Obowiązek samodonosu o własnych naruszeniach w zakresie ochrony danych osobowych
Słyszałeś o obowiązku zgłaszania Prezesowi UODO incydentów w zakresie naruszenia bezpieczeństwa ochrony danych osobowych ale nie wiesz kiedy taki obowiązek może wystąpić? Nie wiesz, jak oceniać istotność naruszenia? A może zastanawiasz się, w jakim terminie należy zgłosić incydent? Z artykułu dowiesz się:
- o kategoriach naruszeń wynikających z RODO,
- sposobie kwalifikowania naruszeń do poszczególnych kategorii,
- obowiązkach ciążących na administratorze danych i podmiocie przetwarzającym w przypadku stwierdzenia incydentu,
- terminach zgłoszenia naruszenia.
Kategorie incydentów
Naruszenia zasad ochrony danych osobowych, zwane także incydentami, podzielone zostały na trzy kategorie, którymi są następujące przypadki:
- naruszenie nieistotne – nie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych,
- naruszenie skutkujące ryzykiem naruszenia praw lub wolności osób fizycznych,
- naruszenie skutkujące wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
Przyjmuje się, że ryzyko naruszenia praw i wolności osób fizycznych jest obecne, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.
Natomiast ryzyko może być kwalifikowane jako wysokie, jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego.
Kwalifikacji naruszenia dokonujesz samodzielnie bazując na ocenie ryzyka skutków incydentu dla osoby, której dane dotyczą. Podstawową analizę w tym zakresie można wykonać biorąc pod uwagę dwie zmienne: określenie potencjalnych następstw realizacji ryzyka naruszenia ochrony oraz określenie poziomu bezpieczeństwa poszczególnych zasobów, w których doszło do naruszenia.
Obowiązki związane z naruszeniami
Będąc administratorem danych osobowych, w przypadku wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych, a także wysokiego ryzyka w tym zakresie, zobowiązany jesteś do zgłoszenia incydentu Prezesowi Urzędu Ochrony Danych Osobowych. W przypadku zaś stwierdzenia naruszenia nieistotnego, wpisujesz je wyłącznie do rejestru naruszeń, bez konieczności zgłaszania Prezesowi UODO.
Jeżeli natomiast występujesz w roli podmiotu przetwarzającego, wszelkie naruszenia – niezależnie od ich kategorii – zgłaszasz wyłącznie administratorowi tychże danych osobowych. Administrator natomiast podejmuje decyzję w przedmiocie ewentualnego zgłoszenia incydentu Prezesowi UODO.
Niezależnie od ww. obowiązku zgłoszenia incydentu, co dokonywane jest poprzez formularz na stronie internetowej Prezesa UODO, każdy podmiot uczestniczący w przetwarzaniu danych osobowych ma obowiązek:
- ustalić procedurę postępowania na wypadek naruszenia ochrony danych,
- prowadzić rejestr naruszeń.
Termin zgłoszenia naruszenia
Termin ten jest wyjątkowo krótki i wynosi 72 godziny od stwierdzenia naruszenia. W przypadku jego uchybienia, do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołączyć powinieneś wyjaśnienie przyczyn opóźnienia.
Przedmiotowy termin wiąże administratorów danych osobowych. Terminy zgłoszenia incydentu przez podmiot przetwarzający powinny natomiast wynikać z umowy powierzenia danych osobowych do przetwarzania.