LexDigital

Jak zgłosić naruszenie ochrony danych osobowych do Prezesa UODO?

Z wysoką starannością dbasz o odpowiednio wysoki poziom ochrony danych osobowych w swojej firmie. Opracowujesz oraz wdrażasz procedury zgodne z RODO. Co jednak, jeśli dojdzie do naruszenia ochrony danych? Jakie obowiązki ciążą na administratorze danych osobowych?

Jak zgłosić naruszenie ochrony danych osobowych do Prezesa UODO?

Różnice pomiędzy incydentem, a naruszeniem ochrony danych.

RODO nie określa wprost czym jest incydent.  Jednakże łącząc definicję zawartą w SJP oraz definicję zaczerpniętą z normy PN-ISO/ IEC 27000 możemy określić, że jest to pojedyncze zdarzenie lub seria niepożądanych lub nieoczekiwanych zdarzeń związanych z bezpieczeństwem informacji, które ze znaczącym prawdopodobieństwem mogą powodować zagrożenie dla działalności biznesowej i stanowią potencjalne zagrożenie dla bezpieczeństwa danych, w tym także danych osobowych. 

Incydenty możemy dość łatwo pogrupować na trzy zbiory:

- incydenty umyślne, takie jak przekazanie lub ujawnienie danych osobom nieupoważnionym, celowe zniszczenie danych, kradzież np. nośników danych lub sprzętu czy włamanie do systemu informatycznego

losowe incydenty wewnętrzne - awarie sprzętów IT, nośników danych, serwerów, oprogramowania czy błąd ludzki. 

- losowe incydenty zewnętrzne - zanik/utrata zasilania czy łączności, zalanie, pożar.

Naruszenie ochrony danych osobowych natomiast,  zgodnie z art. 4 pkt 12 RODO oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikwania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Podsumowując jest to nieodwracalne naruszenie bezpieczeństwa informacji w odniesieniu do danych osobowych. 

Analizując powyższą definicję, także tutaj możemy pogrupować formy naruszeń:

- zniszczenie danych osobowych - zalanie archiwum zawierającego dokumenty, spalenie się archiwum, w którym przechowywane były zgody na przetwarzanie danych osobowych, usunięcie z pamięci komputera plików z jednoczesnym zniszczeniem kopii zapasowych

- zmiana danych osobowych - dokonanie modyfikacji w bazach danych przez nieuprawnioną osobę, w skutek czego dane stały się błędne np. przemieszanie numerów telefonów, imion oraz nazwisk poszczególnych osób

- utrata danych osobowych - kradzież służbowego laptopa, który nie był zabezpieczony hasłem, zgubienie teczki zawierającej CV kandydatów

Podsumowując każdy incydent związany z danymi osobowymi niesie za sobą  ich naruszenie, jednakże nie każde z nich będzie wymagało zgłoszenia do GUODO. W rękach administratora będzie leżała ocena czy wystąpienie incydentu niesie za sobą  tak poważne naruszenie ochrony danych wskutek którego ktoś ucierpi. Musi on (ADO) także  rozważyć wszystkie potencjalne skutki naruszenia. 

Jak zgłosić naruszenie ochrony danych osobowych?

Ogólne rozporządzenie o ochronie danych nakłada na administratora danych (ADO) obowiązek zgłoszenia naruszenia ochrony danych osobowych (art. 33 ust. 1).

W myśl RODO musi to nastąpić bez zbędnej zwłoki - w miarę możliwości, nie poźniej niż w terminie 72 godzin po stwierdzeniu naruszenia lub jeśli nie jesteśmy w stanie zachować terminu,  po upływie 72 godzin dołączając wyjaśnienie przyczyn opóźnienia.  

Zgłoszenia dokonuje się do organu nadzorczego, czyli do Prezesa Urzędu Ochrony Danych Osobowych za pośrednictwem dedykowanego systemu informatycznego znajdującego się na platformie biznes.gov.pl, uprzednio wypełniając formularz dostępny do pobrania na stronie uodo.gov.pl. lub wysyłając wypełniony formularz poprzez ePUAP na adres elektronicznej skrzynki podawczej: /GIODO/SkrytkaESP.

Administrator Danych Osobowych podlega konieczności przekazania w zgłoszeniu naruszenia wszystkich informacji wymienionych w art. 33 ust. 3. 

Musi się na nie składać co najmniej :

-opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać:

-kategorię i przybliżoną liczbę osób, których dane dotyczą

-kategorię i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie

-imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji

-opis możliwych konsekwencji naruszenia ochrony danych osobowych

-opis środków zastosowanych lub proponowanych przez  ADO w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków, które mają służyć zminimalizowaniu jego ewentualnych negatywnych skutków. 

-wyjaśnienie przyczyn opóźnienia, w przypadku zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych (art. 33 ust 1 zd. 2 RODO) 

Zgłoszenie może mieć jedną z poniższych postaci:

-kompletne/jednorazowe - kiedy w momencie zgłaszania naruszenia posiadasz już wszystkie informacje o zaistniałym wydarzeniu

-wstępne - kiedy pojawia się ryzyko przekroczenia 72 godzin, podczas których możliwe jest dokonanie zgłoszenia, a nie posaidasz jeszcze wszystkich informacji o zaistaniałym wydarzeniu

-uzupełniające/zmieniające - traktowane jest jako uzupełnienie zgłoszenia wstępnego, jak i aktualizację zgłoszenia kompletnego/jednorazowego jeśli podane wcześniej informacje okażą się błędne 

Także podmiot przetwarzający dane, czyli inaczej procesor  jest zobowiązany bez zbędnej zwłoki zgłosić naruszenie danych osobowych. Jednakże dokonuje tego zawsze do administratora danych osobowych, w czasie określonym w treści umowy powierzenia. Procesor zgłaszając naruszenie do administratora musi dokonać tego  pamiętając, że ADO ma 72 godziny aby zgłosić naruszenie do organu nadzorczego. 

Pełnomocnictwo do zgłoszenia naruszenia

W przypadku kiedy niemożliwym jest aby administrator danych dokonał zawiadomienia organu nazorczego o naruszeniu, pomocne staje się nadanie pełnomocnictwa np. pracownikowi firmy. Wówczas, na podstawie dołączonego dokumentu elektronicznego (opatrzonego kwalifikowanym podpisem elektronicznym osoby udzielającej pełnomocnictwa) i dowodu zapłaty za pełnomocnictwo, możliwym jest złożenie wniosku przez osobę niebędącą ADO.

Obowiązek prowadzenia wewnętrzego rejestru incydentów

W myśl fundamentalnej zasady RODO tj. zasady rozliczalności,  ADO powinien rejestrować wszystkie naruszenia, niezależnie czy naruszenie to wymaga zawiadomienia czy też nie. 

Pomimo, że formę oraz strukturę dokumentacji naruszeń dyktuje ADO to istnieją główne zasady rejestrowania informacji, które muszą zostać każdorazowo zawarte w dokumentacji naruszeń. Wymogi te dyktuje art. 33 ust. 5 RODO, a należą do nich:

- okoliczności naruszenia ochrony danych osobowych

- skutki naruszenia ochrony danych osobowych

- podjęte działania zaradcze. 

Prowadzenie dokumentacji musi odbywać się w sposób możliwy do weryfikacji przez organ nadzorczy, w szczególności musi istnieć możliwość weryfikacji czy obowiązki zawarte w art. 33 ust. 5 RODO są realizowane poprawnie. 

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla IOD

Aplikacja dla IOD

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.