Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) administrator będzie miał obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. Dowiedz się, jakie zdarzenia będzie trzeba zakwalifikować jako naruszenia i zawiadomić o nich organ nadzorczy.
Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO). Przykładowym naruszeniem może być kradzież płyty CD z danymi pacjentów kliniki stomatologicznej. Zgodnie z opinią 03/2014 Grupy Roboczej Art. 29 naruszenia można podzielić na trzy grupy:
1) „confidentiality breach” (można przetłumaczyć jako naruszenie tajemnicy), gdy dochodzi do nieuprawnionego lub przypadkowego wyjawienia lub dostępu do danych osobowych,
2) „availability breach” (można przetłumaczyć jako naruszenie dostępu), gdy dochodzi do nieuprawnionej lub przypadkowej utraty dostępu do danych osobowych albo do ich zniszczenia,
3) „integrity breach” (można przetłumaczyć jako naruszenie integralności), gdy dochodzi do nieuprawnionej lub przypadkowej zmiany danych osobowych.
Zgłaszanie naruszeń ochrony danych organowi nadzorczemu jest nowym obowiązkiem, który zostanie nałożony przez RODO na wszystkie podmioty będące administratorami. Zgodnie z polskimi przepisami jedynie przedsiębiorcy z branży telekomunikacyjnej są zobowiązani zgłosić naruszenie do GIODO na specjalnie udostępnionym przez ten organ formularzu.
Obowiązek zgłaszania naruszeń wynika z art. 33 RODO. Przepis ten stanowi, że w przypadku naruszenia administrator bez zbędnej zwłoki, ale nie później niż w ciągu 72 godzin po jego stwierdzeniu, zgłasza je organowi nadzorczemu (Prezes Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Jak wynika z wytycznych Grupy Roboczej Art. 29, każdy administrator powinien samodzielnie ocenić ryzyko naruszenia praw lub wolności osób fizycznych, aby ustalić, czy ma obowiązek zgłosić naruszenie do organu nadzorczego (wytyczne w zakresie zgłaszania naruszeń nie zostały przetłumaczone na język polski). Nie ma przy tym znaczenia, czy utrata danych lub dostępu do nich jest długotrwała, czy krótkotrwała. Administrator powinien ocenić sytuację, zawsze kierując się tym, czy zaistniało ryzyko naruszenia praw lub wolności osób fizycznych.
PRZYKŁAD W szpitalu doszło do krótkotrwałego pozbawienia dostępu do bardzo ważnych danych pacjentów – to powoduje powstanie ryzyka w zakresie praw pacjentów, ponieważ szpital będzie zmuszony np. odwołać ważną operację – będzie obowiązek zgłoszenia takiego naruszenia. W przedsiębiorstwie działającym w branży medialnej doszło do kilkunastogodzinnego pozbawienia dostępu do systemu informatycznego, co uniemożliwiło wysyłanie newslettera do subskrybentów – taka sytuacja nie powoduje powstania ryzyka w zakresie praw czy wolności subskrybentów – nie będzie obowiązku zgłoszenia takiego naruszenia (wytyczne Grupy Roboczej Art. 29 s. 7). |
Naruszenie trzeba zgłosić bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Kiedy dochodzi do „stwierdzenia naruszenia”? Grupa Robocza Art. 29 wskazuje, że ze „stwierdzeniem naruszenia” będziemy mieli do czynienia, gdy administrator będzie miał racjonalny poziom pewności, że naruszenie doprowadziło do zagrożenia bezpieczeństwa danych osobowych. Oznacza to, że administrator ma czas, aby przeprowadzić „wewnętrzne dochodzenie”, które umożliwi ocenę sytuacji. Dopiero po sprawdzeniu i „stwierdzeniu”, że rzeczywiście doszło do naruszenia, administrator ma 72 godziny, aby zgłosić naruszenie.
Zgodnie z art. 33 ust. 2 RODO podmiot przetwarzający o naruszeniu bezpieczeństwa musi zawiadomić tylko administratora. Powinien to zrobić bez zbędnej zwłoki w taki sposób, aby administrator miał czas na zgłoszenie naruszenia oraz ustalenie wszystkich informacji. Zgodnie z RODO podmiot przetwarzający powinien współpracować z administratorem w takich przypadkach, a to oznacza, że procesor nie może poprzestać na lakonicznej informacji, że np. wykradziono teczki osobowe pracowników. Powinien ustalić wszystkie niezbędne okoliczności, które pomogą administratorowi w zgłoszeniu oraz innych czynnościach związanych z naruszeniem.
W umowach powierzenia przetwarzania danych osobowych trzeba zawrzeć postanowienia regulujące dokładnie kwestie zawiadamiania administratora przez procesora o naruszeniu, aby administrator mógł prawidłowo wykonać swoje obowiązki i nie narazić się na negatywne skutki.
Zgodnie z art. 33 ust. 3 RODO zgłoszenie naruszenia ochrony danych musi zawierać co najmniej:
Jeśli administrator ma więcej informacji, powinien podać je organowi nadzorczemu, aby ten mógł ocenić wagę naruszenia, a także w razie potrzeby wskazać, jakie działania administrator powinien podjąć. Jeśli z jakichś przyczyn administrator przekroczy 72 godziny, powinien wskazać i wyjaśnić przyczyny opóźnienia. Jeśli nie jest w stanie od razu podać tych wszystkich informacji, może udzielać ich sukcesywnie (art. 33 ust. 4 RODO). Może bowiem się okazać, że część informacji administrator będzie mógł uzyskać po przeprowadzeniu skomplikowanych operacji lub przy pomocy specjalistów, co może być możliwe dopiero po pewnym czasie.
RODO nakłada na administratorów wymóg prowadzenia dokumentacji dotyczącej wszelkich incydentów związanych z naruszeniem bezpieczeństwa danych osobowych. ADO nie tylko musi zgłosić naruszenie danych osobowych, ale także udokumentować je w wewnętrznym rejestrze naruszeń. Pozwoli to organowi nadzorczemu na sprawną weryfikację obowiązków notyfikacyjnych.
Jeśli administrator nie zgłosi naruszenia, organ nadzorczy może zastosować środki wskazane art. 58 ust. 2 RODO, karę administracyjną do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (za każde naruszenie!), inne sankcje wynikające z prawa polskiego.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl