W jaki sposób należy powiadomić użytkowników o naruszeniu ochrony danych osobowych zgodnie z RODO?

Dowiedz się, w jaki sposób powiadomić osoby o wystąpieniu kradzieży / wycieku danych osobowych

Zasady powiadamiania użytkowników o naruszeniu ochrony danych

Przed wdrożeniem RODO nie istniała regulacja dot. zasad, wg których należy powiadomić osoby, których dotyczy wyciek danych. Obecnie, jeśli dojdzie do naruszenia danych, administrator ma obowiązek dokonania zawiadomienia tych osób zgodnie z ustaleniami art. 34 RODO.

Powiadamianie użytkowników o wycieku danych zgodnie z art. 34 RODO

Osoby, których dane zostały wykradzione, zmodyfikowane, niewłaściwie zniszczone lub co do których utracono dostęp muszą zostać o tym poinformowane. Odbywa się to zgodnie z obowiązkiem wynikającym z ustaleń RODO. Dotychczas administratorzy danych osobowych nie mieli obowiązku poinformowania osób, których wyciek danych dotyczył. Nawet gdy mieli pewność, że ktoś może wykorzystać ich dane, np. do kradzieży tożsamości. RODO wprowadziło zasady, zgodnie z którymi należy powiadomić osoby, których dane mogły zostać wykradzione. Przepisy te reguluje art. 34 RODO:

„Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.

Co ważne naruszenia nie dotyczą jedynie kradzieży danych. Naruszeniem będzie każdy nieupoważniony dostęp do danych, który doprowadzi do utraty którejkolwiek z fundamentalnych cech danych osobowych. Dotyczy to w szczególności integralności, rozliczalności i poufności. Jeśli za takim zdarzeniem będzie szło ryzyko dla praw i wolności osoby, której dane dotyczą, wówczas konieczne jest niezwłoczne zawiadomienie jej o zaistniałym zdarzeniu. W szczególności dotyczy to np. szantażu, kradzieży danych, a także braku możliwości skorzystania przez nią z praw przysługujących jej na mocy przepisów prawa. Jednocześnie administrator danych osobowych musi upewnić się, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne. Działania te mają na celu stwierdzenie naruszenia ochrony danych osobowych i szybkie poinformowanie organu nadzorczego i osoby, której dane dotyczą.

Zgłaszanie naruszenia zgodnie z art. 33 RODO

Zgłoszenie naruszenia – zgodnie z art. 33 – musi zawierać co najmniej:

  1. charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  3. możliwe konsekwencje naruszenia ochrony danych osobowych;
  4. środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Forma dokonania zgłoszenia do UODO

Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Zgłoszenia można dokonać na 4 sposoby:

  1. wypełniając dedykowany formularz elektroniczny
  2. wysyłając wypełniony formularz na elektroniczną skrzynkę podawczą ePUAP
  3. elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl
  4. tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu.

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia danych, administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też inny europejski organ nadzorczy.

Jednocześnie nie musimy zawiadamiać osób, których dotyczy naruszenie danych, w następujących przypadkach:

  1. administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie. W szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
  2. administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  3. wymagałoby ono niewspółmiernie dużego wysiłku. Wydajemy publiczny komunikat lub wykorzystujemy podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną równie skutecznie poinformowane.

Jeśli chcesz dowiedzieć się, w jaki sposób za pomocą systemu RODOprotektor możesz zgłosić wystąpienie naruszenia – wyślij nam wiadomość!

Wyślij wiadomość