.
W bazie wiedzy znajduje się  3964  pytań wraz z odpowiedziami.
   Aktualności Szkolenia Ważne informacje Cennik Kalkulator wynagrodzeń Kontakt #

RODO - notyfikacja naruszeń

Dziennik Gazeta Prawna (2018-02-13), autor: Marcin Lewoszewski, oprac.: GR

Od 25 maja br. naruszenia ochrony danych osobowych trzeba będzie obowiązkowo zgłaszać do prezesa Urzędu Ochrony Danych Osobowych – czytamy w Dzienniku Gazecie Prawnej
 
Obowiązek notyfikacji wynika z art. 33 RODO, zgodnie z którym „w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”.

Przepis ten może budzić wątpliwości interpretacyjne. Z samej treści RODO trudno bowiem wywieść, kiedy następuje stwierdzenie naruszenia przez administratora albo kiedy naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Nieprawidłowe zaś zastosowanie tych pojęć może prowadzić do niewykonania lub spóźnionego wykonania obowiązków związanych z reagowaniem na naruszenie ochrony danych, a w konsekwencji do nałożenia sankcji na przedsiębiorców. Grupa Robocza Art. 29 podjęła próbę wskazania właściwego rozumienia tych pojęć.

Zgodnie z wytycznymi Grupy administrator stwierdza naruszenie, gdy ma uzasadnioną pewność, że wystąpił incydent bezpieczeństwa, który doprowadził do niego. Kiedy przedsiębiorca uzyskuje ową uzasadnioną pewność, będzie to zależeć od okoliczności konkretnego naruszenia. Grupa podaje następujące przykłady, kiedy powstanie obowiązek powiadomienia:

- zgubiona płyta CD z niezaszyfrowanymi danymi osobowymi – w momencie odkrycia, że płyta została zgubiona,

- informacja otrzymana przez przedsiębiorcę od osoby trzeciej, że ta przez przypadek otrzymała dane osobowe, których administratorem jest przedsiębiorca – z chwilą otrzymania takiej informacji, pod warunkiem jednak przedłożenia dowodu otrzymania takich danych przez osobę trzecią,

- przedsiębiorca wykrywa potencjalne włamanie osób nieuprawnionych do jego sieci – z chwilą gdy po sprawdzeniu systemów informatycznych przedsiębiorca potwierdza wystąpienie takiego zdarzenia,

- cyberprzestępca kontaktuje się z przedsiębiorcą po dokonaniu ataku z użyciem oprogramowana typu ransomware na jego system informatyczny w celu wyłudzenia okupu – od momentu otrzymania takiego żądania.

Grupa Robocza Art. 29 podpowiada także, że choć przedsiębiorca może potrzebować czasu od momentu, kiedy dowie się o potencjalnym zdarzeniu mogącym stanowić naruszenie do chwili stwierdzenia naruszenia ochrony danych osobowych, to powinien być to tylko krótki okres na wewnętrzne sprawdzenie, czy do naruszenia rzeczywiście doszło.

Drugim elementem, który trzeba będzie ocenić, jest wystąpienie ryzyka naruszenia praw lub wolności osób. Ryzyko to obejmuje zdarzenia prowadzące do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, dyskryminacji, kradzieży tożsamości, oszustwa dotyczącego tożsamości, straty finansowej, naruszenia dobrego imienia.

Grupa uznała, że przykładem sytuacji, w której takie ryzyko nie zachodzi, jest ujawnienie danych osobowych, które i tak są publicznie dostępne. Podkreślić jednak trzeba, że taka ocena musi być każdorazowo dokonywana w odniesieniu do konkretnego stanu faktycznego.

W przypadku zakwalifikowania naruszenia ochrony danych jako mogącego powodować ryzyko naruszenia praw lub wolności osób fizycznych, administrator powinien niezwłocznie, w miarę możliwości nie później niż w ciągu 72 godzin, poinformować o tym prezesa UODO.

Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać co najmniej:

- opis charakteru naruszenia (w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie),

- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji),

- opis możliwych konsekwencji naruszenia,

- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym – w stosownych przypadkach – środków podjętych w celu zminimalizowania ewentualnych negatywnych skutków.

Warto zwrócić uwagę na wymóg podania liczby osób, których dane dotyczą. W praktyce nie zawsze będzie możliwe łatwe ustalenie dokładnej liczby osób dotkniętych naruszeniem. Co ważne, Grupa Robocza Art. 29 stanęła w takiej sytuacji na stanowisku, że brak tej dokładnej liczby nie powinien wstrzymywać notyfikacji do organu nadzoru, bowiem administrator w przypadku braku dokładnych informacji powinien podać liczbę przybliżoną, a następnie uzupełnić zgłoszenie (w którym doprecyzuje dane).

Przygotowanie kompletu informacji podlegających zgłoszeniu w przypadku naruszenia ochrony danych może być dość wymagającym zadaniem. Wynikać to może z wielu czynników, np. stopnia skomplikowania stanu faktycznego, konieczności przeprowadzenia niezbędnych konsultacji z podmiotem przetwarzającym, czy też konieczności przeprowadzenia innych dodatkowych analiz. Tego typu sytuacje przewidział unijny ustawodawca, pozwalając zgłaszać naruszenia do organu nadzoru sukcesywnie. A zatem w pierwszym zgłoszeniu można przekazać niezwłocznie organowi nadzoru tylko takie informacje związane z naruszeniem, jakimi aktualnie dysponuje administrator. To oczywiście nie zwalnia go z konieczności przekazania kompletnych informacji w momencie, kiedy będą one już dostępne.

Co ważne, omawiana notyfikacja do UODO nie tylko ma wpływ na działalność i obowiązki administratora danych, lecz także stawia określone wymagania przed podmiotem, który przetwarza na zlecenie administratora dane osobowe dotknięte naruszeniem. Podmiot przetwarzający jest zobowiązany w pierwszej kolejności do notyfikowania stwierdzonych naruszeń administratorowi – i to bez zbędnej zwłoki (co wynika z przepisu art. 33 ust. 2 RODO). Ponadto, uwzględniając charakter przetwarzania oraz dostępne mu informacje, ma on obowiązek pomagać administratorowi w stwierdzeniu naruszenia i przygotowaniu jego zgłoszenia. W wielu przypadkach jego rola będzie nie do przecenienia, w szczególności wtedy, gdy administrator właściwie nie przetwarza danych osobowych samodzielnie, we własnej infrastrukturze, ale większość działań na danych osobowych wykonuje za niego podmiot przetwarzający.

Więcej w Dzienniku Gazecie Prawnej z 13 lutego 2018 r.
dodano: 2018-02-13 11:26







Podaj e-mail, aby otrzymywać
najświeższe informacje:

dodatkowe informacje »

     REKLAMA

  » znajdź więcej artykułów w archiwum
Podaj e-mail i poleć tę stronę znajomemu:
Od:
Do:
REKOMENDOWANE SERWISY
baza wiedzy       expert       eulgi       zpchrpro       centrum szkolen     srodowisko     centrum
O nas | Prywatność | Regulamin | Kontakt | Polityka prywatności | Polityka cookies | Do góry


designed by INFO BAZA sp. z o.o. Wszystkie prawa zastrzeżone, kopiowanie i rozpowszechnianie materiałów zamieszczonych na stronie bez zgody właściciela serwisu zabronione.