Obowiązkiem administratora danych osobowych, u którego wystąpi naruszenie ochrony danych, jest zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Ale to nie wszystko. W określonych przypadkach konieczne stanie się również poinformowanie o tym naruszeniu osoby, której dane dotyczą. Upewnij się, kiedy takie zawiadomienie jest konieczne, co powinno zawierać i w jakiej formie i terminie je zrealizować.
Jeżeli administrator danych osobowych uzyska informacje o naruszeniu ochrony danych w jego organizacji powinien niezwłocznie ocenić ryzyko naruszenia praw i wolności osób fizycznych, które mogło powstać wskutek tego naruszenia. Ocena taka powinna umożliwić administratorowi podjęcie działań w celu opanowania naruszenia i zminimalizowania jego skutków. Poza tym w oparciu o tę ocenę należy podjąć decyzję co do zawiadomienia o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, ale także podmiotu danych.
Dokonując oceny ryzyka naruszenia praw i wolności osób fizycznych powstałego w wyniku naruszenia ochrony danych, warto uwzględnić kryteria zalecane przez Grupę Roboczą Art. 29 w Wytycznych WP 250 w sprawie powiadomień o naruszeniu ochrony danych.
Gdy administrator stwierdzi wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, wówczas musi on zawiadomić o tym naruszeniu podmiot danych.
Poinformowanie podmiotu danych nie jest konieczne, gdy administrator stwierdzi jedynie średnie lub małe ryzyko naruszenia ochrony danych. Przy czym w razie stwierdzenia średniego ryzyka nadal należy poinformować Prezesa Urzędu Ochrony Danych Osobowych.
Zawiadomienie podmiotu danych nie jest konieczne także wtedy, gdy:
Kiedy mamy do czynienia z wysokim ryzykiem naruszenia praw i wolności podmiotu danych? Oczywiście wszystko zależy od okoliczności konkretnego przypadku, niemniej jednak w Wytycznych Grupy Roboczej Art. 29 wskazano przykładowe sytuacje, w których jest bardzo prawdopodobne, że naruszenie wygeneruje wysokie ryzyko dla osób fizycznych. W tych przypadkach można przyjąć, że poinformowanie podmiotu danych będzie konieczne.
Z kolei zdaniem Prezesa UODO wysokie ryzyko naruszenia dla podmiotu danych powstanie w sytuacji, w której naruszenie skutkuje:
ewentualnie gdy dotyczy danych wrażliwych.
Bez znaczenia jest to, czy wskutek skutek naruszenia doszło do powstanie uszczerbku fizycznego. Poza tym nie tylko szkoda majątkowa ale także niemajątkowa (krzywda) może wiązać się z koniecznością zawiadomienia o naruszeniu.
Jeżeli administrator wskutek oceny ryzyka ustali, że zawiadomienie podmiotu danych jest konieczne, wówczas powinien on bez zbędnej zwłoki poinformować o naruszeniu osobę, której dane dotyczą, aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Innymi słowy zawiadomienia należy dokonać tak szybko, jak jest to możliwe, aby osoba, której dane dotyczą, mogła podjąć działania zmierzające do uchronienia się przed wszelkimi negatywnymi skutkami naruszenia.
Jak ustalić moment, w którym należy dokonać zawiadomienia? Wskazówka znajduje się w motywach 85 i 87 preambuły RODO, zgodnie należy uwzględnić następujące kryteria:
Jak wskazuje Prezes UODO, w niektórych przypadkach, gdy jest to uzasadnione oraz zgodne z zaleceniami organów ścigania, administrator danych osobowych może wstrzymać się z wysłaniem zawiadomienia o naruszeniu do osób fizycznych, na które wywiera ono wpływ, do momentu, w którym takie zawiadomienie nie zaszkodzi takim postępowaniom (np. w sytuacji określonej w art. 45 ust. 6 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
Informacja o naruszeniu kierowana do podmiotu danych powinna zawierać co najmniej poniższe elementy:
Co istotne, zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych. Innymi słowy należy je zredagować tak, by podmiot danych zrozumiał charakter naruszenia i wiedział, jakie działania musi podjąć w celu wyeliminowania lub ograniczenia jego negatywnych skutków. Z tego względu administrator powinien:
Opis charakteru naruszenia powinien jednak nie tylko spełniać warunek jasności i zwięzłości, ale także na tyle szczegółowy, aby podmiot danych zrozumiał, co stało się z jego danymi, jakie były tego przyczyny oraz jakie to ma dla niego konsekwencje.
Analogiczne warunki powinien spełniać opis możliwych konsekwencji naruszenia.
Zgodnie ze wskazówkami Prezesa UODO wskazanie konsekwencji powinno przybrać formę opisu skierowanego bezpośrednio do osoby, na którą naruszenie ochrony danych wywiera wpływ. Nie wystarcząogólne i lakoniczne sformułowania, takie jak uszczerbek fizyczny, strata finansowa czy kradzież tożsamości.
Przykładowe opisy konsekwencji naruszenia w zawiadomieniu do podmiotu danych:
Jak wskazuje Prezes UODO, w celu zapewnienia przejrzystości administrator w treści zawiadomienia powinien oddzielić opis i charakter naruszenia od opisu możliwych konsekwencji, środków zaradczych czy danych kontaktowych inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.
W zawiadomieniu należy również wymienić konkretne realizowane przez administratora środki zaradcze. Nie wystarczą więc ogólne zapewnienia, deklaracje czy informacje o podjęciu „wszelkich możliwych działań”. Oprócz tego administrator powinien przedstawić podmiotowi danych konkretne wskazówki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych.
Administrator może zalecić podmiotowi danych:
Nie zawsze jednak zawiadomienie o naruszeniu ochrony danych musi być kierowane bezpośrednio do osoby, której te dane dotyczą. Jeżeli bowiem dokonanie takiego zawiadomienia wymagałoby niewspółmiernie dużego wysiłku, wówczas administrator może ograniczyć się do wydania publicznego komunikatu lub zastosowania podobnego środka, za pomocą którego podmioty danych zostaną poinformowane w równie skuteczny sposób. Forma tego zawiadomienia nie została jednak sprecyzowana (publiczny komunikat jest tylko jednym z rozwiązań). Niemniej jednak administrator danych powinien być w stanie wykazać, że spełnił ciążący na nim w tym zakresie obowiązek. Tak jak w przypadku zawiadomienia indywidualnego, należy tu uwzględnić sposób komunikacji z podmiotem danych, rodzaj danych kontaktowych, którymi dysponuje administrator, a także czas przekazania podmiotowi danych wymaganych informacji.
Jak zaleca w swoich Wytycznych Grupa Robocza Art. 29 należy zawiadamiać o naruszeniu za pomocą specjalnie do tego przeznaczonych wiadomości. Powinno się także unikać przesyłania zawiadomienia z innymi informacjami takimi jak regularne aktualizacje, biuletyny lub standardowe wiadomości. Odpowiednim rozwiązaniem jest:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
