Zgłoszenie naruszenia ochrony danych osobowych – w jaki sposób go dokonać
Czasu na zgłoszenie naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych jest bardzo niewiele. Poza tym w niektórych przypadkach administrator danych osobowych musi poinformować o naruszeniu także osoby poszkodowane. Ważny jest nie tylko czas reakcji ale też treść zgłoszeń. Sprawdź, w jaki sposób dokonać zgłoszenia naruszenia ochrony danych.
3 rodzaje naruszeń ochrony danych osobowych
Przypomnijmy, że naruszenia ochrony danych można podzielić na 3 grupy, jako kryterium biorąc pod uwagę ryzyko naruszenia praw lub wolności podmiotów danych. Odpowiadają im konkretne obowiązki administratora danych osobowych
|
Rodzaj naruszenia |
Opis naruszenia |
Reakcja administratora |
|
naruszenie nieistotne |
Naruszenie to rodzi niewielkie ryzyko, że incydent doprowadzi do naruszenia praw lub wolności ww. osób fizycznych, |
Należy udokumentować zdarzenie (np. poprzez wpis do raportu z naruszeń i rejestru naruszeń) |
|
naruszenie średniej wagi |
Istnieje uzasadnione prawdopodobieństwo wystąpienia negatywnych skutków zdarzenia czyli wystąpienia naruszenia praw lub wolności osób fizycznych (nadal jednak mniej niż 50%). |
Należy:
|
|
naruszenie istotne |
Zdarzenie to generuje wysokie ryzyko, że incydent doprowadzi do naruszenia praw lub wolności fizycznych. Prawdopodobieństwo wystąpienia negatywnych skutków jest wyższe niż 50%. |
Należy:
|
Konsekwencje niezgłoszenia naruszenia przez administratora danych osobowych
Niewykonanie obowiązku zgłaszania naruszeń ochrony danych osobowych jest bardzo częstym powodem nałożenia administracyjnej kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych. Najczęściej jest to wynik całkowitej bierności administratora albo niewłaściwej oceny poziomu ryzyka wiążącego się z incydentem.
Zawiadomienie podmiotów danych o naruszeniu nie jest jednak konieczne, gdy:
- administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony, które zastosowano względem naruszonych danych, przez co uniemożliwiono ich odczyt (np. szyfrowanie, fragmentacja, anonimizacja),
- administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą (np. zawiadomienie odpowiednich organów o wycieku, natychmiastowe zablokowanie zasobów przed dostępem osób trzecich, zmiana haseł)
- wymagałoby ono niewspółmiernie dużego wysiłku (zamiast tego wydawany jest publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego podmioty danych zostają poinformowane w równie skuteczny sposób – ten punkt stosuje się zwłaszcza do masowych wycieków danych osobowych).
Z artykułu dowiesz się m.in.:
-
co powinno zawierać zgłoszenie naruszenia ochrony danych do Prezesa UODO i zawiadomienie podmiotów,
-
jak w praktyce zredagować te zgłoszenia,
-
jak przekazać zgłoszenia adresatom.
Zobacz, jak Portal PoradyODO.pl pomoże Ci wykonywać Twoją pracę bezbłędnie i zawsze na czas.
- Niezbędne wzory dokumentów – gotowe do wypełnienia, w pełni edytowalne, zgodne z RODO
- Listy kontrolne, które pokażą Ci, czy Ty i Twoja organizacja jesteście dostosowani do RODO w 100%
- Dostęp do pełnej bazy porad przez 24h
Jeśli masz już dostęp do Portalu, zaloguj się »
- Jak zrealizować obowiązek informacyjny RODO mikroprzedsiębiorców
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
- Kody QR a bezpieczeństwo danych osobowych
- Skarga do WSA na decyzję UODO – jak ją złożyć
- RODO a KZP - zasady przetwarzania danych osobowych w kasie zapomogowo-pożyczkowej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
