Zgłoszenie naruszenia ochrony danych
ZGŁOSZENIE NARUSZENIA OCHRONY DANYCH OSOBOWYCH
W twojej firmie doszło do naruszenia ochrony danych osobowych – np. twój pracownik wysłał bazę danych klientów do postronnej osoby? Masz 72 godziny aby poinformować o tym Urząd Ochrony Danych Osobowych (UODO). Poniżej dowiesz się jak to zrobić.
Do naruszenia ochrony danych osobowych dochodzi, gdy:
- dotyczy danych przesyłanych, przechowywanych lub przetwarzanych przez podmiot, którego dotyczy naruszenie
- jego skutkiem jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych
- jest skutkiem złamania zasad bezpieczeństwa danych
Przykłady naruszenia ochrony danych osobowych
Przykładem może być naruszenie:
- poufności – np. gdy twój pracownik wyśle przypadkowo bazę danych osobowych klientów do osoby postronnej lub niewłaściwego działu firmy
- dostępności – np. gdy zaginie pendrive z bazą danych klientów
- integralności – np. gdy pracownik dla żartu zmieni nazwiska klientów
Kto może powiadomić o naruszeniu ochrony danych osobowych
Zgłoszenia o naruszeniu ochrony danych osobowych dokonuje:
- administrator – przedsiębiorca lub jednostka publiczna przetwarzająca dane osobowe
- pełnomocnik administratora
Kiedy nie trzeba zawiadamiać UODO o naruszeniu danych osobowych
Jeśli po odkryciu naruszenia ochrony danych osobowych stwierdzisz, że ryzyko naruszenia praw i wolności osób fizycznych (np. wystąpienie szkody materialnej lub niematerialnej) jest małe, to nie musisz powiadamiać o tym Prezesa UODO.
Będzie tak, gdy np.:
- twojemu pracownikowi zaginął pendrive z danymi osobowymi klientów, jednak został wcześniej zaszyfrowany, a znalazca nie zna hasła. Nie ma wtedy obawy, że naruszenie stanowiło zagrożenie dla praw lub wolności osób, których dane dotyczą
- pracownik przez pomyłkę wyniósł z pracy teczkę z niezabezpieczonymi danymi osobowymi. Po chwili zorientował się jednak, że nastąpiła pomyłka i wrócił do pracy zwracając teczkę. W takim przypadku również nie ma groźby zagrożenia dla praw lub wolności osób, których dane dotyczą
1.PRZEPROWADŹ ANALIZĘ, CZY NARUSZENIE OCHRONY DANYCH OSOBOWYCH MOŻE PROWADZIĆ DO RYZYKA NARUSZENIA PRAW I WOLNOŚCI OSOBISTYCH
Jeśli po przeprowadzeniu analizy stwierdzisz, że ryzyko naruszenia praw i wolności osobistych jest mało prawdopodobne, to nie musisz zawiadamiać o naruszeniu ochrony danych osobowych.
Natychmiast po wykryciu naruszenia ochrony danych osobowych.
2. ZGŁOŚ NARUSZENIE OCHRONY DANYCH OSOBOWYCH
W zależności od rodzaju, wybierz w polu 1.A typ zgłoszenia:
- kompletne/jednorazowe – kiedy posiadasz pełen obraz naruszenia i masz wszystkie informacje o tym co, gdzie, kiedy i w jakim zakresie wydarzyło się w związku z naruszeniem
- wstępne – kiedy nie posiadasz jeszcze wszystkich danych dotyczących naruszenia, a grozi ci przekroczenie terminu 72 godzin wymaganych do zgłoszenia naruszenia
- uzupełniające/zmieniające – jeśli po wypełnieniu zgłoszenia wstępnego udało ci się uzyskać brakujące informacje i chcesz je złożyć do urzędu lub w przypadku gdy informacje udzielone w zgłoszeniu kompletnym/jednorazowym okazały się błędne i chcesz je zaktualizować
1.Zgłoszenie naruszenia ochrony danych osobowych
2.Pełnomocnictwo w sprawach administracyjnych
3.Potwierdzenie uiszczenia opłaty skarbowej za pełnomocnictwo
Ustanowienie pełnomocnika
Jeśli chcesz, aby reprezentował cię pełnomocnik, pamiętaj o dołączeniu pełnomocnictwa oraz dowodu zapłaty opłaty skarbowej za pełnomocnictwo (17 zł).
3. PREZES UODO PRZYJMIE TWOJE ZAWIADOMIENIE
Po wysłaniu zgłoszenia otrzymasz potwierdzenie złożenia.
- 0 zł – zgłoszenie naruszenia danych osobowych jest bezpłatne
- 17 zł – opłata skarbowa od pełnomocnictwa (opcjonalnie).Nie zapłacisz za pełnomocnictwo udzielone mężowi, żonie, dzieciom, rodzicom, dziadkom, wnukom lub rodzeństwu. Z opłaty skarbowej zwolnione są m.in. jednostki budżetowe i jednostki samorządu terytorialnego.
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw, po wysłaniu zgłoszenia, poinformuj osobę/osoby, której dane zostały naruszone. Jeżeli dotyczy to większej liczby osób, może to być ogólnodostępny komunikat – np. informacja na twojej stronie internetowej o tym, że doszło np. do wycieku haseł.
Przekroczenie terminu 72 godzin
Jeżeli w ciągu 72 godzin nie uda ci się zebrać wszystkich niezbędnych informacji do przesłania pełnego zgłoszenia, możesz przesyłać je w częściach. Musisz jednak wyjaśnić przyczyny opóźnienia.
Środki zaradcze
Po zgłoszeniu naruszenia ochrony danych osobowych musisz wprowadzić w firmie środki zaradcze, które pozwolą zminimalizować ryzyko kolejnych takich przypadków.
Podstawa prawna
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
- Ustawa z dnia 16 listopada 2006 r. o opłacie skarbowej
Źródło: Formularze – UODO; Naruszenie danych osobowych