Facebook

Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Firma  »  Wskazówki dla przedsiębiorcy  »   Błędy w zgłoszeniach naruszeń do Prezesa UODO
POLECAMY
A A A  drukuj artykuł

Błędy w zgłoszeniach naruszeń do Prezesa UODO

Gazeta Podatkowa nr 78 (1744) z dnia 28.09.2020
Marta Stefanowicz - Wasilewska

Naruszenie ochrony danych może zdarzyć się w każdym podmiocie. Rolą administratora jest wdrożenie takich regulacji, by naruszenia te zdarzały się jak najrzadziej, a dane były chronione właściwie, na odpowiednio wysokim poziomie. Jeżeli jednak takie zdarzenie będzie miało miejsce i np. dojdzie do wysłania dokumentów zawierających dane osobowe na inny adres, czy też zagubienia niezabezpieczonych urządzeń informatycznych zawierających takie dane, wówczas reakcja administratora danych ma decydujące znaczenie. Jednym z jego obowiązków może być dokonanie zgłoszenia takiego incydentu do Prezesa UODO.

Kiedy naruszenie?

Naruszeniem ochrony danych, zgodnie z art. 4 pkt 12 RODO, jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

72 godziny na powiadomienie PUODO

W przypadku naruszenia ochrony danych osobowych administrator powinien bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłosić je organowi nadzorczemu. W Polsce taką funkcję pełni Prezes Urzędu Ochrony Danych Osobowych (PUODO). Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Takiego zgłoszenia administrator danych nie musi dokonywać, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Administratorzy danych często mają wątpliwości, jak powinni postąpić, gdy w przeciągu tych 72 godzin nie mają jeszcze pełnej wiedzy na temat zaistniałego incydentu, a co za tym idzie, ich zgłoszenie może być niepełne. W takim przypadku, jak informuje UODO, w ciągu pierwszych 72 godzin trzeba przekazać to, co już udało się ustalić. Natomiast należy niezwłocznie uzupełnić zgłoszenie o nowe informacje, gdy tylko administrator danych dowie się kolejnych szczegółów związanych z zaistniałym naruszeniem.

Takie zgłoszenie musi co najmniej:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
     
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
     
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
     
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Bez względu na to, czy administrator danych jest zobowiązany dokonać zgłoszenia, musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze.

Najczęstsze błędy w zgłoszeniach

UODO w opracowaniu "Dotychczasowe doświadczenia w zakresie zgłaszania naruszeń ochrony danych osobowych i zawiadamiania o nich osób, których dane dotyczą", dostępnym na stronie internetowej www.uodo.gov.pl, wskazuje na najczęstsze błędy popełniane przez administratorów danych dokonujących zgłoszeń incydentów. Wśród nich wymienia m.in. nierzetelne, zdawkowe przekazywanie informacji, które uniemożliwia ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Do błędów tych zalicza się też wypełnianie zgłoszeń w sposób rutynowy, podanie niewłaściwej liczby osób, której dane są zagrożone naruszeniem, podanie niewłaściwej kategorii danych, wskazanie niewłaściwego poziomu ryzyka czy też niewłaściwego czasu zaistnienia naruszenia. Oprócz tego UODO zwraca uwagę na częsty brak przeprowadzenia prawidłowej oceny ryzyka naruszenia praw lub wolności osób fizycznych. Ponadto wskazuje, iż zgodnie z art. 33 ust. 3 RODO, administrator powinien w zgłoszeniu podać tylko kategorie danych osobowych, których dotyczy naruszenie. Niewłaściwą praktyką jest podawanie w zgłoszeniu konkretnych imion, nazwisk lub adresów zamieszkania osób, których dane dotyczą.

Powiadomienie osób poszkodowanych

Jeśli ryzyko wystąpienia naruszenia praw i wolności osób fizycznych jest wysokie, to oprócz wpisu w ewidencji naruszeń i zgłoszenia naruszenia ochrony danych do Prezesa UODO, w niektórych przypadkach konieczne staje się też powiadomienie o naruszeniu osób, których dane dotyczą. Takie powiadomienie nie jest wymagane, jeśli:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, np. szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
     
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, np. administrator zorientował się, że przesyłka zawierająca dane osobowe została zaadresowana na niewłaściwy adres i skontaktował się z operatorem pocztowym, który nie dopuścił do dostarczenia jej wskazanemu początkowo adresatowi,
     
  • wymagałoby ono niewspółmiernie dużego wysiłku - w takim przypadku musi zostać wydany publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Wdrożenie obsługi naruszeń według UODO

1. Opracowanie procedury postępowania z naruszeniem.
2. Ustalenie zasad przekazywania informacji (różne kanały komunikacji) - wewnętrzny formularz zgłoszenia.
3. Zbudowanie świadomości poprzez szkolenie pracowników.
4. Wprowadzenie checklisty pozwalającej ocenić wpływ naruszenia na podmiot.

Wskazówki dla przedsiębiorcy - czytaj także:

 
Przydatne linki
 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • dopasowania reklam w serwisach społecznościowych,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych w celu wyświetlenia reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - dopasowania reklam w serwisach społecznościowych,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.