zgłoszenie naruszenia ochrony danych

ochrona danych osobowych 4 (5)

Zgłoszenie naruszenia ochrony danych osobowych – w jaki sposób go dokonać

Czasu na zgłoszenie naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych jest bardzo niewiele. Poza tym w niektórych przypadkach administrator danych osobowych musi poinformować o naruszeniu także osoby poszkodowane. Ważny jest nie tylko czas reakcji ale też treść zgłoszeń. Sprawdź, w jaki sposób dokonać zgłoszenia naruszenia ochrony danych.

3 rodzaje naruszeń ochrony danych osobowych

Przypomnijmy, że naruszenia ochrony danych można podzielić na 3 grupy, jako kryterium biorąc pod uwagę ryzyko naruszenia praw lub wolności podmiotów danych. Odpowiadają im konkretne obowiązki administratora danych osobowych

Rodzaj naruszenia

Opis naruszenia

Reakcja administratora

naruszenie nieistotne

Naruszenie to rodzi niewielkie ryzyko, że incydent doprowadzi do naruszenia praw lub wolności ww. osób fizycznych,

Należy udokumentować zdarzenie (np. poprzez wpis do raportu z naruszeń i rejestru naruszeń)

naruszenie średniej wagi

Istnieje uzasadnione prawdopodobieństwo wystąpienia negatywnych skutków zdarzenia czyli wystąpienia naruszenia praw lub wolności osób fizycznych (nadal jednak mniej niż 50%).

Należy:

  • zgłosić naruszenie ochrony danych do Prezesa UODO do 72 godzin po stwierdzeniu naruszenia,

  • udokumentować zdarzenie.

naruszenie istotne

Zdarzenie to generuje wysokie ryzyko, że incydent doprowadzi do naruszenia praw lub wolności fizycznych. Prawdopodobieństwo wystąpienia negatywnych skutków jest wyższe niż 50%.

Należy:

  • zgłosić naruszenie ochrony danych do Prezesa UODO,

  • zawiadomić o naruszeniu osoby, których dane zostały naruszone,

  • udokumentować zdarzenie.

Konsekwencje niezgłoszenia naruszenia przez administratora danych osobowych

Niewykonanie obowiązku zgłaszania naruszeń ochrony danych osobowych jest bardzo częstym powodem nałożenia administracyjnej kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych. Najczęściej jest to wynik całkowitej bierności administratora albo niewłaściwej oceny poziomu ryzyka wiążącego się z incydentem.

Zawiadomienie podmiotów danych o naruszeniu nie jest jednak konieczne, gdy:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony, które zastosowano względem naruszonych danych, przez co uniemożliwiono ich odczyt (np. szyfrowanie, fragmentacja, anonimizacja),
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą (np. zawiadomienie odpowiednich organów o wycieku, natychmiastowe zablokowanie zasobów przed dostępem osób trzecich, zmiana haseł)
  • wymagałoby ono niewspółmiernie dużego wysiłku (zamiast tego wydawany jest publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego podmioty danych zostają poinformowane w równie skuteczny sposób – ten punkt stosuje się zwłaszcza do masowych wycieków danych osobowych).
Korzyści 

Z artykułu dowiesz się m.in.:

  • co powinno zawierać zgłoszenie naruszenia ochrony danych do Prezesa UODO i zawiadomienie podmiotów,

  • jak w praktyce zredagować te zgłoszenia,

  • jak przekazać zgłoszenia adresatom.

naruszenie ochrony danych

Jak zredagować zgłoszenie naruszenia ochrony danych

W przypadku naruszenia ochrony danych generującego więcej niż małe prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych administrator musi zgłosić to naruszenie do Prezesa UODO. Natomiast gdy to ryzyko jest wysokie, konieczne jest również zawiadomienie podmiotów danych. Sprawdź, jak zredagować te zawiadomienia.

Co powinno znaleźć się w zgłoszeniu naruszenia ochrony danych do Prezesa UODO

Prezes UODO musi być zawiadomiony o naruszeniu ochrony danych najszybciej jak to jest możliwe. Zgłoszenie nie może nastąpić później niż w ciągu72 godzin od stwierdzenia naruszenia.

W zgłoszeniu naruszenia ochrony danych do Prezesa UODO należy:

  • opisać charakter naruszenia ochrony danych osobowych (w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie);
  • wskazać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub inny punkt kontaktowy, od którego można uzyskać więcej informacji;
  • opisać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, (w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków).

Zgłoszenie do Prezesa UODO dokonywane jest w postaci elektronicznej. Wykorzystuje się w tym celu formularz dostępny na stronie internetowej UODO.

Zgłoszenie naruszenia ochrony danych do Prezesa UODO w języku polskim

Formularz należy oczywiście wypełnić z należytą precyzją. Kwestia ta nie budzi wątpliwości. Wprawdzie nie sprecyzowano w nim języka, jakiego należy używać. Niemniej jednak z uwagi na język urzędowy UODO oraz język samego formularza, należy go wypełnić wyłącznie w języku polskim.

Korzyści 

Z artykułu dowiesz się m.in.:

  • jakiego języka użyć w zgłoszeniu naruszenia do Prezesa UODO i w zawiadomieniu dla podmiotów danych,
  • jakie informacje powinny zawierać obydwa zgłoszenia,
  • jak zredagować poszczególne informacje,
  • jak postąpić w przypadku, gdy podmiotami danych są dzieci lub osoby ubezwłasnowolnione.
kara pieniężna UODO

Co grozi za niezgłoszenie naruszenia ochrony danych (analiza orzecznictwa UODO)

Zawiadomienie Prezesa UODO oraz podmiotów danych o naruszeniu to jeden z najważniejszych obowiązków administratora. Jego niewykonanie może skutkować dotkliwymi konsekwencjami finansowymi. Przekonał się o tym stosunkowo niedawno Santander Bank Polska. Kary z tego tytułu otrzymało też wiele innych podmiotów. Jako że najlepiej uczyć się na cudzych błędach, wyciągnijmy wnioski z decyzji Prezesa UODO.

Naruszenie ochrony danych – 3 obowiązki administratora

W związku z naruszeniem ochrony danych administrator w określonych przypadkach musi:

  • dokonać zgłoszenia naruszenia do Prezesa UODO,
  • zawiadomić o zdarzeniu osoby, których dotyczy naruszenie,
  • udokumentować naruszenie.

W pierwszym kroku administrator zgłasza naruszenie Prezesowi UODO. Jest to konieczne, gdy naruszenie to rodzi co najmniej średnie prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.

Natomiast jeśli to ryzyko jest wysokie, wówczas należy dodatkowo zawiadomić o naruszeniu osoby, których to zdarzenie dotyczy. Pobierz wzór komunikatu o naruszeniu ochrony danych.

Przeczytaj także: Jak zawiadomić podmiot danych o naruszeniu – 5 rad dla ADO

To jednak nie wszystko. W każdym przypadku naruszenia ochrony danych administrator msi je udokumentować. Powinien wówczas zarejestrować:

  • okoliczności naruszenia,
  • jego skutków,
  • podjętych działań zaradczych.

Takie udokumentowanie może nastąpić np. w rejestrze lub raporcie z naruszeń. Pobierz wzór raportu z naruszenia.

Zaniechania związane ze zgłoszeniem naruszenia ochrony danych skutkowały w wielu przypadkach karami pieniężnymi.

Decyzja

Kogo dotyczy

Wysokość kary

19 stycznia 2022 r.

DKN.5131.33.2021

Santander Bank Polska S.A.

545 748 zł

14 października 2021 r.

DKN.5131.16.2021

Bank Millennium S.A.

363 832 zł

30 czerwca 2021 r.

DKN.5131.11.2020

Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra

13 644 zł

21 czerwca 2021 r.

DKN.5131.3.2021

Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.

159 176 zł

8 czerwca 2021 r.

DKN.5131.10.2020

P4 Sp. z o.o.

100 000 zł

11 stycznia 2021 r.

DKN.5131.7.2020

ENEA S.A.

136 437 zł

5 stycznia 2021 r.

DKN.5131.6.2020

Śląski Uniwersytet Medyczny w Katowicach

25 000 zł

9 grudnia 2020 r.

DKN.5131.5.2020

TUiR WARTA S.A.

85 588 zł

Przeanalizujmy wybrane z tych spraw i wyciągnijmy z nich wnioski dla administratorów.

Korzyści 

Z artykułu dowiesz się:

  • dlaczego Santander Bank otrzymał karę ponad pół miliona zł,
  • co to znaczy – ryzyko naruszenia praw i wolności podmiotów danych,
  • czy wina ma znaczenie w kontekście zgłoszenia naruszenia,
  • czy deklaracja nieuprawnionego odbiorcy danych ma znaczenie.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x