Jak zawiadomić o naruszeniu ochrony danych – 4 rady od Prezesa UODO
W przypadku naruszenia ochrony danych obowiązkiem administratora danych osobowych jest niezwłoczne zawiadomienie Prezesa UODO o dokonanym naruszeniu ale też poinformowanie o tym naruszeniu podmiotu danych – jeżeli występuje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Niestety stosunkowo często zawiadomienia są sporządzone zbyt ogólnikowo lub są wewnętrznie sprzeczne. Jak uniknąć błędów? Warto skorzystać z rad organu nadzorczego.
Nie zapominaj o niezbędnych elementach zawiadomienia
Przede wszystkim zawiadomienie o naruszeniu kierowane do podmiotu danych powinno zawierać
- opis charakteru naruszenia (np. przedstawienie okoliczności wystąpienia naruszenia wraz z opisem kategorii danych);
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został
on wyznaczony) lub innego punktu kontaktowego, od którego można uzyskać więcej informacji; - opis możliwych konsekwencji naruszenia ochrony danych osobowych (np. możliwość zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych);
- opis środków zastosowanych i proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego ewentualnych negatywnych skutków (np. poinformowanie o możliwości założenia konta w systemie informacji kredytowej celem monitorowania aktywności kredytowej).
Używaj przejrzystego i zrozumiałego języka
Administrator musi dołożyć wszelkich starań, by zawiadomienie było zredagowane z użyciem przejrzystego i zrozumiałego języka. Prezes UODO radzi zatem, (powołując się na Wytyczne Grupy Roboczej Art. 29) by używać bezpośrednich sformułowań.
- „Podajemy informacje o krokach, które może Pani podjąć w związku z incydentem”
- „Następstwem naruszenia ochrony Pana danych osobowych może być założenie na Pana dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej)”
Nie mniej ważna jest spójność komunikatu. Poza tym opis możliwych skutków naruszenia i zalecenia dla podmiotu danych powinny być dostosowane do konkretnego stanu faktycznego.
Jeżeli naruszenie wiąże się z ryzykiem zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych, warto wskazać na możliwość założenia konta w systemie informacji kredytowej, aby monitorować aktywność kredytową.
Transparentność komunikatu zapewnimy dzięki oddzieleniu opisu i charakteru naruszenia od możliwych konsekwencji, środków zaradczych czy danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.
Wybierz odpowiednią metodę komunikacji
Należy wybrać taką formę zawiadomienia, by podmiot danych miał możliwość wielokrotnego zapoznania się z jego treścią.
- komunikacja bezpośrednia (np. bezpośrednie wiadomości e-mail lub SMS)
- zwracające na siebie uwagę bannery
- powiadomienia na stronach internetowych lub reklamy w mediach drukowanych
Obowiązkiem administratora jest zagwarantowanie jak największej szansy największą szansę właściwego przekazania informacji wszystkim osobom fizycznym, na które to naruszenie wywiera wpływ. Czasem więc konieczne może okazać się równoległe skorzystanie z różnych metod komunikacji.
Zawiadomienie musi zostać dostarczone adresatowi w możliwie najkrótszym czasie.
Nie zawsze możesz ograniczyć się do publicznego komunikatu
Administrator nie musi dokonywać bezpośredniego zamówienia, ale tylko wówczas, gdy wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku wystarczy publiczny komunikat lub podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą (art. 34 ust. 3 lit. c RODO). Zastosowanie takiego rozwiązania powinno być jednak poprzedzone wnikliwą analizą całokształtu okoliczności sprawy, tak aby administrator zgodnie z regułą rozliczalności był w stanie wykazać, iż indywidualne zawiadomienie osób, których dane dotyczą, z przyczyn obiektywnych jest utrudnione lub niemożliwe. W tym celu należy porównać wysiłek wkładany w udzielenie informacji bezpośrednio osobie, której dane dotyczą, z konsekwencjami i skutkami dla tej osoby. Co więcej taki komunikat powinien być odseparowany od innych wiadomości przesyłanych podmiotowi danych.
Zdaniem Prezesa UODO powiadomienie w formie komunikatu prasowego lub wpisu na blogu internetowym nie jest skutecznym poinformowaniem osoby fizycznej o naruszeniu ochrony danych.
Więcej wskazówek dostępne jest tutaj>>
- Strona internetowa Sejmu RP (www.sejm.gov.pl).
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Zgoda na przetwarzanie danych osobowych o zdrowiu musi być udokumentowana
- Księga główna przychodni zawiera dane osobowe o zdrowiu pacjentów
- Jak przeprowadzić analizę ryzyka dla danych osobowych w związku z wdrożeniem sztucznej inteligencji
- Samorządy muszą spodziewać się kontroli RODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
