Jak zawiadomić o naruszeniu ochrony danych – 4 rady od Prezesa UODO

Dodano: 6 sierpnia 2019
Depositphotos_4879065_m-2015

W przypadku naruszenia ochrony danych obowiązkiem administratora danych osobowych jest niezwłoczne zawiadomienie Prezesa UODO o dokonanym naruszeniu ale też poinformowanie o tym naruszeniu podmiotu danych – jeżeli występuje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Niestety stosunkowo często zawiadomienia są sporządzone zbyt ogólnikowo lub są wewnętrznie sprzeczne. Jak uniknąć błędów? Warto skorzystać z rad organu nadzorczego.

Nie zapominaj o niezbędnych elementach zawiadomienia

Przede wszystkim zawiadomienie o naruszeniu kierowane do podmiotu danych powinno zawierać

  • opis charakteru naruszenia (np. przedstawienie okoliczności wystąpienia naruszenia wraz z opisem kategorii danych);
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został 
    on wyznaczony) lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opis możliwych konsekwencji naruszenia ochrony danych osobowych (np. możliwość zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych);
  • opis środków zastosowanych i proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego ewentualnych negatywnych skutków (np. poinformowanie o możliwości założenia konta w systemie informacji kredytowej celem monitorowania aktywności kredytowej).

Używaj przejrzystego i zrozumiałego języka

Administrator musi dołożyć wszelkich starań, by zawiadomienie było zredagowane z użyciem przejrzystego i zrozumiałego języka. Prezes UODO radzi zatem, (powołując się na Wytyczne Grupy Roboczej Art. 29) by używać bezpośrednich sformułowań.

Przykład
  • „Podajemy informacje o krokach, które może Pani podjąć w związku z incydentem”
  • „Następstwem naruszenia ochrony Pana danych osobowych może być założenie na Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej)”

Nie mniej ważna jest spójność komunikatu. Poza tym opis możliwych skutków naruszenia i zalecenia dla podmiotu danych powinny być dostosowane do konkretnego stanu faktycznego.

Przykład

Jeżeli naruszenie wiąże się z ryzykiem zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych, warto wskazać na możliwość założenia konta w systemie informacji kredytowej, aby monitorować aktywność kredytową.

Transparentność komunikatu zapewnimy dzięki oddzieleniu opisu i charakteru naruszenia od możliwych konsekwencji, środków zaradczych czy danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.

Wybierz odpowiednią metodę komunikacji

Należy wybrać taką formę zawiadomienia, by podmiot danych miał możliwość wielokrotnego zapoznania się z jego treścią.

Przykład
  • komunikacja bezpośrednia (np. bezpośrednie wiadomości e-mail lub SMS)
  • zwracające na siebie uwagę bannery
  • powiadomienia na stronach internetowych lub reklamy w mediach drukowanych

Obowiązkiem administratora jest zagwarantowanie jak największej szansy największą szansę właściwego przekazania informacji wszystkim osobom fizycznym, na które to naruszenie wywiera wpływ. Czasem więc konieczne może okazać się równoległe skorzystanie z różnych metod komunikacji.

Zawiadomienie musi zostać dostarczone adresatowi w możliwie najkrótszym czasie.

Nie zawsze możesz ograniczyć się do publicznego komunikatu

Administrator nie musi dokonywać bezpośredniego zamówienia, ale tylko wówczas, gdy wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku wystarczy publiczny komunikat lub podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą (art. 34 ust. 3 lit. c RODO). Zastosowanie takiego rozwiązania powinno być jednak poprzedzone wnikliwą analizą całokształtu okoliczności sprawy, tak aby administrator zgodnie z regułą rozliczalności był w stanie wykazać, iż indywidualne zawiadomienie osób, których dane dotyczą, z przyczyn obiektywnych jest utrudnione lub niemożliwe. W tym celu należy porównać wysiłek wkładany w udzielenie informacji bezpośrednio osobie, której dane dotyczą, z konsekwencjami i skutkami dla tej osoby. Co więcej taki komunikat powinien być odseparowany od innych wiadomości przesyłanych podmiotowi danych.

Przykład

Zdaniem Prezesa UODO powiadomienie w formie komunikatu prasowego lub wpisu na blogu internetowym nie jest skutecznym poinformowaniem osoby fizycznej o naruszeniu ochrony danych.

Uwaga

Więcej wskazówek dostępne jest tutaj>>

Źródło:
  • Strona internetowa Sejmu RP (www.sejm.gov.pl).

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel