Kiedy firma telekomunikacyjna musi zawiadomić o naruszeniu

Dodano: 21 czerwca 2018
Kiedy firma telekomunikacyjna musi zawiadomić o naruszeniu

Firmy telekomunikacyjne to jedne z podmiotów, które muszą zawiadomić Prezesa Urzędu Ochrony Danych Osobowych – a czasami również osoby, których ono dotyczy – o naruszeniu ochrony danych osobowych. Prezes UODO wyjaśnia, kiedy i jak to robić.

Zgodnie z: 

  • ogólnym rozporządzeniem o ochronie danych (RODO), 
  • rozporządzeniem Komisji (UE) nr 611/2013 z 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej,
  • ustawą z 16 lipca 2004 r. – Prawo telekomunikacyjne

dostawcy publicznie dostępnych usług telekomunikacyjnych w przypadku stwierdzenia naruszenia ochrony danych osobowych muszą powiadomić o tym krajowe organy nadzorcze, w Polsce – Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO). Dodatkowo w niektórych przypadkach konieczne jest również powiadomienie abonenta lub użytkownika końcowego, którego dane zostały naruszone.

Czym jest naruszenie danych osobowych

Przez naruszenie danych osobowych rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych w związku ze świadczeniem przez przedsiębiorcę telekomunikacyjnego publicznie dostępnych usług telekomunikacyjnych.

Kto i w jakim terminie powinien powiadomić Prezesa UODO o naruszeniu danych osobowych

Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych. Naruszenie danych osobowych powinno być zgłoszone niezwłocznie, ale nie później niż 24 godziny po wykryciu naruszenia. Termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) nr 611/2013. Ponieważ jest on krótszy niż termin wskazany w RODO, to przedsiębiorcy telekomunikacyjni powinni dołożyć wszelkich starań, aby przesłać wymagane prawem informacje w terminie 24, a nie 72 godzin.

W jaki sposób można zawiadomić Prezesa UODO o wystąpieniu naruszenia

Zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO dokonuje się elektronicznie za pomocą odpowiedniego formularza dostępnego na stronie internetowej urzędu pod linkiem https://uodo.gov.pl/pl/134/233. Formularz ten zawiera wszystkie wymagane informacje, o których mowa w art. 2 ust. 2 rozporządzenia Komisji (UE) nr 611/2013.

Kiedy i w jakim celu trzeba zawiadomić o naruszeniu osoby, których dane dotyczą

Zgodnie z rozporządzeniem Komisji (UE) nr 611/2013, jeśli istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych bądź prywatności abonenta lub osoby fizycznej, dostawca publicznie dostępnych usług telekomunikacyjnych – oprócz powiadomienia Prezesa UODO – niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego. Zawiadomienie abonenta lub osoby fizycznej następuje bez zbędnej zwłoki po wykryciu naruszenia ochrony danych osobowych przez administratora.

Co powinno zawierać zawiadomienie skierowane do abonenta

Zgodnie z art. 3 ust. 4 rozporządzenia Komisji (UE) nr 611/2013, w powiadomieniu skierowanym do abonenta lub osoby fizycznej dostawca zawiera takie informacje, jak:

  • nazwa dostawcy,
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji,
  • streszczenie zdarzenia, w wyniku którego doszło do naruszenia danych osobowych,
  • przybliżona data zdarzenia,
  • charakter i treść danych osobowych – zgodnie z art. 3 ust. 2 rozporządzenia,
  • prawdopodobne konsekwencje naruszenie danych osobowych dla danego abonenta lub osoby fizycznej – zgodnie z art. 3 ust. 2 rozporządzenia,
  • okoliczności naruszenia danych osobowych – zgodnie z art. 3 ust. 2 rozporządzenia,
  • środki wprowadzone przez dostawcę w celu zaradzenia naruszeniu ochrony danych osobowych,
  • środki zalecane przez dostawcę w celu złagodzenia ewentualnych niekorzystnych skutków.

Kiedy nie ma obowiązku informowania osób, których dane dotyczą, o naruszeniu ochrony danych

Zawiadomienie abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona (na podstawie art. 174a ust. 5 Prawa telekomunikacyjnego).

Co w przypadku, gdy administrator nie zawiadomił abonenta o naruszeniu danych

Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego, który jest osobą fizyczną, o naruszeniu danych osobowych, Prezes UODO może nałożyć na dostawcę – w drodze decyzji – obowiązek przekazania abonentom lub użytkownikom końcowym, którzy są osobami fizycznymi, takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.

Czy dostawca usług telekomunikacyjnych musi prowadzić rejestr naruszeń danych osobowych

Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań. Rejestr ten powinien obejmować następujące elementy:

  • opis charakteru naruszeń danych osobowych,
  • informacje o zaleconych przez dostawcę usług środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszeń danych osobowych,
  • informacje o działaniach podjętych przez dostawcę usług telekomunikacyjnych,
  • informacje o poinformowaniu bądź nie abonenta o wystąpieniu naruszenia danych osobowych,
  • opis skutków naruszenia danych osobowych,
  • opis zaproponowanych przez „dostawcę” środków naprawczych.
Źródło:

Prezes Urzędu Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel