Zgłaszanie naruszenia ochrony danych osobowych

W sytuacji, gdy dojdzie do naruszenia ochrony danych, kluczowy jest czas reakcji – podkreśla Urząd Ochrony Danych Osobowych. W jaki sposób powiadomić prezesa UODO o naruszeniu? Jakie obowiązki w związku z naruszeniami mają administratorzy? Tematykę tę omawiali 14 stycznia 2019 r. eksperci podczas spotkania w Warszawie.

Informatyk przy komputerze
  • Tomasz Wolf
  • /
  • 16 stycznia 2019
  • Kiedy i jak zgłosić naruszenie ochrony danych?
  • Czy zgłoszenie musi być na formularzu UODO.
  • Co zrobić, gdy na początku mamy małą wiedzę o naruszeniu ochrony danych?

Zgodnie z artykułem 33 – Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu:

„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.”

- Kluczowa dla każdego zgłaszania naruszenia jest ochrona praw i wolności osób, których dane dotyczą. Dlatego niezwykle ważny jest szybki czas reakcji. Szybkie zgłoszenie naruszenia ma kolosalne znaczenie nie tylko dla tych osób, których ono dotyczy, ale także dla budowania zaufania do działań administratora – zwraca uwagę dr Edyta Bielak-Jomaa, prezes UODO.

>>>CZYTAJ TEŻ: 10 wskazówek, jak korzystać z praw gwarantowanych przez RODO

Nie zawsze istnieje wymóg zgłaszania naruszeń prezesowi UODO.

- Nie ma takiego obowiązku, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeśli administrator utracił bezpiecznie zaszyfrowany pendrive z danymi, a klucz szyfrowania pozostaje tylko w jego posiadaniu, a ponadto nie jest to jedyna kopia tych danych, w takiej sytuacji dane pozostają niedostępne np. dla złodzieja – wskazuje Michał Mazur, zastępca dyrektora w zespole Współpracy z Administratorami Danych UODO.

Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest prezes UODO. Urząd informuje, że zgłoszenia można dokonać na 4 sposoby:

  • Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl.
  • Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
  • Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl.
  • Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu.

- Pomocny dla administratorów zgłaszających naruszenia jest formularz przygotowany przez UODO. Nie ma obowiązku zgłaszania naruszeń na tym formularzu, ale administratorzy, którzy z niego korzystają, popełniają miej błędów – zaznacza Tomasz Struk, starszy specjalista w zespole Współpracy z Administratorami Danych UODO.

A co w sytuacji, gdy administratorzy muszą zgłosić incydent prezesowi UODO w ciągu 72 godzin od wykrycia zdarzenia, a nie mają pełnej wiedzy na jego temat?

- W ciągu pierwszych 72 godzin należy przekazać to, co już udało się ustalić. A gdy tylko dowiemy się kolejnych szczegółów związanych z zaistniałym naruszeniem, należy niezwłocznie uzupełnić zgłoszenie o nowe informacje – wyjaśnia Tomasz Struk.

>>>CZYTAJ TEŻ: RODO i nowe uprawnienia konsumentów

Komentarze