Masz firmę – naruszyłeś RODO. Co dalej?

Masz firmę – naruszyłeś RODO. Co dalej?

3 listopada 2020 Wyłączono przez kurier

Masz firmę – naruszyłeś RODO. Co dalej?

 

Zgłaszanie naruszeń ochrony danych osobowych jest obowiązkiem wynikającym wprost z RODO. Art. 33 rozporządzenia wskazuje wprost, że „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu.” A Polsce organem właściwym do tych zgłoszeń jest Prezes Urzędu Ochrony Danych Osobowych.

Na czym polega naruszenie ochrony danych?

Jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). 

Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:

  1. naruszenie dotyczy danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez dany podmiot;
  2. skutkiem naruszenia jest zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
  3. naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Szczególnie trzecia przesłanka ma charakter ocenny. Nie zawsze możliwe będzie stwierdzenie czy dane naruszenie było skutkiem złamania zasad bezpieczeństwa danych.  

Jednocześnie, jak wskazuje się w wytycznych do RODO, można wyróżnić trzy typy naruszenia ochrony danych osobowych:

  1. naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;

 Przykład: Niezamierzone wysłanie za pomocą poczty e-mail danych osobowych klienta do niewłaściwego odbiorcy 

  1. naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych;

 Przykład: Zgubienie laptopa/innego nośnika, na którym znajduje się baza danych osobowych klientów firmy.

  1. naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany.

 Przykład: Typowym przykładem wskazywanym przez Urząd Ochrony Danych Osobowych jest dopisanie litery na końcu nazwiska osoby, np. zamiast Jan Kowalski powstaje Jan Kowalskip.

 

Pamiętajmy, że lepiej zapobiegać niż leczyć, ale jeśli już dojdzie do naruszenia RODO mamy obowiązek niezwłocznie to zgłosić. Jeśli sami dokonamy zgłoszenia, możemy liczyć na wyrozumiałość Urzędu Ochrony Danych Osobowych. Gorzej jeśli Urząd wykryje niezgłoszone nieprawidłowości. Wtedy mogą posypać się kary! 

 

KategoriaAktualności