Co robić, gdy dojdzie do naruszenia danych osobowych? 

Co robić, gdy dojdzie do naruszenia danych osobowych?

Przepisy dotyczące ochrony danych osobowych mają na celu zapewnienie bezpieczeństwa osobom, których dane osobowe mogą być wykorzystywane przez inne podmioty w określonych celach – tak ewidencyjnych, jak i marketingowych. Podmioty, które są odpowiedzialne za przetwarzanie danych osbowych nazywa się Administratorami Danych, którzy są głównym obiektem RODO, jak i naszej rodzimej ustawy o ochronie danych osobowych. Te nakładają na Administratorów rozmaite obowiązki, dotyczące zapewnienia należytej ochrony oraz starannego przetwarzania pozyskiwanych danych. Może się jednak zdarzyć, że mimo stworzenia i wdrożenia odpowiednich zabezpieczeń, dojdzie do naruszenia. Co w takiej sytuacji należy robić?

Zgodnie z definicją wynikającą z przepisów, naruszeniem ochrony danych jest naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem: zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych – przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Innymi słowy, naruszeniem będzie w m.in.:

– nieuprawniony i nieautoryzowany dostęp do danych osobowych – np. przez pracownika bez upoważnienia;

– utrata nośników zawierających dane osobowe – np. zgubienie laptopa, dokumentu z danymi osobowymi;

– nieautoryzowana zmiana lub zniszczenie danych osobowych;

– pozyskiwanie danych osobowych z nielegalnych źródeł,

– udostępnianie danych osobowych bez zgody odpowiedniego podmiotu.

Ważne, by mieć świadomość, że do naruszenia może dojść także wówczas, gdy Administrator dołożył należytej staranności w odpowiednim zabezpieczeniu danych i podjął działania mające zminimalizować ryzyko naruszeń.

Jednym z obowiązków Administratora danych jest prowadzenie rejestru naruszeń, w którym ewidencjonuje się nie tylko stwierdzone naruszenia, ale także sytuacje, które uzasadniają samo podejrzenie wystąpienia naruszenia ochrony danych. W przypadku wystąpienia lub podejrzenia wystąpienia takiego zdarzenia, należy niezwłocznie podjąć działania mające na celu wykrycie przyczyn zdarzenia, zabezpieczenie materiału dowodowego, usunięcie skutków naruszenia oraz zapobieżenie jego ponownemu wystąpieniu. Pomocne może być stworzenie stosownej procedury, która zawierać będzie instrukcję postępowania w przypadku naruszenia lub podejrzenia naruszenia.

Należy również dokonać oceny, czy ewentualne naruszenie wiąże z ryzykiem naruszenia praw i wolności osób, których dane dotyczą, a jeśli tak, to czy jest to ryzyko standardowe, czy wysokie. Jest to o tyle istotne, że RODO nakłada na Administratorów obowiązek zgłaszania do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) tych naruszeń ochrony danych, które wiążą się z wystąpieniem ryzyka naruszenia praw i wolności osób fizycznych. Zawiadomienia należy dokonać w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli zgłoszenie jest dokonywane później, należy wówczas uzasadnić przyczynę opóźnienia. Z kolei, jeżeli wspomniane ryzyko oceniliśmy jako wysokie, należy również zawiadomić o naruszeniu osobę, której dane dotyczą – podając informacje niezbędne do podjęcia przez tę osobę działań, mogących to ryzyko zmniejszyć lub zapobiec negatywnym konsekwencjom związanym z dokonanym naruszeniem.

Podsumowując, jeżeli dojdzie do naruszenia ochrony danych lub podejrzenia jego wystąpienia – należy tę okoliczność odzwierciedlić w rejestrze naruszeń. Jeżeli w wyniku oceny naruszenia, Administrator dojdzie do wniosku, że naruszenie wiąże się z ryzykiem naruszenia praw i wolności osób fizycznych, dokonuje przy tym zawiadomienia PUODO, a jeżeli ryzyko jest wysokie, to oprócz organu nadzorczego zawiadamia o tym fakcie również podmiot danych. Każdorazowe zdarzenie naruszenia ochrony danych należy także zgłaszać Inspektorowi Ochrony Danych, jeśli został on powołany. Inspektor może pomóc Administratorowi dokonać oceny naruszenia – które może nie być oczywiste w każdym przypadku. Pomoc Inspektora może polegać też na zaproponowaniu wdrożenia odpowiednich działań następczych i zapobiegawczych..

Autor artykułu

  • Ukończył studia prawnicze na Uniwersytecie Adama Mickiewicza w Poznaniu. Aplikację adwokacką odbywał w Okręgowej Radzie Adwokackiej w Poznaniu, od 2011 r. wpisany na listę adwokatów ORA Poznań. Specjalizuje się w prawie gospodarczym oraz administracyjnym. Posiada kilkunastoletnią praktykę w zakresie obsługi prawnej podmiotów gospodarczych.

Wróć do poprzedniej strony