego zalecamy, by odpowiednio wcześniej identyfikować ryzyko biznesowe związane z potencjalnym incydentem. Dobrym rozwiązaniem może być zapewnienie organizacji bieżącego wsparcia w dziedzinie ochrony danych, przez odpowiednio wykwalifikowany personel.

Wybór, czy takie wsparcie realizować ma zespół wewnętrzny, czy grupa ekspertów świadcząca usługi w ramach outsourcingu, pozostaje indywidualny i uzależniony od czynników biznesowych.

Podsumowując, każdy incydent związany z danymi osobowymi niesie za sobą ich naruszenie, jednakże nie każde z nich będzie wymagało zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. Nie ma obowiązku zgłaszania naruszeń co do których jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W rękach administratora będzie leżała ocena czy wystąpienie incydentu niesie za sobą tak poważne naruszenie ochrony danych, wskutek którego ktoś ucierpi. Administrator musi także rozważyć wszystkie potencjalne skutki naruszenia. 

W myśl RODO musi to nastąpić bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia lub jeśli nie jesteśmy w stanie zachować terminu, po upływie 72 godzin dołączając wyjaśnienie przyczyn opóźnienia.

Zgłoszenia dokonuje się do organu nadzorczego, czyli do Prezesa Urzędu Ochrony Danych Osobowych. Można dokonać tego na 4 sposoby. Szczegóły dostępne są na stronie UODO.

Jak ocenić wagę naruszenia ochrony danych osobowych?

Najlepszą metodą oceny wagi naruszenia jest metoda wg. Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Narzędzie to pozwala na ocenę wagi danego zdarzenia i ułatwia podjęcie decyzji zarówno o powiadomieniu organu, jak i osób, których dane zostały naruszone. 

Wagę naruszenia danych osobowych określa stopień potencjalnego wpływu na prawa lub wolności osób, których dotyczy naruszenie. RODO wiąże to z powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak: utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie, pseudonimizacja, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze, lub społeczne.

Metoda pozwala administratorowi dokonać ogólnej oceny istoty naruszenia poprzez określenie konkretnych kryteriów ilościowych.

Model oceny wagi naruszenia wykorzystuje informacje, które administrator posiada w momencie naruszenia, zatem nie zawsze obejmie ona wszystkie możliwe konsekwencje dla osoby.

Jakie są elementy obowiązkowe w zgłoszeniu naruszenia ochrony danych osobowych?

Administrator Danych Osobowych podlega konieczności przekazania w zgłoszeniu naruszenia wszystkich informacji wymienionych w art. 33 ust. 3 RODO

Prawidłowo przygotowane zgłoszenie musi zatem składać się co najmniej z:

  1. Opisu charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać:
  • kategorię i przybliżoną liczbę osób, których dane dotyczą;
  • kategorię i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji.
  1. Opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
  2. Opisu środków zastosowanych lub proponowanych przez ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków, które mają służyć zminimalizowaniu jego ewentualnych negatywnych skutków;
  3. Wyjaśnienia przyczyn opóźnienia, w przypadku zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych (art. 33 ust 1 zd. 2 RODO).

Sprawdź nasz artykuł: Kradzież danych osobowych w internecie

Zgłoszenie może być:

kompletne/jednorazowe – kiedy w momencie zgłaszania naruszenia posiadasz już wszystkie informacje o zaistniałym wydarzeniu;

wstępne – kiedy pojawia się ryzyko przekroczenia 72 godzin, podczas których możliwe jest dokonanie zgłoszenia, a nie posiadasz jeszcze wszystkich informacji o zaistniałym wydarzeniu;

uzupełniające/zmieniające – traktowane jest jako uzupełnienie zgłoszenia wstępnego, jak i aktualizację zgłoszenia kompletnego/jednorazowego, jeśli podane wcześniej informacje okażą się błędne .

Także podmiot przetwarzający dane, czyli inaczej procesor jest zobowiązany bez zbędnej zwłoki zgłosić naruszenie danych osobowych. Jednakże dokonuje tego zawsze do administratora danych osobowych, w czasie określonym w treści umowy powierzenia. Procesor zgłaszając naruszenie do administratora, musi dokonać tego, pamiętając, że ADO ma 72 godziny, aby zgłosić naruszenie do organu nadzorczego. 

Grupa Robocza Art. 29 już w październiku 2017 r. opracowała ogólne wytyczne dotyczące zgłaszania naruszeń ochrony danych, analizując odpowiednie sekcje RODO (Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, WP 250; dalej „Wytyczne WP 250”). Ze względu na swój charakter i termin wydania wytyczne te nie odnosiły się jednak wystarczająco szczegółowo do wszystkich praktycznych kwestii. W związku z tym pojawiła się potrzeba opracowania wytycznych zorientowanych na praktykę, opartych na konkretnych przypadkach, które wykorzystują doświadczenia zdobyte przez organy nadzorcze od czasu, gdy RODO zaczęło mieć zastosowanie. Wytyczne te zatwierdzono w 2021 roku, a pełna nazwa dokumentu to "Wytyczne 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjęte 14 grudnia 2021 r."

Pełnomocnictwo do zgłoszenia naruszenia

W przypadku kiedy nie ma możliwości, żeby administrator danych dokonał zawiadomienia organu nadzorczego o naruszeniu, rozwiązaniem jest nadanie pełnomocnictwa np. pracownikowi firmy. Wówczas, na podstawie dołączonego dokumentu elektronicznego (opatrzonego kwalifikowanym podpisem elektronicznym osoby udzielającej pełnomocnictwa) i dowodu zapłaty za pełnomocnictwo, możliwe jest złożenie wniosku przez osobę niebędącą Administratorem.

Obowiązek prowadzenia wewnętrznego rejestru incydentów

W myśl fundamentalnej zasady RODO tj. zasady rozliczalności Administrator powinien rejestrować wszystkie naruszenia, niezależnie czy naruszenie to wymaga zawiadomienia, czy też nie. 

Pomimo że formę oraz strukturę dokumentacji naruszeń dyktuje Administrator, to istnieją główne zasady rejestrowania informacji, które muszą zostać każdorazowo zawarte w dokumentacji naruszeń. Wymogi te dyktuje art. 33 ust. 5 RODO, a należą do nich:

  • okoliczności naruszenia ochrony danych osobowych,
  • skutki naruszenia ochrony danych osobowych,
  • podjęte działania zaradcze. 

Prowadzenie dokumentacji musi odbywać się w sposób możliwy do weryfikacji przez organ nadzorczy, w szczególności musi istnieć możliwość weryfikacji czy obowiązki zawarte w art. 33 ust. 5 RODO są realizowane poprawnie. 

Jakie są konsekwencje braku zgłoszenia naruszenia ochrony danych osobowych?


Najbardziej dotkliwą konsekwencją zaniechania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz niezawiadomienia o naruszeniu osób, których dane zostały naruszone, jest administracyjna kara finansowa, która może zostać nałożona przez Prezesa Urzędu Ochrony Danych Osobowych. Od maja 2018 roku PUODO nałożył w Polsce 12 kar finansowych za niespełnienie wymagań artykułu 33 RODO tj. za brak zgłoszenia naruszenia ochrony danych osobowych związanego z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.

Potrzebujesz kompetentnego Inspektora Ochrony Danych, który ochroni Twoją firmę przed karami? Napisz do nas maila: biuro@lexdigital.pl lub zadzwoń: +48 500 214 942.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk