Kiedy mówimy o naruszeniu
Artykuł 4 pkt. 12 RODO definiuje naruszenie ochrony danych osobowych jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Z kolei artykuł 33 ust. 1 obliguje administratora, by w przypadku naruszenia bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosił je organowi nadzorczemu właściwemu zgodnie z artykułem 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Tymczasem autorzy Wytycznych dotyczących zgłaszania naruszenia ochrony danych osobowych na mocy rozporządzenia 2016/679, opracowanych przez Grupę Roboczą Art. 29, wyróżniają trzy rodzaje naruszeń:
- naruszenie poufności, które polega na ujawnieniu lub udostępnieniu danych osobie nieuprawnionej;
- naruszenie integralności, które sprowadza się do zmiany treści danych osobowych, czyli ich modyfikowania, w sposób nieautoryzowany;
- naruszenie dostępności, które wiąże się z trwałą utratą dostępu do danych lub ich zniszczeniem.
Jakie dane powinno zawierać zgłoszenie naruszenia
Artykuł 33 ust. 3 RODO precyzuje zakres minimalnych wymaganych informacji, jakie należy zawrzeć w zgłoszeniu. Zgłoszenie musi co najmniej:
a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę podmiotów danych. Opisać kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zalecenia i formularze UODO
UODO na swoich stronach publikuje specjalny materiał dotyczący postępowania administratorów w przypadku naruszeń ochrony danych. Stanowi on ważną pomoc w przypadku incydentu. Drugim niezwykle użytecznym materiałem jest publikacja opisująca w jaki sposób powiadomić Prezesa UODO o naruszeniu. Zawiera ona formularze zgłoszenia naruszenia ochrony danych osobowych.
Jak zgłosić naruszenie RODO, proces zgłaszania naruszania w systemie iGDPR i rejestr naruszeń
72 godziny to niezwykle mało na zgłoszenie incydentu naruszenia danych, w szczególności, gdy doszło do niego np. w piątek. Tym bardziej sprawne przygotowanie zgłoszenia jest tak ważne. Pomoże w tym system iGDPR.
Moduł Ryzyko systemu iGDPR zawiera rejestr naruszeń, który przede wszystkim umożliwia katalogowane wszystkich tego typu incydentów. Jedną z funkcjonalności tego rejestru jest możliwość sprawnego wypełnienie formularza zgłoszenia naruszenia. Formularz w systemie opiera się na dokumentach opublikowanych przez UODO. System w prosty sposób, krok po kroku przeprowadzi użytkownika przez kolejne wymagane obszary. Umożliwi m.in. podanie takich danych jak czas naruszenia, jego okoliczności i skalę, kategorie danych, potencjalne konsekwencje dla podmiotów. Pozwoli także określić podjęte środki zaradcze i naprawcze.
