ul. Kazimierza Wielkiego 1

Wrocław

+ 71 740 50 00

Obsługa klienta

Pon - Pt: 8:30 - 16:30

Godziny otwarcia

O mnie

Nazywam się Iwo Klisz, jestem adwokatem specjalizującym się w prawie ochrony danych osobowych oraz wspólnikiem zarządzającym w Kancelarii Klisz i Wspólnicy z Wrocławia, a także liderem zespołu prawników specjalistów w zakresie prawnej obsługi przedsiębiorców

więcej …

Kancelaria Klisz i Wspólnicy

ul. Joachima Lelewela 23/7
53-505 Wrocław

tel. kom. 695 560 425
tel. 71 740 50 00

e-mail: i.klisz@adwokat-wroclaw.biz.pl

O blogu

Główne Tematy

Obowiązek informowania Prezesa UODO o własnych naruszeniach

obowiązek informowania urzędu o własnych naruszeniach

Obowiązek samodonosu o własnych naruszeniach w zakresie ochrony danych osobowych

Słyszałeś o obowiązku zgłaszania Prezesowi UODO incydentów w zakresie naruszenia bezpieczeństwa ochrony danych osobowych ale nie wiesz kiedy taki obowiązek może wystąpić? Nie wiesz, jak oceniać istotność naruszenia? A może zastanawiasz się, w jakim terminie należy zgłosić incydent? Z artykułu dowiesz się:

  • o kategoriach naruszeń wynikających z RODO,
  • sposobie kwalifikowania naruszeń do poszczególnych kategorii,
  • obowiązkach ciążących na administratorze danych i podmiocie przetwarzającym w przypadku stwierdzenia incydentu,
  • terminach zgłoszenia naruszenia.

Kategorie incydentów

Naruszenia zasad ochrony danych osobowych, zwane także incydentami, podzielone zostały na trzy kategorie, którymi są następujące przypadki:

  • naruszenie nieistotne – nie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych,
  • naruszenie skutkujące ryzykiem naruszenia praw lub wolności osób fizycznych,
  • naruszenie skutkujące wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Przyjmuje się, że ryzyko naruszenia praw i wolności osób fizycznych jest obecne, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Natomiast ryzyko może być kwalifikowane jako wysokie, jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego.

Kwalifikacji naruszenia dokonujesz samodzielnie bazując na ocenie ryzyka skutków incydentu dla osoby, której dane dotyczą. Podstawową analizę w tym zakresie można wykonać biorąc pod uwagę dwie zmienne: określenie potencjalnych następstw realizacji ryzyka naruszenia ochrony oraz określenie poziomu bezpieczeństwa poszczególnych zasobów, w których doszło do naruszenia.

Obowiązki związane z naruszeniami

Będąc administratorem danych osobowych, w przypadku wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych, a także wysokiego ryzyka w tym zakresie, zobowiązany jesteś do zgłoszenia incydentu Prezesowi Urzędu Ochrony Danych Osobowych. W przypadku zaś stwierdzenia naruszenia nieistotnego, wpisujesz je wyłącznie do rejestru naruszeń, bez konieczności zgłaszania Prezesowi UODO.

Jeżeli natomiast występujesz w roli podmiotu przetwarzającego, wszelkie naruszenia – niezależnie od ich kategorii – zgłaszasz wyłącznie administratorowi tychże danych osobowych. Administrator natomiast podejmuje decyzję w przedmiocie ewentualnego zgłoszenia incydentu Prezesowi UODO.

            Niezależnie od ww. obowiązku zgłoszenia incydentu, co dokonywane jest poprzez formularz na stronie internetowej Prezesa UODO, każdy podmiot uczestniczący w przetwarzaniu danych osobowych ma obowiązek:

  • ustalić procedurę postępowania na wypadek naruszenia ochrony danych,
  • prowadzić rejestr naruszeń.

Termin zgłoszenia naruszenia

Termin ten jest wyjątkowo krótki i wynosi 72 godziny od stwierdzenia naruszenia. W przypadku jego uchybienia, do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołączyć powinieneś wyjaśnienie przyczyn opóźnienia.

Przedmiotowy termin wiąże administratorów danych osobowych. Terminy zgłoszenia incydentu przez podmiot przetwarzający powinny natomiast wynikać z umowy powierzenia danych osobowych do przetwarzania.

pozdrawiam, adwokat Iwo Klisz

Mam nadzieję, że wyjaśniłem Tobie kilka rzeczy. Jeżeli zainteresował Cię artykuł, kliknij „Lubię to” lub polub moją stronę na facebooku (Facebook adwokat Wrocław). Dla Ciebie to tylko "kliknięcie", a dla mnie to dowód, że moja praca jest przydatna, co daje mi motywację do dalszego pisania :)