zawiadomienie podmiotów danych
Jak zredagować zgłoszenie naruszenia ochrony danych
W przypadku naruszenia ochrony danych generującego więcej niż małe prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych administrator musi zgłosić to naruszenie do Prezesa UODO. Natomiast gdy to ryzyko jest wysokie, konieczne jest również zawiadomienie podmiotów danych. Sprawdź, jak zredagować te zawiadomienia.
Co powinno znaleźć się w zgłoszeniu naruszenia ochrony danych do Prezesa UODO
Prezes UODO musi być zawiadomiony o naruszeniu ochrony danych najszybciej jak to jest możliwe. Zgłoszenie nie może nastąpić później niż w ciągu72 godzin od stwierdzenia naruszenia.
W zgłoszeniu naruszenia ochrony danych do Prezesa UODO należy:
- opisać charakter naruszenia ochrony danych osobowych (w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie);
- wskazać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub inny punkt kontaktowy, od którego można uzyskać więcej informacji;
- opisać możliwe konsekwencje naruszenia ochrony danych osobowych;
- opisać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, (w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków).
Zgłoszenie do Prezesa UODO dokonywane jest w postaci elektronicznej. Wykorzystuje się w tym celu formularz dostępny na stronie internetowej UODO.
Zgłoszenie naruszenia ochrony danych do Prezesa UODO w języku polskim
Formularz należy oczywiście wypełnić z należytą precyzją. Kwestia ta nie budzi wątpliwości. Wprawdzie nie sprecyzowano w nim języka, jakiego należy używać. Niemniej jednak z uwagi na język urzędowy UODO oraz język samego formularza, należy go wypełnić wyłącznie w języku polskim.
Z artykułu dowiesz się m.in.:
- jakiego języka użyć w zgłoszeniu naruszenia do Prezesa UODO i w zawiadomieniu dla podmiotów danych,
- jakie informacje powinny zawierać obydwa zgłoszenia,
- jak zredagować poszczególne informacje,
- jak postąpić w przypadku, gdy podmiotami danych są dzieci lub osoby ubezwłasnowolnione.
Co grozi za niezgłoszenie naruszenia ochrony danych (analiza orzecznictwa UODO)
Zawiadomienie Prezesa UODO oraz podmiotów danych o naruszeniu to jeden z najważniejszych obowiązków administratora. Jego niewykonanie może skutkować dotkliwymi konsekwencjami finansowymi. Przekonał się o tym stosunkowo niedawno Santander Bank Polska. Kary z tego tytułu otrzymało też wiele innych podmiotów. Jako że najlepiej uczyć się na cudzych błędach, wyciągnijmy wnioski z decyzji Prezesa UODO.
Naruszenie ochrony danych – 3 obowiązki administratora
W związku z naruszeniem ochrony danych administrator w określonych przypadkach musi:
- dokonać zgłoszenia naruszenia do Prezesa UODO,
- zawiadomić o zdarzeniu osoby, których dotyczy naruszenie,
- udokumentować naruszenie.
W pierwszym kroku administrator zgłasza naruszenie Prezesowi UODO. Jest to konieczne, gdy naruszenie to rodzi co najmniej średnie prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.
Natomiast jeśli to ryzyko jest wysokie, wówczas należy dodatkowo zawiadomić o naruszeniu osoby, których to zdarzenie dotyczy. Pobierz wzór komunikatu o naruszeniu ochrony danych.
Przeczytaj także: Jak zawiadomić podmiot danych o naruszeniu – 5 rad dla ADO
To jednak nie wszystko. W każdym przypadku naruszenia ochrony danych administrator msi je udokumentować. Powinien wówczas zarejestrować:
- okoliczności naruszenia,
- jego skutków,
- podjętych działań zaradczych.
Takie udokumentowanie może nastąpić np. w rejestrze lub raporcie z naruszeń. Pobierz wzór raportu z naruszenia.
Zaniechania związane ze zgłoszeniem naruszenia ochrony danych skutkowały w wielu przypadkach karami pieniężnymi.
|
Decyzja |
Kogo dotyczy |
Wysokość kary |
|
19 stycznia 2022 r. |
Santander Bank Polska S.A. |
545 748 zł |
|
14 października 2021 r. |
Bank Millennium S.A. |
363 832 zł |
|
30 czerwca 2021 r. |
Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra |
13 644 zł |
|
21 czerwca 2021 r. |
Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. |
159 176 zł |
|
8 czerwca 2021 r. |
P4 Sp. z o.o. |
100 000 zł |
|
11 stycznia 2021 r. |
ENEA S.A. |
136 437 zł |
|
5 stycznia 2021 r. |
Śląski Uniwersytet Medyczny w Katowicach |
25 000 zł |
|
9 grudnia 2020 r. |
TUiR WARTA S.A. |
85 588 zł |
Przeanalizujmy wybrane z tych spraw i wyciągnijmy z nich wnioski dla administratorów.
Z artykułu dowiesz się:
- dlaczego Santander Bank otrzymał karę ponad pół miliona zł,
- co to znaczy – ryzyko naruszenia praw i wolności podmiotów danych,
- czy wina ma znaczenie w kontekście zgłoszenia naruszenia,
- czy deklaracja nieuprawnionego odbiorcy danych ma znaczenie.
