Zgłoszenie naruszenia ochrony danych – czy znaczenie ma liczba poszkodowanych

Maciej Lipka

Autor: Maciej Lipka

Dodano: 4 czerwca 2019
f45168c54330b5bd8a4613187473d6304bff5a8c-xlarge

Rolą administratora jest ocena, czy dane zdarzenie jest naruszeniem ochrony danych uzasadniającym dokonanie zgłoszenia do Prezesa UODO ewentualnie do podmiotu danych. Czy można z góry wykluczyć konieczność takiego zgłoszenia, jeżeli naruszono ochronę danych osobowych tylko jednej osoby? Odpowiedź znajdziesz w artykule.

Definicja naruszenia ochrony danych

Z art. 4 pkt 12 RODO wynika, że naruszenie ochrony danych osobowych to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Definicja ta stanowi punkt wyjścia do oceny, czy w danej sytuacji doszło do naruszenia ochrony danych.

W niektórych przypadkach naruszenie ochrony danych osobowych powinno zostać zgłoszone:

  • Prezesowi Urzędu Ochrony Danych Osobowych, ale także
  • osobom fizycznym, których przetwarzane dane osobowe dotyczą.

Kiedy zgłaszamy naruszenie do Prezesa UODO

Na podstawie art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator danych osobowych bez zbędnej zwłoki (w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) powinien zgłosić je Prezesowi UODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Poza tym, zgodnie z ust. 5 administrator powinien dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić Prezesowi UODO na weryfikowanie przestrzegania art. 33 RODO.

Z powyższego wynika, że naruszenie powinniśmy zgłosić, jeżeli:

  • dany incydent wpisuje się w opisaną w RODO definicję naruszenia oraz
  • wystąpiło prawdopodobieństwo naruszenia praw i wolności jakiejkolwiek osoby.

Nie ma w tym wypadku znaczenia liczba osób poszkodowanych.

Uwaga

RODO nie wskazuje na minimalną liczbę osób poszkodowanych naruszeniem ochrony danych osobowych, która automatycznie oznaczałaby obowiązek zgłoszenia takiego naruszenia Prezesowi UODO. Zatem obowiązek taki może powstać już w przypadku, gdy sytuacja naruszenia praw lub wolności choćby jednej osoby fizycznej jest prawdopodobna. To prawdopodobieństwo powinien ocenić administrator.

Stąd też, obowiązkiem zgłoszenia naruszenia Prezesowi UODO będzie np. objęta sytuacja, w której z winy pracowników przychodni wyniki badań choćby jednego pacjenta dostaną się w ręce niepowołanej do ich odbioru osoby.

… a kiedy do podmiotu danych

Na podstawie art. 34 ust. 1 RODO naruszenie ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, zobowiązuje ADO do powiadomienia osoby, której takie naruszenie dotyczy. Zawiadomienie takie nie będzie jednak wymagane, gdy:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie (w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych);
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
  • wymagałoby ono niewspółmiernie dużego wysiłku - w takim przypadku administrator powinien wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób.

Dlatego też trudno jest mówić o niewspółmiernie dużym wysiłku w przypadku jednej poszkodowanej osoby (chyba że z jakichkolwiek przyczyn ustalenie jej danych kontaktowych sprawia istotne trudności).

Uwaga

Przy zgłaszaniu naruszenia danych osobowych oceniamy prawdopodobieństwo naruszenia praw i wolności osób fizycznych oraz kroki podjęte przed i po incydencie a nie liczbę osób poszkodowanych naruszeniem.

Maciej Lipka

Autor: Maciej Lipka

Jest ekspertem ds. ochrony danych osobowych. Specjalizuje się w problemach związanych z wdrażaniem obowiązujących przepisów w organizacji, wskazując zarówno na wymogi formalne, jak i na praktyczne rozwiązania ułatwiające przestrzeganie prawa.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x