• Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2019 Michał Nosowski, Toruń. 

Zgłaszanie naruszeń ochrony danych osobowych - kiedy i do kogo?

11.20.2017

 

Przyznawanie się do błędów nie jest sprawą łatwą i generalnie wymaga trochę odwagi.Z pomocą przyszli twórcy ogólnego rozporządzenie o ochronie danych osobowych i stwierdzili, że warto pomóc ludziom w odnalezieniu w sobie pokładów krytycyzmu i mówieniu o swoich własnych błędach, wprowadzając parę przepisów, które zmuszą ich do odważnych zachowań.

 

Dlatego w RODO znalazł się wymóg, aby w określonych sytuacjach administrator danych musiał powiadamiać o tym, że doszło do naruszenia zasad dotyczących ochrony danych.

 

Skoro wiemy już, że taki obowiązek istnieje, kluczowe jest uzyskanie odpowiedzi na następujące pytania – kogo musimy powiadamiać, kiedy musimy powiadamiać oraz jak należy to robić.

Sytuacja wygląda tak:

 

Powiadomienie Prezesa urzędu Ochrony Danych Osobowych

 

Prezesa Urzędu Ochrony Danych Osobowych musimy powiadomić o każdym naruszeniu ochrony danych osobowych. Wyjątkiem jest sytuacja, gdy zdarzenie powoduje małe prawdopodobieństwo naruszenia praw i wolności osób fizycznych. Oznacza to, że w każdym przypadku musimy zastanowić się, jakie skutki może wywołać dane naruszenie.

 

Przykładowo – gdy pracownik wyśle e-mail zawierający dane osobowe do niewłaściwej osoby, trzeba odpowiedzieć sobie na pytanie, jaki wpływ będzie to miało na prawa i wolności osoby, której dane dotyczą. Możemy założyć, że jeśli mail po prostu został wysłany do niewłaściwej osoby wewnątrz organizacji i został niezwłocznie usunięty, problemu nie ma. Jeżeli jednak został wysłany do kogoś na zewnątrz – powinniśmy powiadomić Prezesa Urzędu.

 

Na dokonanie zawiadomienia mamy 72 godziny od momentu stwierdzenia naruszenia – a więc niewiele.

 

W samym zawiadomieniu musimy napisać, jaki charakter miało naruszenie, wskazać dane kontaktowe osoby kontaktowej lub (jeśli został powołany) Inspektora Ochrony Danych (możesz o nim przeczytać tutaj), a także opisać możliwe konsekwencje naruszenia ochrony danych oraz to, jakie środki są lub będą zastosowane w celu usunięcia naruszenia oraz zminimalizowania negatywnych skutków zdarzenia, które wystąpiło.

 

Powiadomienie osoby, której dane dotyczą

 

RODO wprowadza też obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu danych osobowych – czyli np. naszego klienta albo nawet osoby, której wysyłamy nasz cotygodniowy newsletter z opisem nowych produktów i usług. Co oczywiste – takie zawiadomienie może mieć katastrofalny skutek dla wizerunku naszej organizacji. Na szczęście zawiadamiać osoby o naruszeniu ich danych musimy tylko w szczególnych przypadkach -  gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

 

Zawiadomienie powinno zostać napisane prostym językiem i zawierać informacje podobne do tych wskazanych w zawiadomieniu do Prezesa Urzędu Ochrony Danych Osobowych.

 

Dodatkowo, nie musimy wykonywać tego obowiązku, gdy np. wdrożyliśmy takie techniczne środki ochrony, które uniemożliwiają odczyt danych osobom nieuprawnionym (np. szyfrowanie) albo inne środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia danych.

 

Zgodnie z treścią rozporządzenia możemy to zrobić nawet po zdarzeniu, które spowodowało naruszenie ochrony danych (np. zdalne uniemożliwienie dostępu do zgubionego nośnika). Co więcej, nie musimy zawiadamiać osób, gdyby wymagało to niewspółmiernie dużego wysiłku. W takim wypadku należy jednak wydać publiczny komunikat o ewentualnym wycieku.

 

Lepiej więc zabezpieczyć swoje dane zawczasu i przygotować się na dzień, w którym coś pójdzie źle.

 

 

Share on Facebook
Share on Twitter
Please reload

Please reload

Michał Nosowski
Radca prawny

 

Jestem prawnikiem i zajmuję się tym jak regulacje prawne przenikają się z nowymi technologiami. Dlatego często współpracuję z programistami, osobami zajmującymi się marketingiem i ludźmi, którzy tworzą innowacyjne biznesy. Moim celem jest tłumaczenie jak w przystępny sposób dostosować swój nowatorski biznes do przepisów prawa, a przy okazji nie zatrzymać jego rozwoju.

Istotne jest dla mnie to, aby to co tu publikuję było jasne i czytelne nie tylko dla innych prawników. Dlatego nie zamieszczam tu nudnych analiz poszczególnych przepisów, setek orzeczeń albo fragmentów opasłych komentarzy. Chcę być zrozumiałym dla Ciebie i wierzę, że o prawie można mówić z uśmiechem na twarzy.

O czym piszę najczęściej? O ochronie danych osobowych, umowach w IT, prawnych regulacjach prowadzenia działalności gospodarczej i tych przepisach, które dotyczą działalności w sieci. Czasem wspomnę coś o kryptowalutach albo praniu pieniędzy. Poza tym zajmuję się prawną obsługą biznesu, wdrażam RODO, prowadzę audyty z ochrony danych osobowych, a czasem także szkolę.

Jeśli chcesz się ze mną skontaktować, napisz na: kontakt@mnosowski.pl