naruszenia ochrony danych osobowych

Naruszenia ochrony danych osobowych – Jak je dokumentować ?

Aktualności / RODO
Czas czytania: 3 minut

Z pewnością słyszałeś o naruszeniach ochrony danych osobowych i o tym, co za to grozi! Wysokie kary narzucone przez RODO dają do myślenia. A wystarczyłoby zwrócić jedynie uwagę na prawidłowe wypełnianie niektórych obowiązków np. dokumentację. Jak dokumentować naruszenia, gdy one wystąpią?

Czego dowiesz się z dzisiejszego artykułu?

  • Czym są naruszenia ochrony danych osobowych?
  • Do czego może doprowadzić naruszenie?
  • O czym koniecznie należy informować?
  • Które naruszenia ochrony danych osobowych należy od razu zgłosić do organu kontrolnego?
  • Jak dokumentować naruszenia ochrony danych osobowych?

Jeśli wolisz oglądać, to na końcu umieściłam link do szkolenia LIVE, na żywo, na fanpage Ilona Przetacznik – #Legalny Biznes Online

Obowiązek dokumentacji – z czego wynika?

Wszystkie obowiązki związane z zasadą rozliczalności, a tym samym z dokumentowaniem naruszeń zostały wskazane w art. 33-34 RODO oraz w motywach 85-87.

Istotne jest aby organy kontrolne, w tym wypadku Prezes Urzędu Ochrony Danych Osobowych, mógł zweryfikować czy administrator dysponował odpowiednią dokumentacją. Musisz więc taką posiadać.

Kiedy mamy do czynienia z naruszeniem?

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Z definicji tej wynika, że naruszenia obejmują bardzo szeroki katalog różnych zdarzeń.

  • Mogą one być zależne od Ciebie, czyli tzw. wewnętrzne naruszenia, np. zgubienie pendrive’a z danymi osobowymi, przesłanie wiadomości e-mail do wszystkich klientów bez ukrycia ich adresów, wyniesienie danych przez pracownika, itp.
  • Mogą one być również niezależne od Ciebie, czyli tzw. zewnętrzne, np. zalanie dokumentów z danymi osobowymi, pożar, itp.
  • Zdarzyć się też może, że będą umyślne, np. włamanie, atak hakerów, wirus w systemach informatycznych zawierających dane osobowe.

Do czego może doprowadzić naruszenie?

Na dosyć drastyczne skutki wskazuje motyw 85 RODO. Naruszenia ochrony danych osobowych mogę skutkować:

  • powstaniem uszczerbku fizycznego,
  • szkód majątkowych lub niemajątkowych u osób fizycznych,
  • utratą kontroli nad własnymi danymi osobowymi,
  • ograniczeniem praw, dyskryminacją,
  • kradzieżą lub sfałszowaniem tożsamości,
  • stratą finansową,
  • nieuprawnionym odwróceniem pseudonimizacji,
  • naruszeniem dobrego imienia,
  • naruszeniem poufności danych osobowych chronionych tajemnicą zawodową,
  • wszelkie inne, znaczne szkody gospodarcze lub społeczne.
WAŻNE! Administrator, co do zasady, musi zgłosić naruszenie do organu nadzorczego. Czasami musi również zgłosić naruszenie osobie, które dane zostały naruszone!

O czym koniecznie należy poinformować?

Naruszenia, które powodują wysokie ryzyko naruszenia praw i wolności osób fizycznych, należy zgłosić zarówno organowi, jak i osobom, których danych dotyczyło naruszenie.

W przypadku naruszenia, administrator ma maksymalnie 72 godziny na dokonanie zgłoszenia. Jeśli zrobi to później, musi uzasadnić przyczyny opóźnienia.

Kiedy nie trzeba zgłaszać naruszenia ochrony danych osobowych?

Byłoby co najmniej trudne zgłaszać każde najmniejsze naruszenie (które wpisuje się w definicję). RODO w końcu nie dąży do paraliżu biznesu, a do ochrony danych. Ja z kolei, skupiam się na rozwiązaniach probiznesowych.

Na szczęście, rozporządzenie mówi, że nie trzeba zgłaszać naruszeń, jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.


3 rodzaje incydentów

Mając na uwadze powyższe, należy pamiętać o trzech rodzajach naruszeń:

  1. Naruszenia nie podlegające zgłoszeniu organowi
  2. Te, które należy zgłosić organowi oraz osobie, której dane dotyczą
  3. Naruszenia, które podlegają zgłoszeniu TYLKO organowi

Jakie naruszenia zgłasza się tylko do organu?

Z naruszeniami, które należy zgłosić tylko do organu mamy do czynienia, gdy:

  1. Może dojść do naruszenia praw i wolności osób fizycznych
  2. Nie jest mało prawdopodobne, że dojdzie do naruszenia praw i wolności osób fizycznych

Wówczas, nie możesz być zwolniony z obowiązku zgłoszenia naruszenia.

Jaką dokumentację powinien prowadzić administrator?

Prezes UODO wskazał określone dokumenty jako must have każdego administratora. Wśród tych dokumentów znajduje się przede wszystkim, dokumentacja dotycząca naruszeń.

Podkreślam to, gdyż w przypadku kontroli, w pierwszej kolejności będzie zwracana uwaga właśnie na tę dokumentację. Administrator ma obowiązek rozliczyć się z przestrzegania obowiązków RODO.

Jak dokumenty warto mieć?

  • Rejestr naruszeń ochrony danych osobowych
  • Wzór zgłoszenia naruszenia ochrony danych osobowych
  • Procedurę zgłaszania naruszeń

Wszystkie te dokumenty znajdują się w pakiecie RODO MUST HAVE, który ciągle możesz nabyć klikając w poniższy baner. Dokumentacja zawiera także inne, konieczne dokumenty, które musi posiadać każdy administrator danych, żeby spać spokojnie i uniknąć kar. Wszystko z moimi dokładnymi instrukcjami wypełnienia w każdym dokumencie oraz z e-bookiem wprowadzającym i wyjaśniającym jak pracować z dokumentami. Krok po kroku, prowadzę za rękę. Zobacz szczegóły poniżej:

Naruszenia ochrony danych osobowych

Jak powinno wyglądać zgłoszenie?

Zgłoszenie naruszenia do organu nadzorczego powinno zawierać co najmniej:

  • opis charakteru naruszenia, liczbę osób, kategorię, liczbę wpisów danych (przybliżone),
  • dane kontaktowe inspektora albo administratora, jeśli nie powołał on inspektora,
  • możliwe konsekwencje naruszenia,
  • środki zastosowane lub proponowane przez administratora w celu zminimalizowania negatywnych skutków.

Na końcu przypomnę tylko, że ze wszystkiego musisz się rozliczyć! Pamiętaj także o bieżącym uzupełnianiu rejestru, bo dziwne będzie, jeśli np. przez okres 1 roku nie wystąpiło u Ciebie żadne naruszenie (mam na myśli również te, niepodlegające zgłoszeniu do organu!).

Jeśli wolisz oglądać, obejrzyj #LegalnąKawę nr 48, czyli szkolenie LIVE na moim fanpage Managerka Umów na Facebooku:

https://www.facebook.com/LegalnyBiznesOnlineIP/videos/250669255874413/

Przeczytaj również czym jest cold mailing i czy jest on zgodny z RODO:

Cold mailing – czy jest zgodny z RODO? Mailing zgodny z prawem.

Zdarzyło się, że ktoś naruszył Twoje dane osobowe? A może to Ty miałeś wątpliwości czy nie naruszyłeś jakiś danych? Daj znać w komentarzu, co sądzisz o obowiązku dokumentowania naruszeń ochrony danych osobowych.

Wszystkiego Legalnego!

Ilona Przetacznik

Stan prawny na dzień 12.03.2019.r

Awatar użytkownika

Cześć! Nazywam się Ilona Przetacznik i jestem radcą prawnym. Pokazuję małym przedsiębiorcom na co zwrócić uwagę podpisując umowę oraz wskazuję legalną stronę biznesów online.

Zobacz kolejne wpisy