Zgłoszenie naruszenia ochrony danych osobowych – czyli jak zachować zimną krew w sytuacji kryzysowej

22 grudnia 2017 |

Przypadki naruszeń ochrony danych osobowych są coraz częstszym zjawiskiem społecznym. RODO nie mogło pozostać obojętne i nałożyło na wszystkich administratorów obowiązek niezwłocznego, nie później niż w terminie 72 godzin od chwili stwierdzenia naruszenia, zgłoszenia zaistniałego incydentu. Przypomnijmy, iż obowiązek taki na gruncie obecnych przepisów dotyczył tylko przedsiębiorców telekomunikacyjnych. Jak dokładnie powinna wyglądać taka procedura?

 

Zgłoszenie naruszenia organowi nadzorczemu

 

W przypadku stwierdzenia przez administratora naruszenia, powinien od jak najszybciej powiadomić o tym organ nadzorczy, którym od 25 maja 2018 r. będzie Prezes Urzędu Ochrony Danych Osobowych. Czas, jakim dysponuje administrator to 72 godziny. Po przekroczeniu tego terminu, obowiązek zgłoszenia istnieje oczywiście nadal, jednakże do pisma informującego o incydencie należy dołączyć wyjaśnienie przyczyny opóźnienia. Chociaż RODO przyznaje stosunkowo niewielką ilość czasu, to w dużej mierze ułatwia wypełnienie zadania – w art. 33 ust. 3 wskazuje minimum treści zgłoszenia. I tak, zgłoszenie powinno zawierać co najmniej:

 

  1. opis naruszenia – w szczególności jego skalę poprzez wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone oraz kategorii i przybliżonej liczby wpisów danych, których dotyczy naruszenie;

  2. dane kontaktowe inspektora ochrony danych lub wskazanie innej osoby kontaktowej, od którego możliwe będzie uzyskanie szczegółowych informacji;

  3. wskazanie możliwych konsekwencji naruszenia;

  4. wskazanie, jakie działania zaradcze w związku z incydentem zostały już podjęte lub propozycję takich działań.

 

Zawiadomienie osoby o naruszeniu jej danych osobowych

 

RODO nie poprzestaje wyłącznie na wymogu zawiadomienia Prezesa Urzędu o zaistniałym naruszeniu. Wymaga ono także powiadomienia o nim osoby, której dane zostały naruszone. I choć nie jest to łatwy orzech do zgryzienia, to administratorzy są zobligowani jakoś go przełknąć. Stawka może i nie jest większa niż życie, ale przedsiębiorcy wypełniając ten obowiązek narażają na szwank swój wizerunek – na który często pracowali przez wiele lat. Oczywiście to sam „wyciek” danych naraża reputację prowadzonego przedsiębiorstwa, ale nie ulega wątpliwości, iż podając go do wiadomości przedsiębiorcy narażają  się na utratę dotychczasowej pozycji w oczach kontrahentów.  Obowiązek jest jednakże obowiązkiem i należy także wskazać, iż jego wprowadzenie zasługuje na aprobatę. Informując o zaistniałym incydencie, administratorzy ostrzegają w zasadzie osoby nim dotknięte o potencjalnych zagrożeniach, na które mogą się oni przygotować a może i nawet im zapobiec. Administratorzy realizując ten obowiązek powinni pamiętać o tym, aby zawiadomienie było napisane prostym i jasnym językiem oraz zawierało podobne informacje, jak zgłoszenie złożone do Prezesa Urzędu.

 

Ryzyko naruszenia praw lub wolności

 

Co istotne, wykonanie powyżej opisanych obowiązków notyfikujących zaistniałe incydenty, jest zasadne tylko wówczas jeżeli wiązałyby się z ryzykiem naruszenia praw i wolności osób. O jakie prawa i wolności chodzi? Odpowiedź dostarcza motyw 85 RODO, w którym wskazane jest, iż chodzi o naruszenie skutkujące powstaniem po stronie osoby, której dane są przetwarzane „uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, takich jak utrata kontroli nad własnymi danymi osobowymi, dyskryminacja, kradzież, sfałszowanie tożsamości, strata finansowa czy naruszenie dobrego imienia”. Jeżeli zatem w wyniku wycieku danych nie dojdzie do naruszenia powyższych praw, administrator nie jest zobowiązany powiadamiać o zaistniałym incydencie Prezesa Urzędu ani osoby, której dane zostały naruszone. Ponadto, w stosunku samego zawiadomienia osoby, której dane dotyczą, administrator nie jest zobowiązany do informowania jej także wówczas, jeżeli zastosował takie środki techniczne i organizacyjne, które uniemożliwią odczytanie danych (np. szyfrowanie) bądź wiązałoby się to dla administratora z niewspółmiernie dużym wysiłkiem – w szczególności z uwagi na znaczny krąg podmiotów, których dane zostały naruszone – wówczas wystarczającym działaniem będzie publiczny komunikat (np. ogłoszenie w prasie).

 

Administracyjne kary pieniężne

 

Za naruszenie obowiązków notyfikacyjnych administratorowi będzie groziła w wysokości do 10.000.000 Euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (!)

 

Powiało trochę grozą, prawda?

 

Aby nieco rozluźnić wprowadzony stan grozy, Redakcja RODOkompasu przygotowała Poradnik zawierający kilka metod które być może okażą się kołem ratunkowym przed tymi zatrważającymi krew w żyłach sankcjami 🙂🙂🙂

 

Metoda „na Kota w butach ze Shrek’a” – dotychczas niezwykle skuteczna metoda w relacjach damsko-męskich, w szczególności wykorzystywana przez tę piękniejszą, słabszą płeć. Być może to maślane, słodkie i niewinne spojrzenie skruszy serce Prezesa Urzędu i obędzie się bez kary 🙂 

 

 

Metoda „na strusia” – przysłowiowo chowamy głowę w piasek, udając, że do żadnego wycieku nie doszło. Opcjonalnie, warto dla wzmocnienia efektu rozważyć zastosowanie funkcji „wytrzeszcz zdziwionych oczu”, które spotęgują wiarygodność braku świadomości jakiegokolwiek wycieku (jeżeli odważymy się wyciągnąć głowę z piasku) 🙂

 

 

 

Metoda „see you later aligator” – mówiąc w skrócie i wprost – gdy tylko kontrola Urzędu zapuka do drzwi, uciekamy, gdzie pieprz rośnie 🙂

 

 

 

Oczywiście, prosimy potraktować powyższe metody ze śmiechem podczas tego Świątecznego Czasu a powagę zachować na Nowy Rok 🙂 Drogi Administratorze, trzymamy kciuki za to, że ze zdrowym rozsądkiem wykonasz obowiązki ciążące na Tobie z mocy RODO i nie będziesz (musiał🙂) sięgać do naszego żartobliwego Poradnika – jego zastosowanie z całą pewnością nie będzie już takie zabawne w rzeczywistości🙂 Mamy także nadzieję, iż zastosowane środki organizacyjne i techniczne okażą się wystarczające i nie do rozszyfrowania niczym dawna Enigma i odstraszą każdego potencjalnego hakera. 🙂🙂🙂

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ