Michał Nosowski
20 lis 2017
Przyznawanie się do błędów nie jest sprawą łatwą i generalnie wymaga trochę odwagi.Z pomocą przyszli twórcy ogólnego rozporządzenie o ochronie danych osobowych i stwierdzili, że warto pomóc ludziom w odnalezieniu w sobie pokładów krytycyzmu i mówieniu o swoich własnych błędach, wprowadzając parę przepisów, które zmuszą ich do odważnych zachowań.
Dlatego w RODO znalazł się wymóg, aby w określonych sytuacjach administrator danych musiał powiadamiać o tym, że doszło do naruszenia zasad dotyczących ochrony danych.
Skoro wiemy już, że taki obowiązek istnieje, kluczowe jest uzyskanie odpowiedzi na następujące pytania – kogo musimy powiadamiać, kiedy musimy powiadamiać oraz jak należy to robić.
Sytuacja wygląda tak:
Powiadomienie Prezesa urzędu Ochrony Danych Osobowych
Prezesa Urzędu Ochrony Danych Osobowych musimy powiadomić o każdym naruszeniu ochrony danych osobowych. Wyjątkiem jest sytuacja, gdy zdarzenie powoduje małe prawdopodobieństwo naruszenia praw i wolności osób fizycznych. Oznacza to, że w każdym przypadku musimy zastanowić się, jakie skutki może wywołać dane naruszenie.
Przykładowo – gdy pracownik wyśle e-mail zawierający dane osobowe do niewłaściwej osoby, trzeba odpowiedzieć sobie na pytanie, jaki wpływ będzie to miało na prawa i wolności osoby, której dane dotyczą. Możemy założyć, że jeśli mail po prostu został wysłany do niewłaściwej osoby wewnątrz organizacji i został niezwłocznie usunięty, problemu nie ma. Jeżeli jednak został wysłany do kogoś na zewnątrz – powinniśmy powiadomić Prezesa Urzędu.
Na dokonanie zawiadomienia mamy 72 godziny od momentu stwierdzenia naruszenia – a więc niewiele.
W samym zawiadomieniu musimy napisać, jaki charakter miało naruszenie, wskazać dane kontaktowe osoby kontaktowej lub (jeśli został powołany) Inspektora Ochrony Danych (możesz o nim przeczytać tutaj), a także opisać możliwe konsekwencje naruszenia ochrony danych oraz to, jakie środki są lub będą zastosowane w celu usunięcia naruszenia oraz zminimalizowania negatywnych skutków zdarzenia, które wystąpiło.
Powiadomienie osoby, której dane dotyczą
RODO wprowadza też obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu danych osobowych – czyli np. naszego klienta albo nawet osoby, której wysyłamy nasz cotygodniowy newsletter z opisem nowych produktów i usług. Co oczywiste – takie zawiadomienie może mieć katastrofalny skutek dla wizerunku naszej organizacji. Na szczęście zawiadamiać osoby o naruszeniu ich danych musimy tylko w szczególnych przypadkach - gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Zawiadomienie powinno zostać napisane prostym językiem i zawierać informacje podobne do tych wskazanych w zawiadomieniu do Prezesa Urzędu Ochrony Danych Osobowych.
Dodatkowo, nie musimy wykonywać tego obowiązku, gdy np. wdrożyliśmy takie techniczne środki ochrony, które uniemożliwiają odczyt danych osobom nieuprawnionym (np. szyfrowanie) albo inne środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia danych.
Zgodnie z treścią rozporządzenia możemy to zrobić nawet po zdarzeniu, które spowodowało naruszenie ochrony danych (np. zdalne uniemożliwienie dostępu do zgubionego nośnika). Co więcej, nie musimy zawiadamiać osób, gdyby wymagało to niewspółmiernie dużego wysiłku. W takim wypadku należy jednak wydać publiczny komunikat o ewentualnym wycieku.
Lepiej więc zabezpieczyć swoje dane zawczasu i przygotować się na dzień, w którym coś pójdzie źle.
#rodo #gdpr #zawiadomienieonaruszeniu #zawiadomieniepuodo #zawiadomienie #naruszenieochronydanych