Garbary 71/19 61-758 Poznań
796 448 666
rodo@leanlaw.pl

Jak zawiadomić kogoś o naruszeniu jego danych?

Created with Sketch.

Jak zawiadomić kogoś o naruszeniu jego danych?

Rozporządzenie o ochronie danych osobowych przyznaje osobom, których dane dotyczą większą kontrolę – między innymi poprzez nałożenie na administratorów nowego obowiązku. Od teraz muszą oni informować o wycieku i naruszeniu danych osobowych!

 

Za naruszenie danych osobowych uznaje się wszelkie naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jak już wspomniano, rozporządzenie o ochronie danych osobowych nakłada obowiązek powiadomienia osoby, której dane dotyczą o naruszeniu. Takiej notyfikacji należy dokonać bez zbędnej zwłoki. Przyjmuje się, że im poważniejsze ryzyko naruszenia praw i wolności danej osoby, tym szybciej powinno się ją zawiadomić. Czas notyfikacji jest bardzo ważny, gdyż ma na celu umożliwienie danej jednostce podjęcia działań zaradczych, by uchronić się przed negatywnymi skutkami. Nie za każdym razem jednak administrator ma obowiązek jej dokonania, musi to robić zawsze wtedy, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczą.

 

Jak więc wygląda proces zawiadamiania osoby, której dane dotyczą o naruszeniu? Poniżej przedstawiamy kolejne kroki, prezentujące jak należy postępować w takim przypadku.

 

Każdy pracownik, który stwierdzi lub podejrzewa naruszenie bezpieczeństwa ochrony danych osobowych jest obowiązany zgłosić to Administratorowi lub wyznaczonemu Inspektorowi Ochrony Danych. Powinien to zrobić niezwłocznie od spostrzeżenia naruszenia. Słowo to dla każdego może oznaczać odmienny okres czasu, dlatego dobrze go sprecyzować w wewnętrznych procedurach przedsiębiorstwa np.  najpóźniej w ciągu godziny.

 Administrator po otrzymaniu informacji o podejrzeniu naruszenia bezpieczeństwa ochrony danych niezwłocznie ocenia czy do niego doszło, a więc czy jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zgodnie z przepisami rozporządzenia, jeśli stwierdzono naruszenie bezpieczeństwa Administrator lub Inspektor Ochrony Danych, jeśli jest wyznaczony w danej organizacji, podejmuje następujące działania:

  • wszczyna czynności zapobiegające dalszym naruszeniom zabezpieczeń;
  • utrwala wszystkie informacje i dokumenty świadczące o naruszeniu bądź będące pomocne w ustaleniu powodu naruszenia;
  • przeprowadza analizę i oszacowanie powstałych szkód;
  • sporządza raport oraz uzupełnia rejestr naruszeń.

 Utrwalenie naruszenia jest bardzo ważne, gdyż organ nadzorczy może w każdej chwili, zgodnie z zasadą rozliczalności, żądać od administratora udokumentowanych czynności podjętych w związku z naruszeniem oraz analizę oceny skutków tego zdarzenia.

 

Kiedy istnieje obowiązek powiadomienia o naruszeniu?

Jak wspomniano już wcześniej, samo stwierdzenie naruszenia nie powoduje jeszcze obowiązku zawiadomienia o tym osoby, której dane dotyczą – jest kilka sytuacji, kiedy administrator nie musi tego robić.

Zadaniem Administratora jest ocenienie czy dane naruszenie może powodować wysokie ryzyko praw lub wolności osoby. Jeśli oceniono takie ryzyko na niskie – nie ma obowiązku zawiadamiania. Kiedy możemy mówić o wysokim ryzyku? Przede wszystkim w sytuacjach, gdy poprzez naruszenie dochodzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Z kolei, jeżeli naruszenie dotyczy danych wrażliwych, zakłada się, że naruszenie prowadzi do wymienionych szkód. Jak podkreśla organ nadzorczy, nie ma konieczności urzeczywistnienia się wysokiego ryzyka i faktycznego dojścia do naruszenia praw lub wolności. Bez znaczenia jest czy w rezultacie naruszenie się ziści. Już sam fakt, że takie wysokie ryzyko może się pojawić jest podstawą do zawiadomienia danej osoby.

Dodatkowo, jeżeli przed naruszeniem Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i zostały one zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności takie środki jak szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych, to zawiadamianie osób, których dane dotyczą, o zaistniałym naruszeniu ochrony danych nie jest wymagane.

Również, gdy administrator już po stwierdzeniu uchybienia zastosował następcze środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, to także jest zwolniony z obowiązku zawiadamiania osób, których dane dotyczą, o zaistniałej sytuacji.

 

Co w przypadku gdy wyciekły dane zbyt wielu osób?

Może się okazać, że zawiadomienie wszystkich osób, których dane dotyczą o naruszeniu ochrony danych wymagałoby niewspółmiernie dużego wysiłku (np. liczba osób, których dane osobowe uległy naruszeniu jest bardzo duża), wówczas administrator zwolniony jest z obowiązku indywidualnego informowania każdej osoby, jednakże jest zobowiązany w takim przypadku wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego, osoby, których dane dotyczą zostaną poinformowane w równie skuteczny sposób.

 

Gdy jednak zaistnieje obowiązek powiadomienia osoby o naruszeniu należy pamiętać o kilku ważnych elementach. Przede wszystkim zawiadomienie osoby, której dane dotyczą, powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych. Jest to niezbędne, aby osoba była w stanie zrozumieć co stało się z jej danymi i jakie środki zaradcze podjęto. Zawiadomienie powinno zawierać przynajmniej:

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opis możliwych konsekwencji naruszenia ochrony danych osobowych,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

 

 

Eliza Wojciechowska, Specjalista ds. ochrony danych osobowych
rodo@leanlaw.pl

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *