Zaktualizowany poradnik dotyczący naruszeń ochrony danych osobowych – na co UODO zwraca uwagę?

Urząd Ochrony Danych Osobowych opublikował zaktualizowany poradnik dotyczący naruszeń ochrony danych osobowych. Na co zwraca w nim uwagę? Omawiamy najważniejsze kwestie.

Czym jest naruszenie ochrony danych osobowych?

Naruszenie ochrony danych osobowych jest incydentem bezpieczeństwa, dotyczącym przetwarzania danych osobowych. Może polegać na naruszeniu:

1. poufności – czyli ujawnieniu danych osobowych osobom nieuprawnionym (np. omyłkowe przesłanie wiadomości e-mail zawierającej dane osobowe do nieuprawnionego odbiorcy);
2. integralności – czyli nieuprawnionej modyfikacji danych (np. wprowadzenie błędnych danych osobowych);
3. dostępności – czyli utracie lub zniszczeniu danych osobowych (np. zagubienie dokumentacji papierowej lub atak ransomware).

Co trzeba zrobić w przypadku naruszenia danych osobowych?

W przypadku wystąpienia zdarzenia, które może się kwalifikować jako naruszenie ochrony danych osobowych, administrator tych danych zobowiązany jest do przeprowadzenia wewnętrznej oceny. Jej celem jest sprawdzenie, czy zdarzenie może spowodować ryzyko naruszenia praw i wolności podmiotów danych. jeżeli tak – poradnik wskazuje na obowiązek zgłoszenia naruszenia danych osobowych do UODO.

Ile jest czasu w zgłoszenie?

Administrator danych musi zgłosić naruszenie ochrony danych osobowych do UODO w ciągu 72 godzin od jego stwierdzenia. W przypadku opóźnienia w dokonaniu zgłoszenia – konieczne jest wskazanie jego przyczyny.

Termin liczony jest od momentu „stwierdzenia” wystąpienia naruszenia. Jest to moment, w którym administrator ma wystarczającą wiedzę o incydencie oraz jego okolicznościach, aby uznać go za naruszenie ochrony danych.

UODO podkreśla, iż w razie potrzeby administratorzy mają możliwość dokonania zgłoszenia wstępnego i jego późniejszego uzupełnienia – po uzyskaniu niezbędnych informacji.

Opóźnienie w zgłoszeniu naruszenia danych osobowych – na co nie może powoływać się administrator?

UODO podkreśla, iż niektóre okoliczności nie usprawiedliwiają opóźnienia dokonania zgłoszenia. Są to m.in.:

1. nieobecność osób odpowiedzialnych za zgłoszenie;
2. termin zgłoszenia przypadający w weekend lub inny dzień wolny od pracy;
3. oczekiwanie na zakończenie wewnętrznego dochodzenia w sprawie incydentu;
4. oczekiwanie na zgromadzenie wszystkich wymaganych informacji.

Odpowiedzialność administratora danych w przypadku naruszenia

W poradniku UODO podkreślono bardzo istotną kwestię – samo wystąpienie naruszenia ochrony danych nie przesądza o odpowiedzialności administratora.

Jeżeli administratorzy przestrzegają RODO i wypełniają swoje obowiązki w tym zakresie, to nie powinni obawiać się kar administracyjnych. RODO nie wymaga zapobiegania wszystkim możliwym naruszeniom ochrony danych osobowych, ale prawidłowe działania mogą je zminimalizować.

UODO, podczas analizy zdarzenia, sprawdzi, czy w danym przypadku działania i środki stosowane przez administratora były adekwatne.

Pełna treść poradnika dotyczącego naruszeń danych osobowych >>

Jesteśmy do Państwa dyspozycji w przypadku wystąpienia naruszenia ochrony danych osobowych. Możemy również pomóc w doborze odpowiednich środków zapobiegających występowaniu naruszeń w organizacji. Zachęcamy do kontaktu!