Spis treści
Naruszenie ochrony danych osobowych, co to jest?
Oznacza to naruszenie zasad określonych w RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) oraz innych odpowiednich przepisach dotyczących ochrony danych osobowych w Polsce. Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:
- Naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie
- Skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych
- Naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.
Przykłady naruszeń ochrony danych osobowych:
- Nieuprawnione ujawnienie danych osobowych: Jeżeli osoba, która ma dostęp do danych osobowych, ujawnia je osobom trzecim bez odpowiedniego upoważnienia lub poza zakresem, w którym jest ona upoważniona.
- Niezgodne z celem przetwarzanie danych: Jeżeli dane osobowe są przetwarzane w sposób niezgodny z celami, dla których zostały zebrane, lub przetwarzane są w sposób niezgodny z przepisami prawa.
- Niezabezpieczone dane osobowe: Jeżeli dane osobowe nie są odpowiednio zabezpieczone przed utratą, kradzieżą, nieuprawnionym dostępem czy uszkodzeniem. Na przykład, brak odpowiednich środków technicznych i organizacyjnych, takich jak szyfrowanie danych, może stanowić naruszenie ochrony danych osobowych.
- Brak wyrażenia zgodny na przetwarzanie danych oparte o art. 6 ust. 1 lit. a, czyli o zgodę: Jeżeli osoba, której dane dotyczą, nie wyraziła zgody na przetwarzanie swoich danych osobowych, a mimo to dochodzi do przetwarzania tych danych, np. w celach marketingowych.
- Naruszenie obowiązków informacyjnych: Jeżeli administrator danych nie dostarcza osobom, których dane dotyczą, odpowiednich informacji na temat przetwarzania ich danych osobowych, takich jak cele przetwarzania, kategorie odbiorców danych czy okres przechowywania.
![Naruszenie ochrony danych](https://ratio-go.pl/wp-content/uploads/2022/04/Projekt-bez-tytulu-49-768x358.jpg)
Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu - art. 33 ust. 1 RODO.
„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.”
Kiedy można uznać, że naruszenie zostało stwierdzone?
Najpierw administrator powinien:
- uzyskać wystarczający stopień pewności, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do naruszenia ochrony danych osobowych,
- poprzedzone powinno być to wykonaniem postępowania, w którym zostanie ocenione, czy doszło do naruszenia. Postępowanie takie powinno rozpocząć się jak najszybciej,
- w praktyce, od momentu wystąpienia incydentu, do jego stwierdzenia, może minąć trochę czasu. Tym samym, termin 72h może być dłuższy, niż wynika to literalnie z brzmienia przepisu.
Zgłoszenie naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych (PUODO) nie jest wymagane, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Jeśli wewnętrzne postępowanie wykaże, że „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” – wystarczy odnotować naruszenie w Twoim wewnętrznym rejestrze. Sprawa jest zamknięta.
W przeciwnym wypadku naruszenie należy zgłosić do PUODO.
Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest organ nadzorczy państwa członkowskiego UE, na terytorium którego doszło do naruszenia (art. 55 RODO).
Zgłoszenia do UODO dokonuje administrator/osoba reprezentująca administratora danych.
Kiedy zgłoszenie naruszenia nie jest wymagane?
Zgłoszenie naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych (PUODO) nie jest wymagane, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Jeśli wewnętrzne postępowanie wykaże, że „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” – wystarczy odnotować naruszenie w Twoim wewnętrznym rejestrze. Sprawa jest zamknięta.
W przeciwnym wypadku naruszenie należy zgłosić do PUODO.
![Przykład naruszenia ochrony danych](https://ratio-go.pl/wp-content/uploads/2022/04/Projekt-bez-nazwy-57-768x358.jpg)
Jak zgłosić naruszenie ochrony danych?
Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest organ nadzorczy państwa członkowskiego UE, na terytorium którego doszło do naruszenia (art. 55 RODO). Zgłoszenia do UODO dokonuje administrator/osoba reprezentująca administratora danych.
Zgłoszenie naruszenie ochrony danych osobowych możesz dokonać online pod poniższym linkiem: https://www.biznes.gov.pl/pl/opisy-procedur/-/proc/889
Zawiadomienie osób, które dane dotyczą.
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Zawiadomienie nie jest wymagane, w następujących przypadkach:
- Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony, np.: szyfrowanie.
- Wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
Sprawdź:
Potrzebujesz pomocy w zgłoszeniu naruszenia ochrony danych osobowych? Napisz do nas pomożemy!
Sprawdź naszą ofertę!
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.