Co to jest naruszenie ochrony danych osobowych?
Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).
Jak wskazuje Grupa Robocza Art. 29, można wyróżnić trzy typy naruszenia ochrony danych osobowych:
- naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie (np. poprzez niewłaściwie zaadresowanie poczty elektronicznej)
- naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych (np. utrata nośników danych: laptopa, telefonu, teczki zawierającej dane w wersji papierowej);
- naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany (np. celowa lub przypadkowa zmiana nazwiska osoby fizycznej).
Naruszenie ochrony danych osobowych. Kiedy administrator danych zwolniony jest z obowiązku zgłaszania naruszeń do urzędu?
W świetle art. 33 RODO, nie każde naruszenie ochrony danych osobowych wiąże się z naruszeniem bezpieczeństwa danych. Obowiązek zgłoszenia, o którym mowa w ww. artykule, dotyczy tylko tych naruszeń, które stanowią naruszenie bezpieczeństwa danych.
Jeżeli administrator danych wykryje, że doszło do naruszenia ochrony danych osobowych, powinien, przede wszystkim, dokonać analizy pod kątem wystąpienia [ ryzyka naruszenia praw i wolności osób fizycznych)
. Jeżeli analiza taka wykaże, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu.
Naruszenie ochrony danych osobowych. W jakich przypadkach należy zgłaszać naruszenie do UODO?
W każdym przypadku, w którym wystąpi ryzyko naruszenia praw i wolności osób fizycznych, czyli zawsze kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.
Ważnym elementem całego procesu związanego ze zgłaszaniem naruszenia ochrony danych, jest szybkość podjęcia niezbędnych działań, zarówno wobec organu nadzorczego, jak i osób, których dane dotyczą. Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO.
Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jestnowy organ nadzorczy Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).
Zgłoszenia naruszenia dokonuje się elektronicznie za pomocą odpowiedniego formularza dostępnego na stronie internetowej Urzędu, który należy wypełnić a następnie załączyć do pisma ogólnego dostępnego na platformie biznes.gov.pl.
Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też może inny europejski organ nadzorczy.
LexDigital