5 przypadków, w których musisz zdecydować, czy należy zgłosić naruszenie ODO

Zgłoszenie naruszenia do Prezesa UODO jest konieczne. Mamy tu bowiem do czynienia z danymi szczególnej kategorii, których posiadanie przez osobę nieuprawnioną może każdorazowo powodować negatywne skutki. Nie wiemy bowiem, do jakich celów mogą zostać wykorzystane, np. do tzw. nagonki medialnej. Istnieje więc duże ryzyko naruszenia praw i wolności osoby fizycznej.

Zgłoszenie naruszenia nie wydaje się konieczne. Administrator jest zobowiązany do przeanalizowania sytuacji pod kątem oceny prawdopodobnych skutków takiego uchybienia. Tutaj pojawiają się różne opcje i wątpliwości. W sytuacji gdy ma się pewność, że nikt nie zapoznał się z treścią dokumentów (lokal zamknięty, nie było w ostatnim czasie petentów), wówczas można założyć, że nie powstaną żadne negatywne skutki dla praw i wolności osób, których dane znajdowały się w pozostawionych pismach. Inaczej, gdy zachodzi pewność, że była w tym czasie przyjmowana duża liczba petentów, dokumenty noszą ślady przekładania, są porozrzucane czy poniszczone. W tym przypadku nie ma większych wątpliwości co do ich bezprawnego ujawnienia.

W takiej sytuacji nie zgłaszamy naruszenia. Wprawdzie jest to niepożądana praktyka, która powinna mieć odzwierciedlenie zarówno w treści dokumentacji administratora, jaką jest polityka ochrony danych osobowych w danej jednostce, jak i we wszelkich regulaminach pracowniczych. Nie jest to jednak rodzaj naruszenia, który wymaga zgłoszenia do UODO. To bowiem uchybienie wewnętrznej dyscyplinie pracy i tak powinno zostać co do zasady potraktowane.

Odpowiedź brzmi: to zależy.Sytuacja, w której pracownik wykonuje takie czynności samowolnie, a dodatkowo będzie to związane z przetwarzaniem danych osobowych (kadrowych, płacowych, ubezpieczeniowych i innych), jest naruszeniem bezpieczeństwa danych osobowych. Administrator traci kontrolę nad danymi osobowymi. Jest to zaburzenie zarówno poufności, integralności, jak i dostępności do danych osobowych.

Jeżeli jednak pracownik usunie wszelkie dane ze swoich prywatnych nośników, złoży stosowne oświadczenie o nieprzekazywaniu danych osobom nieuprawnionym, to można przychylić się do stanowiska, że zgłoszenie do UODO nie będzie konieczne.

Co do zasady należy zgłosić naruszenie ochrony danych. W sytuacji, gdy następuje kradzież urządzenia, na którym są przechowywane dane osobowe, można:

• utracić dane w sposób trwały z uwagi na brak kopii zapasowych;

• nigdy nie ustalić tożsamości sprawcy, co utrudnia ocenę dalszych skutków;

• odzyskać skradziony sprzęt i dzięki wprowadzonym zabezpieczeniom i zaszyfrowaniu danych mieć pewność, że nikt nie zapoznał się z ich treścią.

W przypadku nieodzyskania skradzionych rzeczy zupełnie tracimy kontrolę nad przetwarzanymi danymi osobowymi.