Obowiązek zgłaszania naruszeń ochrony danych osobowych

14 godzin temu

Ochrona danych osobowych jest istotnym elementem prowadzenia działalności gospodarczej, zyskującym jeszcze na znaczeniu, zwłaszcza w dobie cyfryzacji. Przedsiębiorcy często nie zdają sobie spawy z tego, iż każde działanie z użyciem informacji o osobach, pozwalające na ich identyfikację, jest przetwarzaniem danych osobowych. Wszędzie zaś tam, gdzie dane są przetwarzane, może dojść do naruszenia ochrony danych osobowych.

RODO nakłada na administratorów danych, tj. podmioty, które ustalają cele i sposoby przetwarzania danych osobowych, obowiązek zgłaszania naruszeń organowi nadzorczemu oraz w określonych przypadkach, również osobom, których dane dotyczą. Niedopełnienie tych obowiązków może skutkować poważnymi konsekwencjami, w tym finansowymi.

Czym jest naruszenie ochrony danych osobowych

Zgodnie z art. 14 pkt 12 RODO, naruszenie ochrony danych osobowych to każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Naruszenie może mieć różne formy i wynikać na przykład z błędu pracownika, awarii systemów IT, zgubienia nośnika danych czy włamania do systemów przechowujących informacje.

Typowym przypadkiem naruszenia ochrony danych osobowych jest więc:

  • wysłanie e-maila zawierającego dane osobowe do nieuprawnionego odbiorcy,
  • kradzież laptopa z niezabezpieczoną bazą danych klientów,
  • przejęcie dostępu do konta użytkownika lub systemu IT przez nieuprawnioną osobę,
  • przypadkowe opublikowanie w Internecie dokumentów zawierających dane osobowe.

Obowiązki przedsiębiorcy w przypadku naruszenia danych osobowych

RODO wymaga od administratorów podejścia opartego na ryzyku. Oznacza to konieczność dostosowania środków ochrony do poziomu zagrożenia dla praw i wolności osób fizycznych. Administratorzy muszą więc samodzielnie oceniać ryzyko wiążące się z przetwarzaniem i decydować, jak zapewnić zgodność z RODO. Administratorzy powinni oceniać i uwzględniać ryzyko zarówno na etapie planowania przetwarzania, jaki i w jego trakcie (privacy by design i privacy by default).

Niestety choćby najlepsze rozwiązania organizacyjne i techniczne nie gwarantują, iż do naruszenia ochrony danych nie dojdzie. W takim przypadku administratorzy powinni:

  1. dokonać oceny ryzyka związanego z naruszeniem – każde naruszenie powinno być ocenione pod kątem potencjalnych skutków dla praw i wolności osób fizycznych. Konieczne jest oszacowanie wagi potencjalnych konsekwencji oraz prawdopodobieństwo ich wystąpienia, uwzględniając m.in. rodzaj naruszenia ochrony danych, charakter tych danych, łatwość identyfikacji osób, których dotyczą i ich liczbę. Na tej podstawie administratorzy muszą ustalić, czy naruszenie może oznaczać: brak ryzyka, wystąpienie ryzyka lub wystąpienie wysokiego ryzyka;
  2. zgłosić naruszenie do Prezesa Urzędu Ochrony Danych Osobowych – jeżeli naruszenie może prowadzić do ryzyka naruszenia praw lub wolności osób fizycznych, przedsiębiorca ma obowiązek zgłosić je do Prezesa UODO w ciągu 72 godzin od stwierdzenia incydentu. Brak zgłoszenia w terminie może skutkować dodatkowymi sankcjami.
  3. powiadomić osoby, których dane dotyczą – jeżeli istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych (c), administrator musi dodatkowo niezwłocznie powiadomić poszkodowanych. Zawiadomienie powinno zawierać informacje o możliwych konsekwencjach naruszenia oraz dalszych działaniach, jakie w tej sytuacji mogą zostać podjęte;
  4. udokumentować naruszenie – każde naruszenie, niezależnie od jego skali i możliwych konsekwencji powinno być udokumentowane. Dokumentacja powinna zawierać informacje o zdarzeniu, podjętych działaniach i środkach zapobiegawczych.

Konsekwencje niezastosowania się do wymagań RODO

RODO penalizuje nie samo wystąpienie incydentu, ale postępowanie niezgodne z przewidzianymi w rozporządzeniu obowiązkami. Za naruszenie przepisów RODO administratorom grozi:

  • administracyjna kara pieniężna – Prezes UODO może nałożyć administracyjną karę pieniężną do 20 mln euro lub 4% obrotu za najpoważniejsze naruszenia (np. w zakresie zasad przetwarzania danych czy za niestosowanie się do nakazów organu nadzorczego), a za pozostałe naruszenia – do 10 mln euro lub 2% obrotu, w zależności od tego, która kwota jest wyższa. Poza karami pieniężnymi Prezes UODO może także wydawać nakazy związane z przywróceniem zgodności z RODO, a choćby nakazać ograniczenie przetwarzania, co w praktyce może całkiem zatamować proces biznesowy;
  • odpowiedzialność cywilna – osoby, które ucierpiały wskutek naruszenia ich danych, mogą dochodzić odszkodowania za szkody materialne i krzywdę,
  • utrata reputacji – w dobie mediów społecznościowych informacje o naruszeniach mogą rozprzestrzeniać się bardzo szybko. Prawidłowa reakcja przedsiębiorcy na zdarzenie często wpływa na odbiór incydentu przez klientów.

W ostatnich miesiącach Prezes UODO coraz częściej weryfikuje, czy administrator zasadnie odstąpił od zawiadomienia organu o incydencie. W wielu przypadkach taka weryfikacja kończy się nałożeniem kary. Tytułem przykładu, za niezgłoszenie Prezesowi UODO faktu naruszenia ochrony danych osobowych, w listopadzie 2023 r. nałożono na Link4 TU S.A. administracyjną karę pieniężną w wysokości 103.752 zł, a w kwietniu 2024 r. – aż 1,44 mln zł na Santander Bank Polska S.A.

Jak unikać naruszeń?

Celem RODO nie jest zapewnienie absolutnej nienaruszalności danych osobowych, ale zagwarantowanie, iż administratorzy podejmą adekwatne kroki by minimalizować ryzyko, będą chronić prawa i wolności osób, których dane dotyczą, a także odpowiednio zareagują w razie wystąpienia incydentu. W związku z tym przedsiębiorcy jako administratorzy danych osobowych powinni:

  1. przeprowadzać regularne szkolenia dla pracowników – pracownicy powinni znać podstawowe zasady ochrony danych, stosować się do wewnętrznych procedur oraz umieć rozpoznawać zagrożenia (np. w zakresie phishingu),
  2. stosować odpowiednie zabezpieczenia – adekwatne środki techniczne i organizacyjne zmniejszają ryzyko incydentów. Należy korzystać z silnych mechanizmów szyfrowania, podwójnego uwierzytelniania oraz wprowadzać polityki ograniczające współpracownikom dostęp do danych tylko w niezbędnym minimum,
  3. monitorować i audytować – cykliczna kontrola systemów oraz procedur pozwala wykryć i usunąć potencjalne zagrożenia,
  4. współpracować z ekspertami – warto rozważyć stałą współpracę z inspektorem ochrony danych (IOD) oraz specjalistami ds. cyberbezpieczeństwa, którzy pomogą wdrożyć skuteczne zabezpieczenia i procedury.

Podsumowanie

Dbałość o ochronę danych osobowych to nie tylko obowiązek prawny, ale również element budowania wiarygodności przedsiębiorstwa. Współczesny świat biznesu wymaga świadomego podejścia do ochrony danych, co przekłada się na lepszą reputację i zaufanie klientów. Odpowiednie postępowanie z danymi jest procesem złożonym i wiąże się nie tylko z koniecznością wprowadzenia adekwatnych zabezpieczeń technicznych, ale także przygotowania i doskonalenia procedur oraz polityk. Naruszenie ochrony danych może wystąpić w każdej organizacji, ważne jest jednak świadome minimalizowanie tego ryzyka oraz adekwatne postępowanie w razie zdarzenia. Zdiagnozowanie przyczyn incydentu, zgłoszenie go do organu nadzorczego oraz podjęcie adekwatnych działań zaradczych może uchronić firmę przed karami i negatywnymi konsekwencjami wizerunkowymi.

Artykuł autorstwa: adw. Przemysław Sobiesiak

W razie pytań, a także pomysłów tematów na kolejne wydania Newsletter’a zapraszamy do kontaktu:

[email protected]

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. Obowiązek zgłaszania naruszeń ochrony danych osobowych

Powiązane

Barometr Providenta: Światowy Dzień Konsumenta – niemal 80 proc. osób udostępnia swoje dane osobowe w zamian za zniżkę na zakupy

Barometr Providenta: Światowy Dzień Konsumenta – niemal 80 p...

7 godzin temu
Czerwona nota – kiedy trzeba z nią walczyć?

Czerwona nota – kiedy trzeba z nią walczyć?

10 godzin temu
Dramat hipsterów. Ich dane osobowe poszły w Internet

Dramat hipsterów. Ich dane osobowe poszły w Internet

1 dzień temu
Czy biura rachunkowe muszą wdrożyć przepisy dotyczące ochrony sygnalistów?

Czy biura rachunkowe muszą wdrożyć przepisy dotyczące ochron...

3 dni temu
Google gromadzi mnóstwo danych o użytkownikach urządzeń z Androidem, choćby jeżeli nie uruchomili oni żadnej aplikacji

Google gromadzi mnóstwo danych o użytkownikach urządzeń z An...

3 dni temu
Od lat jeździ bez prawa jazdy i podaje dane siostry.

Od lat jeździ bez prawa jazdy i podaje dane siostry.

4 dni temu
Monitoring wizyjny w placówkach medycznych – wyzwania legislacyjne

Monitoring wizyjny w placówkach medycznych – wyzwania legisl...

4 dni temu
UODO dostanie więcej zgłoszeń naruszeń ochrony danych osobowych

UODO dostanie więcej zgłoszeń naruszeń ochrony danych osobow...

4 dni temu