zgłoszenie naruszenia ochrony danych

Czy należy dokonać zgłoszenia naruszenia ochrony danych u innego administratora danych osobowych (kontrahenta)

Czy należy dokonać zgłoszenia naruszenia ochrony danych u innego administratora danych osobowych (kontrahenta)

Pytanie:  U dostawcy, z którym współpracuje administrator, doszło do naruszenia ochrony danych. Obydwie firmy są odrębnymi administratorami danych osobowych, ale naruszenie dotyczy danych, które jeden administrator udostępnił drugiego. Czy administrator ma obowiązek zgłoszenia naruszenia ochrony danych u kontrahenta będącego odrębnym administratorem udostępnionych danych osobowych?
Kara UODO dla kolejnego banku za niezgłoszenie naruszenia ochrony danych

Kara UODO dla kolejnego banku za niezgłoszenie naruszenia ochrony danych

Kolejny bank z karą UODO za niezgłoszenie naruszenia ochrony danych. Tym razem administracyjną karę pieniężną w wysokości 78 tys. zł wymierzono Toyota Bank Polska S.A. Bank wprawdzie zgłosił naruszenie, ale ze znacznym opóźnieniem.

ochrona danych osobowych 4 (5)

Zgłoszenie naruszenia ochrony danych osobowych – w jaki sposób go dokonać

Czasu na zgłoszenie naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych jest bardzo niewiele. Poza tym w niektórych przypadkach administrator danych osobowych musi poinformować o naruszeniu także osoby poszkodowane. Ważny jest nie tylko czas reakcji ale też treść zgłoszeń. Sprawdź, w jaki sposób dokonać zgłoszenia naruszenia ochrony danych.

3 rodzaje naruszeń ochrony danych osobowych

Przypomnijmy, że naruszenia ochrony danych można podzielić na 3 grupy, jako kryterium biorąc pod uwagę ryzyko naruszenia praw lub wolności podmiotów danych. Odpowiadają im konkretne obowiązki administratora danych osobowych

Rodzaj naruszenia

Opis naruszenia

Reakcja administratora

naruszenie nieistotne

Naruszenie to rodzi niewielkie ryzyko, że incydent doprowadzi do naruszenia praw lub wolności ww. osób fizycznych,

Należy udokumentować zdarzenie (np. poprzez wpis do raportu z naruszeń i rejestru naruszeń)

naruszenie średniej wagi

Istnieje uzasadnione prawdopodobieństwo wystąpienia negatywnych skutków zdarzenia czyli wystąpienia naruszenia praw lub wolności osób fizycznych (nadal jednak mniej niż 50%).

Należy:

  • zgłosić naruszenie ochrony danych do Prezesa UODO do 72 godzin po stwierdzeniu naruszenia,

  • udokumentować zdarzenie.

naruszenie istotne

Zdarzenie to generuje wysokie ryzyko, że incydent doprowadzi do naruszenia praw lub wolności fizycznych. Prawdopodobieństwo wystąpienia negatywnych skutków jest wyższe niż 50%.

Należy:

  • zgłosić naruszenie ochrony danych do Prezesa UODO,

  • zawiadomić o naruszeniu osoby, których dane zostały naruszone,

  • udokumentować zdarzenie.

Konsekwencje niezgłoszenia naruszenia przez administratora danych osobowych

Niewykonanie obowiązku zgłaszania naruszeń ochrony danych osobowych jest bardzo częstym powodem nałożenia administracyjnej kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych. Najczęściej jest to wynik całkowitej bierności administratora albo niewłaściwej oceny poziomu ryzyka wiążącego się z incydentem.

Zawiadomienie podmiotów danych o naruszeniu nie jest jednak konieczne, gdy:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony, które zastosowano względem naruszonych danych, przez co uniemożliwiono ich odczyt (np. szyfrowanie, fragmentacja, anonimizacja),
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą (np. zawiadomienie odpowiednich organów o wycieku, natychmiastowe zablokowanie zasobów przed dostępem osób trzecich, zmiana haseł)
  • wymagałoby ono niewspółmiernie dużego wysiłku (zamiast tego wydawany jest publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego podmioty danych zostają poinformowane w równie skuteczny sposób – ten punkt stosuje się zwłaszcza do masowych wycieków danych osobowych).
Korzyści 

Z artykułu dowiesz się m.in.:

  • co powinno zawierać zgłoszenie naruszenia ochrony danych do Prezesa UODO i zawiadomienie podmiotów,

  • jak w praktyce zredagować te zgłoszenia,

  • jak przekazać zgłoszenia adresatom.

kontrola uodo 2 (2)

Zgłoszenie naruszenia ochrony danych może być przekazywane sukcesywnie

Nie jesteś w stanie przekazać wszystkich informacji o naruszeniu ochrony danych w terminie 72 godzin? Pamiętaj, że możesz zgłosić je do Prezesa Urzędu Ochrony Danych Osobowych w późniejszym terminie. Na tym polega tzw. wstępne zgłoszenie naruszenia ochrony danych. W jakich przypadkach można skorzystać z takiego rozwiązania? Wskazówki w tym zakresie znajdziemy m.in. w wytycznych EROD

  • 10 października 2023 r.
  • ADO
sąd

UODO o zgłaszaniu naruszeń ochrony danych w sądach

Jak przetwarzać dane osobowe w sądach? W szczególności jak zgłaszać naruszenia ochrony danych? Na te pytania odpowiada UODO w specjalnym poradniku.

  • 13 października 2022 r.
  • ADO
naruszenie ochrony danych

Jak zredagować zgłoszenie naruszenia ochrony danych

W przypadku naruszenia ochrony danych generującego więcej niż małe prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych administrator musi zgłosić to naruszenie do Prezesa UODO. Natomiast gdy to ryzyko jest wysokie, konieczne jest również zawiadomienie podmiotów danych. Sprawdź, jak zredagować te zawiadomienia.

Co powinno znaleźć się w zgłoszeniu naruszenia ochrony danych do Prezesa UODO

Prezes UODO musi być zawiadomiony o naruszeniu ochrony danych najszybciej jak to jest możliwe. Zgłoszenie nie może nastąpić później niż w ciągu72 godzin od stwierdzenia naruszenia.

W zgłoszeniu naruszenia ochrony danych do Prezesa UODO należy:

  • opisać charakter naruszenia ochrony danych osobowych (w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie);
  • wskazać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub inny punkt kontaktowy, od którego można uzyskać więcej informacji;
  • opisać możliwe konsekwencje naruszenia ochrony danych osobowych;
  • opisać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, (w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków).

Zgłoszenie do Prezesa UODO dokonywane jest w postaci elektronicznej. Wykorzystuje się w tym celu formularz dostępny na stronie internetowej UODO.

Zgłoszenie naruszenia ochrony danych do Prezesa UODO w języku polskim

Formularz należy oczywiście wypełnić z należytą precyzją. Kwestia ta nie budzi wątpliwości. Wprawdzie nie sprecyzowano w nim języka, jakiego należy używać. Niemniej jednak z uwagi na język urzędowy UODO oraz język samego formularza, należy go wypełnić wyłącznie w języku polskim.

Korzyści 

Z artykułu dowiesz się m.in.:

  • jakiego języka użyć w zgłoszeniu naruszenia do Prezesa UODO i w zawiadomieniu dla podmiotów danych,
  • jakie informacje powinny zawierać obydwa zgłoszenia,
  • jak zredagować poszczególne informacje,
  • jak postąpić w przypadku, gdy podmiotami danych są dzieci lub osoby ubezwłasnowolnione.
zgubienie przesyłki kara UODO

Zgubiona przesyłka problemem administratora – wyrok WSA w Warszawie

O zgubieniu korespondencji zawierającej dane osobowe klientów przez firmę kurierską klienci ci powinni zostać zawiadomieni. Obowiązek ten spoczywał na nadawcy czyli Banku Millenium. Do takich wniosków doszedł Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 1 lipca 2022 r. II SA/Wa 4143/21.

zgłoszenie naruszenia ODO

Zgłoszenie naruszenia ODO – do organu nadzorczego i podmiotów danych (porównanie)

Jeżeli naruszenie ochrony danych generuje niebezpieczeństwo dla praw lub wolności osób fizycznych, wówczas administrator musi zgłosić to naruszenie do Prezesa UODO. Jeśli zaś to ryzyko jest wysokie, wówczas konieczne jest także poinformowanie o zdarzeniu podmiotów danych. Poniżej znajdziesz porównanie tych dwóch obowiązków.

opóźnienie w zgłoszeniu naruszenia

Jak wytłumaczyć opóźnienie w zgłoszeniu naruszenia ochrony danych

Administrator powinien zgłosić naruszenie ochrony danych do Prezesa UODO nie później niż w ciągu 72 godzin od momentu powzięcia informacji o naruszeniu. Przekroczenie tego terminu może skutkować konsekwencjami. Na szczęście można z tego wybrnąć. W jaki sposób? Odpowiedź znajdziesz w artykule.

kara pieniężna UODO

Co grozi za niezgłoszenie naruszenia ochrony danych (analiza orzecznictwa UODO)

Zawiadomienie Prezesa UODO oraz podmiotów danych o naruszeniu to jeden z najważniejszych obowiązków administratora. Jego niewykonanie może skutkować dotkliwymi konsekwencjami finansowymi. Przekonał się o tym stosunkowo niedawno Santander Bank Polska. Kary z tego tytułu otrzymało też wiele innych podmiotów. Jako że najlepiej uczyć się na cudzych błędach, wyciągnijmy wnioski z decyzji Prezesa UODO.

Naruszenie ochrony danych – 3 obowiązki administratora

W związku z naruszeniem ochrony danych administrator w określonych przypadkach musi:

  • dokonać zgłoszenia naruszenia do Prezesa UODO,
  • zawiadomić o zdarzeniu osoby, których dotyczy naruszenie,
  • udokumentować naruszenie.

W pierwszym kroku administrator zgłasza naruszenie Prezesowi UODO. Jest to konieczne, gdy naruszenie to rodzi co najmniej średnie prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.

Natomiast jeśli to ryzyko jest wysokie, wówczas należy dodatkowo zawiadomić o naruszeniu osoby, których to zdarzenie dotyczy. Pobierz wzór komunikatu o naruszeniu ochrony danych.

Przeczytaj także: Jak zawiadomić podmiot danych o naruszeniu – 5 rad dla ADO

To jednak nie wszystko. W każdym przypadku naruszenia ochrony danych administrator msi je udokumentować. Powinien wówczas zarejestrować:

  • okoliczności naruszenia,
  • jego skutków,
  • podjętych działań zaradczych.

Takie udokumentowanie może nastąpić np. w rejestrze lub raporcie z naruszeń. Pobierz wzór raportu z naruszenia.

Zaniechania związane ze zgłoszeniem naruszenia ochrony danych skutkowały w wielu przypadkach karami pieniężnymi.

Decyzja

Kogo dotyczy

Wysokość kary

19 stycznia 2022 r.

DKN.5131.33.2021

Santander Bank Polska S.A.

545 748 zł

14 października 2021 r.

DKN.5131.16.2021

Bank Millennium S.A.

363 832 zł

30 czerwca 2021 r.

DKN.5131.11.2020

Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra

13 644 zł

21 czerwca 2021 r.

DKN.5131.3.2021

Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.

159 176 zł

8 czerwca 2021 r.

DKN.5131.10.2020

P4 Sp. z o.o.

100 000 zł

11 stycznia 2021 r.

DKN.5131.7.2020

ENEA S.A.

136 437 zł

5 stycznia 2021 r.

DKN.5131.6.2020

Śląski Uniwersytet Medyczny w Katowicach

25 000 zł

9 grudnia 2020 r.

DKN.5131.5.2020

TUiR WARTA S.A.

85 588 zł

Przeanalizujmy wybrane z tych spraw i wyciągnijmy z nich wnioski dla administratorów.

Korzyści 

Z artykułu dowiesz się:

  • dlaczego Santander Bank otrzymał karę ponad pół miliona zł,
  • co to znaczy – ryzyko naruszenia praw i wolności podmiotów danych,
  • czy wina ma znaczenie w kontekście zgłoszenia naruszenia,
  • czy deklaracja nieuprawnionego odbiorcy danych ma znaczenie.
Zgłoszenie naruszenia ochrony danych – czy jest informacją publiczną

Zgłoszenie naruszenia ochrony danych – czy jest informacją publiczną

Zgłoszenie naruszenia ochrony danych bardzo często zawiera dane osobowe np. pracowników administratora. Jak zatem postąpić, gdy administrator będący podmiotem publicznym otrzymuje żądanie udostępnienia zgłoszenia jako informacji publicznej? Sprawdź, czy taką informację należy udostępnić i w jakim zakresie.

Sprawdź:

  • jaki jest zakres i istota informacji publicznej,

  • czy w ramach informacji publicznej można uzyskać dostęp do dokumentu urzędowego,

  • czy konieczna jest anonimizacja dokumentu urzędowego.

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x