Site Search

Loading Results

Zawiadomienia o naruszeniu ochrony danych osobowych wg RODO

28/11/17

Jednym z głównych celów RODO jest zapewnienie osobom fizycznym wysokich standardów bezpieczeństwa przetwarzania ich danych osobowych

Projektując przepisy Rozporządzenia o ochronie danych osobowych (RODO) europejski ustawodawca jednak zdawał sobie sprawę z tego, że w miarę postępującej digitalizacji i przenoszenia niemal każdego aspektu naszej codziennej aktywności do sieci, zapewnienie stuprocentowego bezpieczeństwa nie będzie możliwe. Prędzej czy później, administratorzy danych osobowych mogą mieć do czynienia z różnego rodzaju incydentami związanymi z naruszeniem ochrony danych. W poprzednim artykule  „Obowiązek notyfikacji naruszeń ochrony danych osobowych wg RODO” przybliżyliśmy obowiązki, jakie ciążą w takiej sytuacji na administratorach danych względem organu nadzorczego. Tym razem skupimy się na problematyce zawiadomienia o naruszeniu ochrony danych podmiotów, których dane dotyczą.

bezpieczeństwo przetwarzania danych osobowych

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

RODO, art. 34 ust. 1

RODO reguluje obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Art. 34 RODO w pewien sposób przypomina obowiązek informowania organu nadzorczego. Jego istotą jest odpowiednia reakcja na incydent naruszenia ochrony danych i przekazanie informacji związanych z takim naruszeniem.

Zgodnie z art. 34 ust. 1 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Jak wskazano w motywie 86 RODO, niezwłoczne zawiadomienie podmiotu danych ma umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Przykładowo, może tutaj chodzić o jak najszybszą zmianę haseł dostępowych do skrzynki pocztowej lub konta bankowego. W ten sposób przepisy RODO mają służyć ograniczaniu negatywnych konsekwencji związanych z naruszeniem ochrony danych osobowych oraz zwiększeniu ogólnego poziomu ochrony praw lub wolności podmiotów danych.

Obowiązek powiadomienia podmiotu danych ciąży na administratorze w sytuacji, gdy spełnione zostaną jednocześnie dwie przesłanki

Po pierwsze, musi mieć miejsce naruszenie ochrony danych osobowych.
 Zgodnie z definicją art. 4 pkt 12 RODO: „Naruszenie ochrony danych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Po drugie, naruszenie ochrony danych powinno wiązać się z możliwością spowodowania wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
Wypada zauważyć, że sformułowanie „wysokie ryzyko naruszenia praw lub wolności”, o którym mowa w art. 34 ust. 1 RODO jest pojęciem nieostrym i otwiera drogę do wielu różnych interpretacji. W związku z tym, administratorzy danych powinni pomyśleć o wdrożeniu odpowiednich procedur pozwalających na dokonanie jednolitej i obiektywnej oceny każdego przypadku naruszenia. Kryteria, na podstawie których powinna być dokonywana ocena ryzyka naruszenia praw lub wolności osób powinny być podobne do kryteriów, które będą brane pod uwagę przy realizacji obowiązków notyfikacyjnych względem organu nadzorczego. Z tego powodu rekomendowane jest utworzenie jednej procedury, która umożliwi jednoczesne dokonanie prawidłowej decyzji związanej z obowiązkami powiadomienia organu oraz podmiotu danych.

Warto zauważyć, że obowiązek zawiadomienia podmiotu danych ciąży wyłącznie na tych podmiotach, którym przysługuje status administratora danych. Podmiot przetwarzający dane na zlecenie administratora (procesor) nie ma obowiązku skontaktowania się z osobą, której dane dotyczą. Na podstawie art. 33 ust. 2 RODO procesor powinien jednak zawiadomić administratora o każdym przypadku naruszenia ochrony danych, tak aby ten mógł ocenić, czy zrealizowały się wszystkie przesłanki związane z obowiązkami notyfikacyjnymi, a następnie podjąć odpowiednie czynności.

Administratorzy danych powinni pomyśleć o wdrożeniu odpowiednich procedur pozwalających na dokonanie jednolitej i obiektywnej oceny każdego przypadku naruszenia

Administrator danych jest zobowiązany do zawiadomienia podmiotu danych bez zbędnej zwłoki

W przypadku, gdy administrator stwierdzi, że spełnione zostały wszystkie przesłanki z art. 34 ust. 1 RODO, ciąży na nim obowiązek zawiadomienia podmiotu danych, który powinien zostać zrealizowany bez zbędnej zwłoki. Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych powinno nastąpić najszybciej, jak to tylko możliwe w konkretnym przypadku. Im poważniejsze jest ryzyko naruszenia praw lub wolności osób, tym szybsza powinna być reakcja administratora.

Zgodnie z przepisami RODO, przekazanie podmiotom informacji związanych z przetwarzaniem ich danych powinno nastąpić na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą (art. 12 ust. 1 RODO). W przypadku zawiadomienia o naruszeniu ochrony danych za najodpowiedniejszą formę przekazania stosownego komunikatu należy uznać taką, która umożliwia podmiotowi danych jak najszybsze powzięcie informacji o naruszeniu ochrony i podjęcie odpowiednich korków zaradczych. W szczególności chodzić tutaj może o wysłanie wiadomości mailowej lub SMS-owej.

Zgodnie z wymogami RODO, zawiadomienie podmiotu danych powinno być wyrażone jasnym i prostym językiem. Treść komunikatu należy dostosować do kategorii jego adresatów, zwłaszcza dzieci. W związku z tym należy unikać posługiwania się językiem prawniczym lub technicznym mogącym utrudnić zrozumienie komunikatu.

Treść zawiadomienia podmiotu danych o naruszeniu ochrony musi co najmniej:

  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Podobnie, jak w przypadku obowiązku notyfikacyjnego względem organu nadzorczego, ustawodawca przewidział sytuacje, w których pomimo naruszenia ochrony danych osobowych, wykonanie obowiązku zawiadomienia podmiotu danych nie będzie konieczne. 

Zawiadomienie nie jest wymagane, gdy:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie (w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych);
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Prawidłowa realizacja obowiązku zawiadomienia podmiotu danych jest niezwykle istotna w kontekście kar administracyjnych. Zgodnie z RODO naruszenie opisywanego obowiązku może narazić administratora danych na sankcje w postaci administracyjnej kary pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Z tego powodu, podejmując decyzję o rezygnacji z zawiadomienia osób fizycznych o fakcie naruszenia ochrony danych osobowych, administrator powinien dysponować należytymi podstawami, które pozwolą mu uzasadnić taką decyzję przed organem nadzorczym.

Na zakończenie warto również zasygnalizować, że obowiązki związane z zawiadomieniem podmiotów, których dane dotyczą, o naruszeniu ochrony danych mogą zostać zmodyfikowane w odniesieniu do poszczególnych kategorii administratorów w znowelizowanych przepisach sektorowych.

Tytułem przykładu można wskazać m.in. art. 41 pkt 8 przepisów wprowadzających ustawę o ochronie danych osobowych, w którym banki oraz instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego mają zostać zwolnione z obowiązku zawiadomienia podmiotu danych, jeżeli takie zawiadomienie będzie mogło powodować naruszenie stabilności sektora bankowego.

Powiązane zagadnienia

Skontaktuj się z nami

Michał Mastalerz

Michał Mastalerz

Prezes PwC w Polsce, PwC Polska

Tel.: +48 22 746 4000

Linkedin Follow Email
Obserwuj nas