Site Search

Loading Results

Obowiązek notyfikacji naruszeń ochrony danych osobowych wg RODO

27/10/17

Notyfikacja naruszeń ochrony danych osobowych to jeden z wielu obowiązków administratorów danych przewidziany w przepisach Rozporządzenie o ochronie danych osobowych (RODO)

Realizacja obowiązku notyfikacyjnego wobec organu nadzorczego w dużej mierze będzie zależała od przepisów nowej ustawy o ochronie danych osobowych. Przepisy projektu wspomnianej ustawy (art. 41) przewidują, że Prezes Urzędu Ochrony Danych Osobowych będzie prowadzić odpowiedni system teleinformatyczny umożliwiający administratorom zgłaszanie naruszenia ochrony danych osobowych, o którym mowa w art. 33 RODO.

Nie jest również wykluczone, że polski organ nadzorczy przygotuje i udostępni administratorom danych stosowny formularz notyfikacyjny, zbliżony w swojej istocie do formularza sporządzonego przez Generalnego Inspektora Ochrony Danych Osobowych dla przedsiębiorców z sektora telekomunikacyjnego na podstawie art. 174a Prawa telekomunikacyjnego. Tego rodzaju formularz w istotny sposób uprościłby proces notyfikowania incydentów ochrony danych osobowych.

Zgodnie z RODO naruszenie obowiązków związanych z notyfikacją naruszeń ochrony danych może narazić administratora danych na sankcje w postaci administracyjnej kary pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Naruszenie ochrony danych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

RODO, art. 4 pkt 12

RODO wyznacza 72 godziny na zgłoszenie naruszenia ochrony danych osobowych

Przepisy RODO wymagają, aby w przypadku naruszenia ochrony danych osobowych, administrator nie później niż w terminie 72 godzin zgłosił fakt naruszenia właściwemu organowi nadzorczemu (chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych). W sytuacji przekroczenia terminu 72 godzin, administrator jest zobowiązany dołączyć do swojego zgłoszenia wyjaśnienie przyczyn opóźnienia (art. 33 ust. 1 RODO).

Niezależnie od treści przepisów nowej polskiej ustawy o ochronie danych osobowych oraz przygotowanych formularzy notyfikacyjnych, administratorzy danych już teraz powinni pomyśleć o podjęciu odpowiednich działań przystosowujących ich organizacje do wyzwania, jakim pozostanie prawidłowe poinformowanie organu o fakcie naruszenia ochrony w dość krótkim terminie 72 godzin od stwierdzenia naruszenia.

RODO zobowiązuje do wdrożenia właściwych środków organizacyjnych oraz technicznych

Przetwarzanie danych osobowych
W pierwszej kolejności administratorzy danych powinni pomyśleć o przygotowaniu i wdrożeniu odpowiednich procedur dotyczących przetwarzania danych osobowych. Osoby zaangażowane w procesy przetwarzania danych powinny dysponować precyzyjnymi i jednoznacznymi instrukcjami dotyczącymi ochrony przetwarzania danych (np. instrukcje korzystania ze sprzętu komputerowego, poczty elektronicznej, przechowywania dokumentacji w wersji papierowej itp.).

Raportowanie przypadków naruszenia
Jednocześnie administrator danych powinien zadbać o stworzenie odpowiedniej procedury i systemu komunikacji pozwalającego na raportowanie przez pracowników wszystkich przypadków naruszenia lub potencjalnego naruszenia ustalonych zasad i polityk przetwarzania danych. Z punktu widzenia wypełnienia obowiązków notyfikacyjnych ważne będzie również pogłębianie świadomości pracowników organizacji w zakresie przetwarzania danych osobowych oraz podkreślenia wagi sprawnego systemu komunikacji wewnętrznej pozwalającego na szybkie reagowanie przez administratora na wszelkie stwierdzone nieprawidłowości.

Rozwiązania techniczne
Z uwagi na fakt, że procesy przetwarzania danych osobowych odbywają się obecnie w głównej mierze w systemach informatycznych, administratorzy powinni także zadbać o wdrożenie i stosowanie odpowiednich rozwiązań technicznych pozwalających na szybką identyfikację oraz rejestrację incydentów związanych z ochroną danych.

Wdrożenie właściwych środków organizacyjnych oraz technicznych daje administratorom danych możliwość prawidłowego powiadomienia organu nadzorczego.

RODO nakazuje powiadamianie organu nadzorczego o naruszeniu ochrony danych osobowych

Zgodnie z przepisami RODO, zgłoszenie faktu naruszenia ochrony danych powinno co najmniej:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; 
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; 
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; 
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Przepisy RODO zwalniają administratorów z obowiązku zgłaszania naruszenia ochrony danych w przypadku, gdy jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Obowiązek notyfikacyjny nie ma więc charakteru bezwzględnego. Każdy z administratorów powinien dokonać stosownej oceny czy w konkretnym przypadku naruszenie danych może powodować ryzyko dla podmiotów, których dane dotyczą.

Z tego powodu również admiratorzy zadbać o odpowiednie procedury pozwalające na prawidłową ocenę incydentów związanych z zasadami bezpieczeństwa przetwarzania danych. W przypadku kontroli organu nadzorczego administrator musi wykazać, że przyjęte przez niego kryteria oceny skutków naruszeń ochrony danych na sytuację osób fizycznych pozwalały na podjęcie prawidłowej decyzji o braku stosownego zawiadomienia o danym incydencie. W przeciwnym wypadku, administrator naraża się na sankcje administracyjne.

RODO wymaga prowadzenia dokumentacji, w której będą odnotowane naruszenia ochrony danych osobowych

Zgodnie z art. 33 ust. 5 RODO administrator powinien prowadzić odpowiednią dokumentację, w której będą odnotowane wszelkie naruszenia ochrony danych osobowych (w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze). Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania obowiązków notyfikacyjnych.

W kolejnych publikacjach przybliżymy pozostałe aspekty związane z obowiązkami notyfikacyjnymi. Skupimy się na konieczności powiadomienia podmiotu danych o naruszeniu ochrony danych oraz współpracy z podmiotami, którym administratorzy powierzyli przetwarzanie danych osobowych.

Powiązane zagadnienia

Skontaktuj się z nami

Michał Mastalerz

Michał Mastalerz

Prezes PwC w Polsce, PwC Polska

Tel.: +48 22 746 4000

Linkedin Follow Email
Obserwuj nas