Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Prawo pracy  »  Inne zagadnienia  »   Zgłoszenie naruszenia ochrony danych osobowych
A A A  poleć artykuł   drukuj artykuł

Zgłoszenie naruszenia ochrony danych osobowych

Gazeta Podatkowa nr 65 (1522) z dnia 13.08.2018
Łukasz Wilmiński

Podstawowym obowiązkiem administratora ochrony danych osobowych, a więc każdego przedsiębiorcy, jest zgodne z prawem przetwarzanie danych osobowych. W pojęciu tym mieści się prawidłowe przechowywanie danych osobowych oraz zabezpieczenie ich przed dostępem osób nieuprawnionych. RODO określa też obowiązki w przypadku naruszenia ochrony danych osobowych, dlatego procedury dotyczące ochrony danych osobowych powinny obejmować także takie zgłoszenie.

Administrator danych osobowych, jako podmiot odpowiedzialny za ich prawidłowe przetwarzanie, powinien zastosować odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. W tym celu należy dokonać inwentaryzacji posiadanych danych osobowych, ich należytego zabezpieczenia, audytu stosowanych procedur, a następnie, po przeprowadzeniu analizy ryzyka, zastosować dodatkowe zabezpieczenia tam, gdzie ochrona nie jest należyta. Jednak nawet w przypadku prawidłowej realizacji tych obowiązków może dojść do naruszenia ochrony danych osobowych np. poprzez kradzież laptopa zawierającego dane osobowe klientów.

W przypadku naruszenia ochrony danych osobowych obowiązkiem administratora jest powiadomienie o naruszeniu organu nadzorczego, jakim w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Powiadomienie powinno nastąpić bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Wyjątkiem jest sytuacja, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zatem obowiązek zgłoszenia naruszenia nie będzie zachodził np. w sytuacji, gdy dane zgromadzone na skradzionym laptopie nie stanowiły danych osobowych, lecz np. jedynie dane innych przedsiębiorców lub jeżeli na skutek zastosowanych zabezpieczeń dane były zabezpieczone w sposób uniemożliwiający dostęp do nich. Przy czym ocena w tym zakresie należy do administratora. Jeżeli natomiast zgłoszenie zostało dokonane po upływie 72 godzin, konieczne jest wyjaśnienie przyczyn opóźnienia. Artykuł 33 ust. 3 RODO reguluje niezbędne cechy zgłoszenia, nie określa jednak jego urzędowego wzoru. Wzór taki został udostępniony na stronie internetowej Urzędu Ochrony Danych Osobowych i powinien być przesłany do UODO w formie elektronicznej.

W tabeli zamieszczono przykładowy sposób wypełnienia najbardziej istotnych elementów formularza zgłoszenia naruszenia ochrony danych osobowych dla naruszenia w postaci kradzieży laptopa firmowego, w którym znajdują się dane osobowe zawarte na fakturach.

Treść zgłoszenia naruszenia ochrony danych
Data stwierdzenia naruszenia 12.08.2018 r.
Sposób stwierdzenia naruszenia Powiadomienie przez pracownika o włamaniu do jego domu, w którym znajdował się laptop.
Komentarz do czasu naruszenia Przez czas weekendu, pracownik od 10.08.2018 r. przebywał poza domem, a o włamaniu dowiedział się dopiero po powrocie wieczorem w dniu 12.08.2018 r.
Charakter naruszenia Naruszenie poufności danych.
Na czym polegało naruszenie? Nieuprawnione przejęcie urządzenia (laptopa), w którym znajdują się dane osobowe.
Przyczyna naruszenia Kradzież z włamaniem do domu pracownika, w którym znajdował się laptop służbowy.
Kategorie danych osobowych Dane osobowe zawarte na fakturach wystawianych zarówno na rzecz osób fizycznych, jak i przedsiębiorców: imię nazwisko, adres, NIP, REGON, adres e-mail.
Rodzaj danych osobowych Dane identyfikacyjne, dane kontaktowe.
Środki bezpieczeństwa zastosowane przed naruszeniem Zabezpieczenie dostępu do laptopa hasłem. Zabezpieczenie dostępu do programu fakturującego hasłem. Szyfrowanie plików znajdujących się na dysku.
Możliwe konsekwencje Zapoznanie się z danymi osobowymi przez osoby postronne.
Czy osoby, których dane dotyczą, zostały powiadomione o naruszeniu? TAK
Środki w celu zaradzenia naruszeniu ochrony danych osobowych Poinformowanie osób, których dane dotyczą. Blokada dostępu do poczty elektronicznej oraz blokada dostępu do programów, do których dostęp posiadał użytkownik skradzionego laptopa.

Inne zagadnienia - czytaj także:

 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • zapewnienia prawidłowego działania serwisów (utrzymania sesji),

  • analizy statystyk ruchu i reklam w serwisach,

  • zbierania i przetwarzania danych osobowych w celu wyświetlenia personalizowanych reklam.

Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z serwisu, w celu administrowania serwisem, dostosowania treści serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania behawioralnego reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o.

Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam jest partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. (SDO). Odbiorcą informacji z plików cookies są Netsprint S.A., Google LLC oraz spółki zlecające SDO realizację kampanii reklamowej, a także podmioty badające i zliczające tę kampanię. Dane te mogą ponadto zostać udostępnione na rzecz partnerów handlowych SDO.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych

  • Niezbędność przetwarzania danych w związku z wykonaniem umowy

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora w serwisie internetowym.

  • Dobrowolna zgoda

    Aby móc wyświetlać spersonalizowane reklamy dopasowane do Pani/Pana zainteresowań, partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. musi mieć możliwość przetwarzania Pani/Pana danych. Udzielenie takiej zgody jest całkowicie dobrowolne (nie ma obowiązku jej udzielenia).

Zgoda

W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na przetwarzanie Pani/Pana danych osobowych w związku z możliwością wyświetlenia reklam dopasowanych do Pani/Pana zainteresowań poprzez kliknięcie w przycisk „Zgadzam się” lub „Nie teraz” w przypadku braku zgody.