Naruszenie ochrony danych osobowych i jego zgłaszanie

mar 11, 2022 | Poradniki o RODO i iGDPR dla praktyków i początkujących

Kiedy mówimy o naruszeniu

Artykuł 4 pkt 12 RODO definiuje naruszenie ochrony danych osobowych jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Z kolei artykuł 33 pkt 1 obliguje administratora, by w przypadku naruszenia bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosił je organowi nadzorczemu właściwemu zgodnie z artykułem 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Autorzy Wytycznych dotyczących zgłaszania naruszenia ochrony danych osobowych na mocy rozporządzenia 2016/679, opracowanych przez grupę roboczą art. 29, wyróżniają w ogóle trzy rodzaje naruszeń:

  • naruszenie poufności, które polega na ujawnieniu lub udostępnieniu danych osobie nieuprawnionej;
  • naruszenie integralności, które sprowadza się do zmiany treści danych osobowych, czyli ich modyfikowania, w sposób nieautoryzowany;
  • naruszenie dostępności, które wiąże się z trwałą utratą dostępu do danych lub ich zniszczeniem.

Jakie dane powinno zawierać zgłoszenie naruszenia

Artykuł 33 pkt 3 RODO precyzuje zakres minimalnych wymaganych informacji, jakie należy zawrzeć w zgłoszeniu. Zgłoszenie musi co najmniej:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę podmiotów danych. Opisać kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zalecenia i formularze UODO

UODO na swoich stronach publikuje specjalny materiał dotyczący postępowania administratorów w przypadku naruszeń ochrony danych. Stanowi on ważną pomoc w przypadku incydentu. Drugim niezwykle użytecznym materiałem jest publikacja opisująca w jaki sposób powiadomić Prezesa UODO o naruszeniu. Zawiera ona formularze zgłoszenia naruszenia ochrony danych osobowych.

Jak zgłosić naruszenie RODO i proces zgłaszania naruszania w systemie iGDPR

72 godziny to niezwykle mało na zgłoszenie incydentu naruszenia danych, w szczególności, gdy doszło do niego np. w piątek. Tym bardziej sprawne przygotowanie zgłoszenia jest tak ważne. Pomoże w tym system iGDPR.

Moduł Ryzyko systemu iGDPR zawiera rejestr naruszeń, który umożliwia katalogowane wszystkich tego typu incydentów. Jedną z funkcjonalności tego rejestru jest możliwość sprawnego wypełnienie formularza zgłoszenia naruszenia. Formularz w systemie opiera się na dokumentach opublikowanych przez UODO. System w prosty sposób, krok po kroku przeprowadzi użytkownika przez kolejne wymagane obszary. Umożliwi m.in. podanie takich danych jak czas naruszenia, jego okoliczności i skalę, kategorie danych, potencjalne konsekwencje dla podmiotów. Pozwoli także określić podjęte środki zaradcze i naprawcze.

Polecane treści